Hola a todos. Os pido ayuda...
Estoy configurando un fortigate 60B. Os cuento:
wan1 y wan2 tienen cada una un enlace distinto a internet con ip fija.
internal1 engancha con la red local.
En la red local tengo un servidor de correo, el cual quiero que pueda recibir correos tanto de una wan como de la otra wan (los registros mx en el DNS del dominio de correo están configurados con diferentes pesos con las dos direcciones wan públicas).
Además, quiero que el tráfico http normal saliente de los ordenadores, servidores, etc de la red local salga por cualquiera de las dos wan, preferiblemente con redundancia+balanceo.
Con todo eso junto, ¿cómo lo hacéis?
El tráfico saliente web balanceado y con redundancia creo que lo tengo claro (2 default gateway con misma distancia en rutas y misma prioridad, no?).
Los correos entrantes con 2 virtual ips, una para cada wan. ¿Y qué pasa con la respuesta saliente de esos correos desde el servidor de correo? ¿Algo que ver eso de las ip pools? ¿Y las virtual ip deben llevar NAT activado o no?
Gracias por vuestras respuestas. A ver si ilumináis mi camino...
2 wans para correos entrantes
Re: 2 wans para correos entrantes
Hola, si las 2 wan tienen que tener la misma distancia y la misma prioridad.
los virtual ip van sin nat
las politicas salientes tendras que tener duplicadas por los dos wan tambien.
si no le haces ippool saldran con la ip de la interface wan, y si le apolicas un ippool saldra con la ip publica que le pongas ahi.siempre y cuando tengas otra ip publicas libres del rango de cada wan.
siempre las politicas salientas a internet llevan nat,
saludos
los virtual ip van sin nat
las politicas salientes tendras que tener duplicadas por los dos wan tambien.
si no le haces ippool saldran con la ip de la interface wan, y si le apolicas un ippool saldra con la ip publica que le pongas ahi.siempre y cuando tengas otra ip publicas libres del rango de cada wan.
siempre las politicas salientas a internet llevan nat,
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
FrankyGoes
- Mensajes: 10
- Registrado: 23 Oct 2009, 10:25
Re: 2 wans para correos entrantes
Hola gabyrossi.
Solo tengo 2 direcciones ip públicas, una para cada wan; por lo que comentas deduzco que no tendría que hacer nada de ippool.
1) ¿Y para esta configuración que comento no tiene nada de importancia este artículo?: [Debes identificarte para poder ver enlaces.] A ver si puedes explicarme este artículo en relación con la configuración que he expuesto...
2) Entiendo que una comunicación smtp que viene del exterior por ejemplo por wan2, ¿el servidor de correo contesta y el fortigate sigue el protocolo smtp por wan2 porque ya sabe que la comunicación se originó por wan2 y no por wan1?
3) Tambien parece interesante este otro articulo: [Debes identificarte para poder ver enlaces.] Especialmente al final, en el caso "Case Scenario #2 (Redundany VIPs)", aunque lo que no entiendo es la última frase del artículo: "Conclusion (redundant VIPs): make sure a policy route directs the server traffic out the desired interface." Primero da la impresión que con los 2 virtual ip apuntando al mismo servidor interno de correo todo debería funcionar. Una policy route, ¿que haga qué? Claro que también indica el artículo que esto es del FortiOS 2.8, vete a saber del FortiOs4.0 MR1 que tengo instalado.
Solo tengo 2 direcciones ip públicas, una para cada wan; por lo que comentas deduzco que no tendría que hacer nada de ippool.
1) ¿Y para esta configuración que comento no tiene nada de importancia este artículo?: [Debes identificarte para poder ver enlaces.] A ver si puedes explicarme este artículo en relación con la configuración que he expuesto...
2) Entiendo que una comunicación smtp que viene del exterior por ejemplo por wan2, ¿el servidor de correo contesta y el fortigate sigue el protocolo smtp por wan2 porque ya sabe que la comunicación se originó por wan2 y no por wan1?
3) Tambien parece interesante este otro articulo: [Debes identificarte para poder ver enlaces.] Especialmente al final, en el caso "Case Scenario #2 (Redundany VIPs)", aunque lo que no entiendo es la última frase del artículo: "Conclusion (redundant VIPs): make sure a policy route directs the server traffic out the desired interface." Primero da la impresión que con los 2 virtual ip apuntando al mismo servidor interno de correo todo debería funcionar. Una policy route, ¿que haga qué? Claro que también indica el artículo que esto es del FortiOS 2.8, vete a saber del FortiOs4.0 MR1 que tengo instalado.
Re: 2 wans para correos entrantes
hola, en el link un era li que deciamos, si queres sacarlo con otra ip publica. en tu caso no tienes.
en el link 2 es para sacar trafico por alguno de los dos 2nlaces si o si...
saludos
en el link 2 es para sacar trafico por alguno de los dos 2nlaces si o si...
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst