Buenas tardes,
Les comento el problema que tengo con un fortigate 60D:
Tengo un servidor Externo 10.10.10.5 que solo acepta conexiones de una IP 12.12.12.3, ese servidor requiere establecer conexión DNP Puerto 20000 con un equipo de mi LAN 192.168.10.11 ( El equipo solo entrega los datos por el puerto 20000).
El servidor externo esta enrutado por un ISP (12.12.12.1) este router ISP esta directamente conectado a mi Firewall (12.12.12.2), por tanto configure un VIP para traducir de la 12.12.12.3 a la 192.168.10.11 y hice un map de puerto 20000 a 20000. Cree una política para permitir el trafico de entrada desde el segmento del servidor hacia mi red LAN y agregue el VIP como destination. Adicionalmente cree una ruta estática utilizando como GW la IP del ISP para llegar al segmento del servidor.
Desde el equipo final tengo Ping hacia el servidor y desde el servidor llegan conexiones al equipo final, pero el puerto cambia al hacer hacer el NAT de 192.168.10.11 a 12.12.12.3. Y la conexión no se establece. Según el log del firewall tengo lo siguiente: S-IP10.10.10.5 Source Port 19422 - D-IP 12.12.12.3 NAT IP 192.168.10.11 Port 20000 Action TCP reset from server.
Debug del fortigate
Sesión y Estado:
SNAT 192.168.10.11->12.12.12.3:20000 indica que el tráfico que sale desde 192.168.10.11 está siendo traducido a 12.12.12.3 en el puerto 20000.
Traducción de Dirección de Red (NAT):
DNAT 12.12.12.3:20000->192.168.10.11:20000 muestra que el tráfico entrante destinado a 12.12.12.3 en el puerto 20000 está siendo dirigido a 192.168.10.11 en el mismo puerto 20000.
Detalles del Paquete:
Paquete 1: 192.168.10.11:20000->10.10.10.5:6540 (Paquete de respuesta desde 192.168.10.11 hacia 10.10.10.5 en puerto 6540).
Paquete 2: 10.10.10.5:6540->12.12.12.3:20000 (Paquete desde 10.10.10.5 hacia la IP NATeada 12.12.12.3 en el puerto 20000).
LOG DEL EQUIPO 192.168.10.11
Incoming connection from 10.10.10.5:9504, 172.16.153.11
Connection refused by user, 192.168.10.11
Closing connection to 10.10.10.5:9470
Incoming connection from 10.10.10.5:9517
Client 172.24.1.26:9517 connected to server, 192.168.10.11
Incoming connection from 10.10.10.5:9521, 192.168.10.11
Connection refused by user, 192.168.10.11
10 bytes from 192.168.10.11:20000 to 10.10.10.5:9517, 192.168.10.11
Eso es todo lo que se me ocurre para compartir. Disculpen lo extenso de la problemática y gracias por su ayuda.
THIS SITE IS NOT AFFILIATED WITH FORTINET CORPORATION.
"Fortinet", "FortiGate", "FortiAnalyzer" "FortiOS" "FortiManager" and "FortiASIC" are either registered trademarks or trademarks of Fortinet Corporation in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners.
"Fortinet", "FortiGate", "FortiAnalyzer" "FortiOS" "FortiManager" and "FortiASIC" are either registered trademarks or trademarks of Fortinet Corporation in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners.