Buenas tardes a todos!
Estoy buscando usar los enlaces de internet que tengo configurados con SD-WAN en mi Fortigate (FortiOS 7.4.9) desde equipos que están en una LAN de otro firewall (pfSense) cuya red es 192.168.16.0/24
Para esto conecté ambos firewall creando una nueva interfaz en cada uno en una red /30, y poniendo las interfaces de cada uno en la misma VLAN, el pfSense tiene la IP 172.16.10.1 y el Fortigate tiene la IP 172.16.10.2. Entre ambas interfaces se responden ping satisfactoriamente.
Tengo ya configurado en mí pfSense con IP 172.16.10.1 que su Gateway es la IP del Fortigate que es 172.16.10.2.
El el pfSense tengo una firewall policy que permite desde la LAN (192.168.16.0/24) conectarse a cualquier destino a través del Gateway que va al Fortigate.
Ahora me surgen algunas dudas. Qué me estaría faltando configurar en el Fortigate para lograr que mis equipos en la LAN del pfSense puedan conectarse a internet a través del Fortigate? Entiendo que tengo que agregar alguna ruta estática y una firewall policy pero no sabría cómo hacerlo.
Agradezco de antemano cualquier ayuda que puedan brindarme.
Muchas gracias!
Saludos cordiales
Gabriel
Ayuda con enrutamiento y firewall policy
Re: Ayuda con enrutamiento y firewall policy
Hola Gabriel,
La configuración que describes es bastante habitual. Para que los equipos del pfSense puedan salir a internet a través del FortiGate necesitas dos cosas en el FortiGate:
1. Ruta estática:
Ve a Network > Static Routes y crea una ruta para la red 192.168.16.0/24 con gateway 172.16.10.1 (la IP del pfSense) y como interfaz la que conecta ambos firewalls.
2. Firewall Policy:
Ve a Policy & Objects > Firewall Policy y crea una política con:
- Source Interface: la interfaz que apunta al pfSense (la que tiene la IP 172.16.10.2)
- Destination Interface: SD-WAN (o el miembro de SD-WAN por el que quieres salir)
- Source: 192.168.16.0/24
- Destination: all
- NAT: habilitado (para que los equipos del pfSense salgan con la IP pública del FortiGate)
Con eso debería funcionar. Si tienes el SD-WAN configurado con reglas de enrutamiento (SD-WAN rules), asegúrate de que el tráfico de 192.168.16.0/24 también quede cubierto por ellas, o lo enrutará por el miembro que tenga mejor métrica por defecto.
¡Comenta si te funciona!
Un saludo
La configuración que describes es bastante habitual. Para que los equipos del pfSense puedan salir a internet a través del FortiGate necesitas dos cosas en el FortiGate:
1. Ruta estática:
Ve a Network > Static Routes y crea una ruta para la red 192.168.16.0/24 con gateway 172.16.10.1 (la IP del pfSense) y como interfaz la que conecta ambos firewalls.
2. Firewall Policy:
Ve a Policy & Objects > Firewall Policy y crea una política con:
- Source Interface: la interfaz que apunta al pfSense (la que tiene la IP 172.16.10.2)
- Destination Interface: SD-WAN (o el miembro de SD-WAN por el que quieres salir)
- Source: 192.168.16.0/24
- Destination: all
- NAT: habilitado (para que los equipos del pfSense salgan con la IP pública del FortiGate)
Con eso debería funcionar. Si tienes el SD-WAN configurado con reglas de enrutamiento (SD-WAN rules), asegúrate de que el tráfico de 192.168.16.0/24 también quede cubierto por ellas, o lo enrutará por el miembro que tenga mejor métrica por defecto.
¡Comenta si te funciona!
Un saludo