Muy buenas a tod@s. Tengo fortigate60b. Tengo dos adsls con ip fijas. Todo el trafico de la red interna sale por wan1.Tengo un serv. web en la dmz. Lo que intento hacer es dar servicio web a dos dominios distintos. Como los dominios apuntan a su respectivo router, me gustaría que cuando el cliente solicite [Debes identificarte para poder ver enlaces.] y/o [Debes identificarte para poder ver enlaces.], le responda el serv. web de dmz.
Actualmente tengo router1(dominio1)-wan1 y router2(dominio2)-wan2 y el serv. web alojado en dmz
Usando Virtual Ip de wan1 a dmz, consigo publicar la web para dominio1, pero haciendo lo mismo para wan2, no se muestra la página. Cómo debería configurar el firewall para dar servicio a estos dos dominios?.
Los routers los tengo configurados para que el tráfico lo gestione el fw y el fw a modo nat.
Gracias y un saludo.
2 wans y dmz
Re: 2 wans y dmz
Hola, a ver por nombre deberia resolver s el dns resuelve por los 2 enlaces. por ip probaste si llegas?
deberia tenes cada virtual ip por cada wan
saludos
deberia tenes cada virtual ip por cada wan
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: 2 wans y dmz
Gracias por ayudarme.
He hecho ping desde dentro de la red y desde fuera a las ips públicas del dominio y a [Debes identificarte para poder ver enlaces.], [Debes identificarte para poder ver enlaces.]. Responden perfectamente y resuelven bien dns.
la configuracion que tengo es:
router(dominio1), redirijo al fw indicando la ip-wan1 del fw.
router(dominio2), redirijo al fw indicando la ip-wan2 del fw.
dominio1:
vip
Name: Serv.web dominio1
external interface: wan1
type:nat
external ip address: ip_wan1
mapped ip:ip_dmz (la ip del servidor web localizado en dmz)
port forwarding: seleccionado
protocolo:tcp
external service port:80
map to port:80
Defino la política de fw:
Desde wan1 a dmz:
origen: all
destination: Serv. web dominio1(es decir la vip para dominio1)
schedule:allways
service:http,https
action:accept
Cuando el cliente solicita [Debes identificarte para poder ver enlaces.], la llamada llega a router(dominio1), este pasa la peticion a fw(ip_wan1), que redirije el trafico al servidor web de dmz por la vip definida para el primer dominio. Funciona perfectamente.
Hago exactamente lo mismo para el dominio2-wan2-vip(dominio2)-dmz...
dominio2
vip
Name: Serv.web dominio2
external interface: wan2
type:nat
external ip address: ip_wan2
mapped ip:ip_dmz (la ip del servidor web localizado en dmz)El mismo que para el otro dominio
port forwarding: seleccionado
protocolo:tcp
external service port:80
map to port:80
Defino la política de fw:
Desde wan2 a dmz:
origen: all
destination: Serv. web dominio2(es decir la vip para dominio2)
schedule:allways
service:http,https
action:accept
y no muestra la pagina...
Qué estará mal?. He echado un vistazo a system/config y la configuración establecida es:
modo:standalone
device priority:128
y en la tabla que pone Heartbeat interface, tenía:
dmz--enable--50
internal deshabilitado
wan1--enable--50
wan2 deshabilitado.
He probado así y también wan2 --enable--50, pero sigue sin funcionar. Me dice que no se encontró la pagina. Si haces [Debes identificarte para poder ver enlaces.], te responde el router (pidiendo user y password).Puede ser configuración del router del dominio2?.
Muchas gracias de antemano.
He hecho ping desde dentro de la red y desde fuera a las ips públicas del dominio y a [Debes identificarte para poder ver enlaces.], [Debes identificarte para poder ver enlaces.]. Responden perfectamente y resuelven bien dns.
la configuracion que tengo es:
router(dominio1), redirijo al fw indicando la ip-wan1 del fw.
router(dominio2), redirijo al fw indicando la ip-wan2 del fw.
dominio1:
vip
Name: Serv.web dominio1
external interface: wan1
type:nat
external ip address: ip_wan1
mapped ip:ip_dmz (la ip del servidor web localizado en dmz)
port forwarding: seleccionado
protocolo:tcp
external service port:80
map to port:80
Defino la política de fw:
Desde wan1 a dmz:
origen: all
destination: Serv. web dominio1(es decir la vip para dominio1)
schedule:allways
service:http,https
action:accept
Cuando el cliente solicita [Debes identificarte para poder ver enlaces.], la llamada llega a router(dominio1), este pasa la peticion a fw(ip_wan1), que redirije el trafico al servidor web de dmz por la vip definida para el primer dominio. Funciona perfectamente.
Hago exactamente lo mismo para el dominio2-wan2-vip(dominio2)-dmz...
dominio2
vip
Name: Serv.web dominio2
external interface: wan2
type:nat
external ip address: ip_wan2
mapped ip:ip_dmz (la ip del servidor web localizado en dmz)El mismo que para el otro dominio
port forwarding: seleccionado
protocolo:tcp
external service port:80
map to port:80
Defino la política de fw:
Desde wan2 a dmz:
origen: all
destination: Serv. web dominio2(es decir la vip para dominio2)
schedule:allways
service:http,https
action:accept
y no muestra la pagina...
Qué estará mal?. He echado un vistazo a system/config y la configuración establecida es:
modo:standalone
device priority:128
y en la tabla que pone Heartbeat interface, tenía:
dmz--enable--50
internal deshabilitado
wan1--enable--50
wan2 deshabilitado.
He probado así y también wan2 --enable--50, pero sigue sin funcionar. Me dice que no se encontró la pagina. Si haces [Debes identificarte para poder ver enlaces.], te responde el router (pidiendo user y password).Puede ser configuración del router del dominio2?.
Muchas gracias de antemano.
Última edición por fortiver el 06 Abr 2010, 11:21, editado 1 vez en total.
Re: 2 wans y dmz
Hola, a ver vamos a lo mas basico
que tipo de enlae tenes en wan1 y wan2 ? ip fjas publicas? dhcp ? ppoe ???
distancia y prioridad en las wan ???????
saludos
que tipo de enlae tenes en wan1 y wan2 ? ip fjas publicas? dhcp ? ppoe ???
distancia y prioridad en las wan ???????
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: 2 wans y dmz
Resuelto a medias:
He comprobado que cambiando la distancia de las dos wans el tema se resuelve pero se estropea otro tanto.
Tenía distancia para wan1:10 y para wan2:20. Si pongo ambas a 10 funciona correctamente pero dejo de recibir correos y al de un tiempo nos quedamos sin internet en la red local.
El servidor de correo es externo.
Al poner la misma distancia a wan1 y wan2 he comprobado creando una politica de fw desde internal a wan2 para pop3, que los correos entrantes van por la wan2.
Me hablas en el mensaje anterior de la prioridad. Tenía entendido que si se solicitaba un servicio desde una wan, en este caso la wan1, el tráfico iría por esta wan a no ser que exista una política de router, que encauce este trafico por el otro interface. Si no tengo ninguna política de router, cómo es posible que salga el trafico por wan2?.
Mi intención es dejar la wan2 para dar el servicio web que tengo en dmz y el resto de tráfico como hasta ahora por la wan1.
Gracias
He comprobado que cambiando la distancia de las dos wans el tema se resuelve pero se estropea otro tanto.
Tenía distancia para wan1:10 y para wan2:20. Si pongo ambas a 10 funciona correctamente pero dejo de recibir correos y al de un tiempo nos quedamos sin internet en la red local.
El servidor de correo es externo.
Al poner la misma distancia a wan1 y wan2 he comprobado creando una politica de fw desde internal a wan2 para pop3, que los correos entrantes van por la wan2.
Me hablas en el mensaje anterior de la prioridad. Tenía entendido que si se solicitaba un servicio desde una wan, en este caso la wan1, el tráfico iría por esta wan a no ser que exista una política de router, que encauce este trafico por el otro interface. Si no tengo ninguna política de router, cómo es posible que salga el trafico por wan2?.
Mi intención es dejar la wan2 para dar el servicio web que tengo en dmz y el resto de tráfico como hasta ahora por la wan1.
Gracias
Re: 2 wans y dmz
hola, lo que te falta es revisar la configuracion de las wan (prioridad)
te dejo este link, ya se hablo mucho en el foro sobe DUAL WANs
viewtopic.php?f=19&t=948&p=4882&hilit=dual+wan#p4882
saludos
te dejo este link, ya se hablo mucho en el foro sobe DUAL WANs
viewtopic.php?f=19&t=948&p=4882&hilit=dual+wan#p4882
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: 2 wans y dmz
Muchisimas gracias!.
Creo que ya tengo la configuración óptima. He cambiado las distancias y la prioridad de las wans. De momento todo funciona bien,... espero que no cambie la cosa,
.
Creo que ya tengo la configuración óptima. He cambiado las distancias y la prioridad de las wans. De momento todo funciona bien,... espero que no cambie la cosa,
.Re: 2 wans y dmz
Hola, ok mejor asi
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: 2 wans y dmz
Saludos:
Soy nuevo en el foro y tengo la siguiente situación configurando dos wan a un forti 110c. La situación es la siguiente hice pruebas con el nuevo proveedor de Internet y lo configure por policy route, puedo salir para Internet pero no estoy llegando a la pagina web interna (DMZ). No estoy seguro si me falta configurar algún otro policy route para forzar el enrutamiento a mi DMZ y luego hacia afuera.
Agradeceré en lo que me puedan ayudar,
Saludos y Gracias,
Ricky
Soy nuevo en el foro y tengo la siguiente situación configurando dos wan a un forti 110c. La situación es la siguiente hice pruebas con el nuevo proveedor de Internet y lo configure por policy route, puedo salir para Internet pero no estoy llegando a la pagina web interna (DMZ). No estoy seguro si me falta configurar algún otro policy route para forzar el enrutamiento a mi DMZ y luego hacia afuera.
Agradeceré en lo que me puedan ayudar,
Saludos y Gracias,
Ricky
Re: 2 wans y dmz
hola, depende como armaste la policy route, pero si ruteaste TODO para salir por la wan, deberas agregas una policy route arriba de la anteriuor para rutear el trafico que necesites ir por dmz.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst