Hola.
Estoy configurando un Fortigate 80C. Por cuestiones de compatibilidad con equipos reemplazados necesite poner 2 ip de subredes distintas en la wan1 que conecta a internet.
Wan1
IP principal 200.---.---.165/28
IP secundaria 10.8.0.250/16
Todas las configuraciones funcionan correctamente, salidas de navegación, redirecciones de servidores web, VPN, etc.
El problema es que el Fortigate no se conecta al registro de licencias. Tampoco no se puede hacer ping desde la consola a internet.
Haciendo algunas pruebas pude determinar que el problema es simple, Fortigate y la consola utilizan la ip secundaria IP 10.8.0.250 y no la 200.---.---.65
¿Cómo configuro para que internamente el Fortigate use la IP primaria y no la secundaria.?
Desde ya muchas gracias.
Saludos.
Wan con IP secundaria no da salida desde consola.
Re: Wan con IP secundaria no da salida desde consola.
hola, como estas?
se me ocurre hacer rutas estaticas para ir al destinto de service.fortguard.net
pero son muchas ip publicas.....
saludos
se me ocurre hacer rutas estaticas para ir al destinto de service.fortguard.net
pero son muchas ip publicas.....
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Wan con IP secundaria no da salida desde consola.
Gabriel,
Por ahora no encuentro salida, por mas que sea una sola ip la del destino, en las rutas se define por que interfaz sale pero no la ip de salida.
La salida via NAT para la navegacion de la red interna se logra gracias a forzar una ip con un IP pool y aplicarlo a todas las salidas NAT, de lo contrario no funcionan y creo que es por que tratan de salir por la ip secundaria.
En el caso del núcleo no lo afectan estas políticas (entiendo) por lo que esta solucion no es posible.
Saludos-
Por ahora no encuentro salida, por mas que sea una sola ip la del destino, en las rutas se define por que interfaz sale pero no la ip de salida.
La salida via NAT para la navegacion de la red interna se logra gracias a forzar una ip con un IP pool y aplicarlo a todas las salidas NAT, de lo contrario no funcionan y creo que es por que tratan de salir por la ip secundaria.
En el caso del núcleo no lo afectan estas políticas (entiendo) por lo que esta solucion no es posible.
Saludos-
Re: Wan con IP secundaria no da salida desde consola.
hola, no entendi nada lo que dijiste
empezemos de cero.
tenes 2 wan, que distancia y que prioridad tiene cada una de ellas?.
dns configurados en el fortigate?
dns que usan las PC's???
saludos
empezemos de cero.
tenes 2 wan, que distancia y que prioridad tiene cada una de ellas?.
dns configurados en el fortigate?
dns que usan las PC's???
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Wan con IP secundaria no da salida desde consola.
Gabriel.
Discúlpame si no me explico bien.
Porque uso doble IP?
El router de la prestadora tiene IP 10.8.0.253 / 16 y manda todo el rango de IP 200.---.---.160/28 a una IP 10.8.0.250
Esto lo heredé y resulta complicado coordinar con la prestadora una reconfiguración.
Este método permite usar todas las IP del rango publico sin perder la primera como gategay y la ultima como broadcast . (yo lo detesto pero así estaba )
Para poder reemplazar el equipo anterior con un corte menor configuré de la siguiente manera:
Wan1 :
IP primaria : 200.---.---.165/28
IP secundaria : 10.8.0.250 / 16
La ruta principal es 0.0.0.0/0.0.0.0 a 10.8.0.253
En IP 162 y 164 del rango publico configure accesos a servidores web
Claro que puse los DNS en el forti.
Los servidores se pueden acceder, las maquinas pueden navegar desde la red interna.
Cuál es el problema.
Desde cli el ping no responde a ninguna ip publica, porque trata de salir por la IP secundaria 10.8.0.250 (a no ser publica no puede retornar la respuesta)
La maquinas internas navegan por que usan NAT con un Dynamic IP Pool de una IP publica, la 165. Esto le dice a NAT que IP usar.
Sin este pool en la política con NAT no funcionaba la navegación porque sale por la IP secundaria 10.8.0.250
El único problema que tengo en realidad es que el forti no puede alcanzar los sitios de registro y las actualizaciones.
Espero haber sido claro.
Saludos.
Discúlpame si no me explico bien.
Porque uso doble IP?
El router de la prestadora tiene IP 10.8.0.253 / 16 y manda todo el rango de IP 200.---.---.160/28 a una IP 10.8.0.250
Esto lo heredé y resulta complicado coordinar con la prestadora una reconfiguración.
Este método permite usar todas las IP del rango publico sin perder la primera como gategay y la ultima como broadcast . (yo lo detesto pero así estaba )
Para poder reemplazar el equipo anterior con un corte menor configuré de la siguiente manera:
Wan1 :
IP primaria : 200.---.---.165/28
IP secundaria : 10.8.0.250 / 16
La ruta principal es 0.0.0.0/0.0.0.0 a 10.8.0.253
En IP 162 y 164 del rango publico configure accesos a servidores web
Claro que puse los DNS en el forti.
Los servidores se pueden acceder, las maquinas pueden navegar desde la red interna.
Cuál es el problema.
Desde cli el ping no responde a ninguna ip publica, porque trata de salir por la IP secundaria 10.8.0.250 (a no ser publica no puede retornar la respuesta)
La maquinas internas navegan por que usan NAT con un Dynamic IP Pool de una IP publica, la 165. Esto le dice a NAT que IP usar.
Sin este pool en la política con NAT no funcionaba la navegación porque sale por la IP secundaria 10.8.0.250
El único problema que tengo en realidad es que el forti no puede alcanzar los sitios de registro y las actualizaciones.
Espero haber sido claro.
Saludos.