Forti 60B - 2 conexiones de internet

[carinavb]

Y como hago para que solo un grupo de esa red salga por la wan2?.

[gabyrossi]

Hola, o modificas la mascara.... o sin son pocas ip, vas agregando policy route por cada ip. Ojo poraue tenes una limitante de policy route creo que 20, en los modelos chicos


bajaste el soft subnet calculator que te va a ayudar para hacer eso:

[Debes identificarte para poder ver enlaces.]

saludos

[rodrigofortigate]

Gaby,
muchas gracias por tu ayuda, me ha sido de mucha utilidad..
tengo una sola consulta y es referente a los DNS
ISP 1 -- DNS A
ISP 2 -- DNS B

tengo configurado que los equipos conectados en la puerta 1 salgan por el ISP1 y los equipos conectados a la puerta 2 salgan por el ISP 2
además configurado en failover, es decir, si se cae un enlace sale por el otro..
el tema es, como puedo hacer que se cambien tambien los DNS y no solo el enlace de salida??
ambos enlaces son son IP estatica ( enlaces dedicados)

muchisimas gracias!

[gabyrossi]

Hola, como estas? Si no tenes un dns interno, lo que te queda es poner un dns de cad aproveedor. Primero ira el qiue use como enlace primario.

saludos

[rodrigofortigate]

Gaby,
Estuve trabajando en un servidor de DNS en linux ( Bind 9). aca tengo una consulta.. este servidor de DNS solo se utilizara como un forward de los DNS servers del iSP, verdad?? entonces aca tengo que poner las IP de los dns de ISP1 y del ISP2.
Coloqué un pc y le asigne manualmente el servidor de dns en linux y navego sin problemas.. mi consulta es
donde le especifico al fortigate este dns interno??
tengo un FG60B y en System>Network>Options tengo opciones para dns, desde especificar los dns

DNS Settings
Obtain DNS server address automatically
Use the following DNS server addresses
Primary DNS Server
Secondary DNS Server
Local Domain Name

Asi como tambien :

Enable DNS forwarding from:
dmz
internal1
internal2
internal3
internal4
internal6

Tambien se pueden especificar los dns en el servidor de dhcp..me podrias aclarar por favor???

Gracias!

[gabyrossi]

Hola, como estas?

Los dns seteandos en System>Network>Options , seran los que use el fortigate para sus actualiaciones (av, webfiler,ips...etc).

Tambien si tenes dhcp server configurado en el server y como dnbs usas la ip de la interna del foprtigate, usara esos dns.

haciendo el forward que comentan para las interfaces.
Pero si tenes dns internso y en las pcs usas esos dns, no harian falta. Porque directamente configuras en el dhcp o en las maquinas el dns interno.

saludos

[rodrigofortigate]

Funcionó perfectamete con el dns interno..
Muchisimas Gracias por tu ayuda.!!

[gabyrossi]

hola, barbaro.

suerte

[rodrigofortigate]

Gaby.. me han surgido dos consultas. disculpa por abusar de tu ayuda..

1.- Al estar los dos enlaces con misma distancia y prioridad, la conexion queda en modo balanceo de carga. En este estado, puedo igualmente definir a través de Policy route que, por ejemplo, todo el trafico de una subred se vaya por el enlace 2, tal como se podia cuando se tenia el enlace 1 con prioridad menor que el enlace 2. Te lo pregunto ya que no me esta funcionando. Quizas balanceo ya no lo soporta.

2.- A que se refiere balanceo?? Por ejemplo, si tengo el enlace A de 10 MB y el enlace B de 5 MB.
* Empieza a usar el enlace A, si los usarios lo saturan ( los 10 MB ), las demas conexiones empiezan a salir por el enlace B ??
* Se suman los dos enlaces?? es decir, se puede considerar que ahora tengo un enlace de A+B = 15 MB para navegar?

Muchas gracias

Rodrigo

[gabyrossi]

Hola, a ver, el "balanceo" (load-balancing), para fortigate es un "Equal Cost Multiple Path". ECMP is a mechanism that allows multiple routes to the same destination with different next-hops and load-balances routed traffic over those multiple next-hops.

Lo que hace es sacar algunos paquetes o sesiones por una wan y otros por otro. Con "algun" procedicmiento interno del fortigate.
Asique no te va a unir los 2, y tener 15 mb, puede que alguno salga por un lado, otro por el otro y asi.

Si queres sacar algun protocolo por alguno de los enlaces especificamente, tendrias que romper con el ecmp y volver como tenias, con distinta prioridad.

saludos

[rodrigofortigate]

Clarisimo
Millon de gracias.

[gabyrossi]

hola, barbaro

suerte

[junarich]

Perdon que me meta en este tema Gaby tengo una consulta como puedo hacer tengo 3 equipos Fortigate A B C Digamos que el A es el principal , tengo tuneles del B al A y otro tunel del C al A como uedo hacer para que B y C se vean sin tener que hacer un tunel entre B y C .

gracias por tu ayuda

[gabyrossi]

hola, tendras que hacer vpn en modo tunel y politia ce interfaces entre vpn en el a.

saludos

[junarich]

Gracias gaby por la respuesta pero vieras que no te entendi muy bien

explico de nuevo a ver

tengo 3 redes

A - 10.0.0.10 (fortigate principal)
B - 10.0.0.20
C - 10.0.0.30
tengo 2 tunesles (Tunnel Mode) del A al C y del A al C

La red entre el tunel A y C si se ven, y la red entre el A y B tambien se ven hasta ahi todo bien

Pero quiero que la red C y B se vean pasando por la red A que es la principal en otras palabras sin tener que hacer otro tunel


si no me explico bien me dices