Hola, tengo una red con unos 100 ordenadores que se conecta a un firewall fortigate 100A, y dos ADSL de 10 MB, actualmente todo el trafico sale por la WAN1 (192.102.100.1) y la segunda WAN (192.103.100.1) queda inutilazada.
Estoy teniendo microcortes cuando la red se satura, pienso que puede ser por saturacion de la red (pero no estoy seguro, ya que la red desde internet es visible y accesible pero internamente no tienen internet pero si conexion en red, la parte interna queda sin conexion). Por lo tanto he probado a dividir la red y que unos pcs se conecten a la WAN 1 (192.100.100.[1-128]) y otros (192.100.100.[129-250]) a la WAN2 y asi aprovechar todo el ancho de banda, Pero eso no me funciona. Actualmente en las politicas de firewall tengo indicado que de internal ->wan1 salga todo el trafico (0.0.0.0/0.0.0.0), ya que si pruebo a poner 192.150.150.[0-128] (sin mascara de red ya que no me deja añadirla), no tengo conexion a red. y en internal -> WAN2 no tengo nada activado, pero me gustaria poner 192.100.100.[129-250] y desviar esa parte de la red. ¿Es posible realizar esta conexion o como se tendria que realizar?
Espero que me puedan ayudar. Ademas tengo que actualizarlo, la verison que tengo es la Fortigate-100A 2.80,build430,050609, ¿si lo actualizo puedo perder la configuracion?
Gracias por adelantado
Problema con politicas en fortigate 100A
Re: Problema con politicas en fortigate 100A
hola, como estas? Primero de todo, tendrias que actulizar el firmware ya que es bastante viejo el que tenes.
la idea seria que actulices primero al ultimo firmware del 2.8 y luego al primero del 3.0 y luego los pasos siguientes que estan los detalles en este link(release notes en la pagina 9.
ftp://support.fortinet.com/FortiGate/v3 ... ease-5.pdf
tambien para leer:
[Debes identificarte para poder ver enlaces.]
Con el tema de lo demas, tendras que tener las 2 wan vivias, eso significa que tendras las 2 wan con la misma distancia y una con menor prioridad, asi por default sale todo por ahi y el rango de ip o protocolos lo ruteas con policys routes.
te dejo otro link que te va a aayudar:
[Debes identificarte para poder ver enlaces.]
Bueno ya tenes bastante info para leer y tambien para trabajar.
Siempre en los update de firmware guardate un backup.
saludos
Gabriel
la idea seria que actulices primero al ultimo firmware del 2.8 y luego al primero del 3.0 y luego los pasos siguientes que estan los detalles en este link(release notes en la pagina 9.
ftp://support.fortinet.com/FortiGate/v3 ... ease-5.pdf
tambien para leer:
[Debes identificarte para poder ver enlaces.]
Con el tema de lo demas, tendras que tener las 2 wan vivias, eso significa que tendras las 2 wan con la misma distancia y una con menor prioridad, asi por default sale todo por ahi y el rango de ip o protocolos lo ruteas con policys routes.
te dejo otro link que te va a aayudar:
[Debes identificarte para poder ver enlaces.]
Bueno ya tenes bastante info para leer y tambien para trabajar.
Siempre en los update de firmware guardate un backup.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con politicas en fortigate 100A
Gracias, lo probare.
Otra cosa ¿se puede saturar el fortigate por demasiado trafico? actualmente se utiliza unicamente una linea de 10 megas (6,5 MB reales) para los 100 pcs (a la vez como mucho funcionaran 50pcs, de pico). ¿O un firewall de estas caracteristicas no se satura tan facilmente? Los cortes a veces son de 1 minuto.
Otra cosa ¿se puede saturar el fortigate por demasiado trafico? actualmente se utiliza unicamente una linea de 10 megas (6,5 MB reales) para los 100 pcs (a la vez como mucho funcionaran 50pcs, de pico). ¿O un firewall de estas caracteristicas no se satura tan facilmente? Los cortes a veces son de 1 minuto.
Re: Problema con politicas en fortigate 100A
Hola, como estas? estas mezclando 2 cosas... cortes del servicios de internet (proveedor) y saturacion del firewall.
Si hay problemas con el proveedor hay que hacer el reclamo y ver que lo arreglen.
Si el fortegate rechaza conecciones porque esta sobrecargado puede pasar, pero es porque esta mal configurado o se esta dejando pasar todo.. Muchas veces pasa con los p2p, que al prinicio no lo blouqean y los p2p son de abrir muchisimas sesiones por cada pc, entonces el fortigate se sobrecarga y se pone en modo conservador atendiendo las sesiones que puede.
Nose bien cual es tu caso, pero pensalo, revisalo y actua segun cual sea tu caso.
saludos
gabriel
Si hay problemas con el proveedor hay que hacer el reclamo y ver que lo arreglen.
Si el fortegate rechaza conecciones porque esta sobrecargado puede pasar, pero es porque esta mal configurado o se esta dejando pasar todo.. Muchas veces pasa con los p2p, que al prinicio no lo blouqean y los p2p son de abrir muchisimas sesiones por cada pc, entonces el fortigate se sobrecarga y se pone en modo conservador atendiendo las sesiones que puede.
Nose bien cual es tu caso, pero pensalo, revisalo y actua segun cual sea tu caso.
saludos
gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con politicas en fortigate 100A
Correcto, como dices lo primero que hice fue comprobar las ADSL, y en efecto las dos funcionan correctamte (aunque solo utilize una).
La otra opcion que tenia era la de cortar el trafico P2P, pero al tener una version de Firmware antigua la opcion de bloquear ese trafico no la tengo. Pero revisando las conexiones y puertos creo que no se esta utilizando ningun programa P2P. Una vez actualize el firmware si que filtrare ese trafico para impedirlo.
En las URLs vistadas, diariamente se visitan unas 80000 en 24 h. ¿Es posible saber cuanto trafico o pcs puede sopòrtar un fortigate 100A?
Saludos y Gabriel eres un crack.
La otra opcion que tenia era la de cortar el trafico P2P, pero al tener una version de Firmware antigua la opcion de bloquear ese trafico no la tengo. Pero revisando las conexiones y puertos creo que no se esta utilizando ningun programa P2P. Una vez actualize el firmware si que filtrare ese trafico para impedirlo.
En las URLs vistadas, diariamente se visitan unas 80000 en 24 h. ¿Es posible saber cuanto trafico o pcs puede sopòrtar un fortigate 100A?
Saludos y Gabriel eres un crack.
Re: Problema con politicas en fortigate 100A
Hola, como estas? Mira respondiendote a la pregunta de cuanto trafico o cuantas pc's es muy dificil calcular esto. ya que cada red es distinta y cada configuracion tambien.
Mientras mejor este configurado el equipo y menor aplicaciones que levanten muchas sesiones mejor.
Para cada equipo dependiendo del firmware hay tablas con valores maximos de politicas, grupos, profiles.. etc pero no de rendimiento.
te dejo el link, por ahi te sirve :
para firmware 2.8
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
para firmware 3.0
[Debes identificarte para poder ver enlaces.]
Te recomiendo que empieces a pensar en una actulizacion de firmware, por lo menos a 3.0 mr5 PACTH5
vas a tener muchas cosas mas para utilizar (bloqueos de p2p, msn por id, ips mas granular, etc etc).
saludos
Gabriel
Mientras mejor este configurado el equipo y menor aplicaciones que levanten muchas sesiones mejor.
Para cada equipo dependiendo del firmware hay tablas con valores maximos de politicas, grupos, profiles.. etc pero no de rendimiento.
te dejo el link, por ahi te sirve :
para firmware 2.8
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
para firmware 3.0
[Debes identificarte para poder ver enlaces.]
Te recomiendo que empieces a pensar en una actulizacion de firmware, por lo menos a 3.0 mr5 PACTH5
vas a tener muchas cosas mas para utilizar (bloqueos de p2p, msn por id, ips mas granular, etc etc).
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con politicas en fortigate 100A
Ya he actualizado el firewall a esta version Fortigate-100A 3.00-b0559(MR5), y tengo todo solucionado. Pero en esta version, ¿no se puede saber el ancho de banda consumido?
Para filtrar el trafico P2P hay que activar algo, es decir para que me muestre si alguien esta utilizandolo. En el caso de bloquear el trafico se quien intenta acceder.
Un saludo, este foro es de gran ayuda.
Para filtrar el trafico P2P hay que activar algo, es decir para que me muestre si alguien esta utilizandolo. En el caso de bloquear el trafico se quien intenta acceder.
Un saludo, este foro es de gran ayuda.
Re: Problema con politicas en fortigate 100A
hola, como estas?^como obtenias el ancho de banda consumido?
aca por cada politica que tenes podes agregar una columna mas que se llama count y va contando los mb consumidos por esa politica.
Lo demas esta como las versiones anteriores.
Para bloquear los p2p lo haces desde el profile. y el ares desde el ips.
si ves muchas sessiones con puertos altos.. seguramente hay alguien con algun p2p .
saludos
Gabriel
aca por cada politica que tenes podes agregar una columna mas que se llama count y va contando los mb consumidos por esa politica.
Lo demas esta como las versiones anteriores.
Para bloquear los p2p lo haces desde el profile. y el ares desde el ips.
si ves muchas sessiones con puertos altos.. seguramente hay alguien con algun p2p .
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con politicas en fortigate 100A
En la version anterior de firmware yo podia ver cuanto se estaba consumiento de ADSL, pero era por mera curiosidad, en esta version creo que ya no aparece ese campo.
Muchas gracias
Saludos
Antonio
Muchas gracias
Saludos
Antonio
Re: Problema con politicas en fortigate 100A
hola, como estas? donde veias ese campo en el fimware anterior? decime a ver si te ayudo en la nueva version donde esta ubicado.
saludos
gabriel
saludos
gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con politicas en fortigate 100A
Estaba en la hoja principal de status, junto a las estadisticas.
Agradezco tu interes, este valor era interesante para ver en que momento la red estaba sobrecargada.
Un saludo
Agradezco tu interes, este valor era interesante para ver en que momento la red estaba sobrecargada.
Un saludo
Re: Problema con politicas en fortigate 100A
ahhh ok, algo parecido tenes en log & report -> report access.
y en las ultimas versiones de ios (MR6), hay varios graficos mas bastantes interesantes que podes armar por trafico por interfaces. etc.
saludos
Gabriel
y en las ultimas versiones de ios (MR6), hay varios graficos mas bastantes interesantes que podes armar por trafico por interfaces. etc.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con politicas en fortigate 100A
Tienes razon, antes me decia unicamente el consumo medio y ahora lo desglosa segun trafico.
Gracias
Un saludo
Gracias
Un saludo
Re: Problema con politicas en fortigate 100A
si !!! exactamente.
que sigas bien, cualquier cosa hablamos
saludos
Gabriel
que sigas bien, cualquier cosa hablamos
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst