Fortigate 110C: Enrutamiento entre zonas

[alexbogus]

Hola a todos

Reciéntemente ha caido en mis manos un fortigate 110C en el que me plantean el siguiente reto. Configurar cada una de las 8 bocas del switch como redes distintas ("zonas") y enrutas entre ellas aplicando políticas ("acls"). Tras intentar configurarlo no lo he conseguido.

La configuración actual es:

Hola a todos

Reciéntemente ha caido en mis manos un fortigate 110C en el que me plantean el siguiente reto. Configurar cada una de las 8 bocas del switch como redes distintas ("zonas") y enrutas entre ellas aplicando políticas ("acls"). Tras intentar configurarlo no lo he conseguido.

La configuración actual es:

FG100C # show system zone
config system zone
edit "from-ett"
set interface "port1"
next
edit "DMZ"
set interface "port2"
next
edit "Asterisk VoIP"
set interface "port3"
next
edit "VLAN Backup"
set interface "port4"
next
edit "Servidores"
set interface "port5"
next
edit "PCs - Impresoras"
set interface "port6"
next
edit "WLAN Pública"
set interface "port7"
next
edit "INTERNET"
set interface "wan1"
set intrazone allow
next
end



FG100C# get system settings
opmode : nat
bfd : disable
utf8-spam-tagging : enable
wccp-cache-engine : disable
vpn-stats-log :
vpn-stats-period : 0
v4-ecmp-mode : source-ip-based
asymroute : disable
strict-src-check : disable
asymroute6 : disable
per-ip-bandwidth : enable
sip-helper : enable
sip-nat-trace : enable
status : enable
sip-tcp-port : 5060
sip-udp-port : 5060
sccp-port : 2000
multicast-forward : disable
multicast-ttl-notchange: disable
allow-subnet-overlap: disable
ecmp-max-paths : 10

¿Alguien me podriá indicar qué estoy haciendo mal? ¿Hace falta modificar algún parámetro para que sea capaz de enrutar entre las distintas zonas?

Muchas gracias por adelantado
Un cordial saludo



¿Qué estoy haciendo mal?

[gabyrossi]

Hola, porque creaste zonas ????

mejor dejas las interfaces in zonas y haces politicas entre interfaces y listo.

saludos

[alexbogus]

Hola, porque creaste zonas ????

Quería separar las distintas redes que tenemos en este cliente: "servidores", "lan PCs", "VoIP", etc...
Y de esta forma crear políticas de firewall entre las distintas zonas para permitir o denegar accesos.

Lo que hice fue, deshabilitar el modo switch y habilitar las zonas. Luego configuré las reglas de firewall para habilitar políticas de acceso desde una interface a otra. Pero me encuentro que aunque tengo habilitado el ping entre zonas, no puedo acceder desde la zona <servidores> a la zona <voip> haciendo un ping.

Muchas gracias por tu respuesta
Un cordial saludo
Atte
--
Alex Casanova (EA5HJX)
[Debes identificarte para poder ver enlaces.]
skype: alexbogus

[alexbogus]

Sin embargo lo que no veo normal es que si entro en Sistena - router - monitor - Monitor de rutas veo:

10.0.2.0/24 0 0 0.0.0.0 port4
172.16.0.0/22 0 0 0.0.0.0 port6
172.16.10.0/24 0 0 0.0.0.0 port7

Que son los puertos que tengo ahora mismo conectados y no veo que hayan rutas para salir de esa bocas.
Además tengo una regla en Firewall from <any> to <any> permit PING.

Saludos
Atte

[gabyrossi]

Hola, como estas?
para hacer lo que necesitas no te conviene usar zonas, mejor sacar las zonas y hacer politicas entre interfaces.

las zonas se usan para agararas varias interfaces y hacer politicas COMUNUNES. O para hacer politica de varias vpn en modo interfaces comunes.

es mas, si no hay polticia entre interfaces o ip, esta denegado el trafico entre ellas.
saludos

[alexbogus]

para hacer lo que necesitas no te conviene usar zonas, mejor sacar las zonas y hacer politicas entre interfaces.

Efectivamente, con esos cambios ha funcionado correctamente.
He hecho un <factoryreset> y he reconfigurado los interfaces y he aplicado políticas.

FG100C# config firewall policy
FG100C (policy) # delete 1
FG100C (policy) # end
FG100C# config system global
FG100C (global) # set internal-switch-mode interface
FG100C (global) # end

Luego he configurado las reglas de Firewall y ahora todo correcto
Muchas gracias

Un cordial saludo
Atte.

[gabyrossi]

hola, barbaro.

saludos