Comunidad FORTIGATE.es

Tengo un problemita que debe ser una tonteria pero no encuentro la solucion a ver si me pueden ayudar.

El Forti en cuestion es un 110C con la ultima version, tengo publicados varios puertos sin problemas pero desde la red interna no puedo acceder a ellos, desde internet funcionan sin problemas, quisiera saber si esto es asi o si estoy haciendo algo mal? lo mismo me pasa cuando quiero entrar a la configuracion de la VPN via web.

Por ejemplo, tengo una regla
FTP - wan1/200.40.1.1 - 21/tcp - 192.168.0.10 - 21/tcp

Si quiero entrar al FTP desde mi red interna tengo que apuntar al 192.186.0.10:21, ya que si lo hago al 200.40.1.1:21 desde adentro me da error, pero desde afuera funciona sin problemas. Esto mas que nada es una molestia porque muchos usuarios se conectan de ambos lados y tienen que estar cambiando la configuracion cada ves.
Y como dije anteriormente, puedo acceder al dashboard de la VPN a traves de la IP publica, pero no me autentica el usuario de dominio, mientras que sin tocar nada, accedo desde internet y funciona correctamente.

Muchas gracias de ante mano.

hola, asi es

desde adentro aputan a la ip privada o en tal caso si usas dns priuvado al nombre.

saludos

gabyrossi escribió:hola, asi es

desde adentro aputan a la ip privada o en tal caso si usas dns priuvado al nombre.

saludos

ok, ya me parecia que estaba todo configurado correctamente.

Muchas gracias por sacarme la duda.

gabyrossi escribió:hola, asi es

desde adentro aputan a la ip privada o en tal caso si usas dns priuvado al nombre.

saludos

sigue funcionando, pero no se puede modificar para que permita acceder con la ip publica a los puertos publicados desde la red privada?

Buenas,

Supongo que es de perrogrullo, pero creo deberías crear políticas que vayan desde tu red privada a la WAN permitiendo el acceso a esos servicios. Por ejemplo en el caso del FTP que has mencionado, pues deberías de crear una política con origen la red privada y destino WAN que permita conexiones al puerto FTP. Creo que esto solucionaría tu problema, podrías acceder desde la red privada a los servicios utilizando la IP pública de dichos servicios. Aunque mejor espera a ver que dice Gabriel que es el que sabe de verdad.

Saludos.

Hola, muchas veces no funciona estando en la red interna salir a internet y volver a entrar para consumir algo interno.
Por eso lo ideal es hacerlo directamente a la ip privada o por nombre (resolviendo siempre a la ip privada) estando localmente.

saludos

gabyrossi escribió:Hola, muchas veces no funciona estando en la red interna salir a internet y volver a entrar para consumir algo interno.
Por eso lo ideal es hacerlo directamente a la ip privada o por nombre (resolviendo siempre a la ip privada) estando localmente.

saludos

Gabriel, retomo este tema, lo habian dejado de lado pero ahora estan insistiendo nuevamente.

Volviendo con el ejemplo del FTP, estando dentro de la empesa, apunto al 192.168.0.10:21 y accedo al FTP sin problemas, ahora, si apunto a 200.40.1.1:21 no tengo respuesta y retorna un error que no puede encontrar la pagina. Si estoy fuera de la empresa y apunto al 200.40.1.1:21 accedo sin problemas al FTP y obviamente al intentar conectarme al 192.168.0.10:21 no tengo respuesta.

Estuve revisando las reglas y no encuentro donde estaria el error, como dijo Felipe ya esta configurada la regla que permite la salida de los servicios. Se puede hacer o es como tu dices que no funciona, salir a internet para volver a entrar vía la ip publica?

hola, revisa este link,asi podras solucionarlo

[Debes identificarte para poder ver enlaces.]

saludos.

gabyrossi escribió:hola, revisa este link,asi podras solucionarlo

[Debes identificarte para poder ver enlaces.]

saludos.

gracias por el link Gabriel, pero no funciono. No aplica para mi caso, ya que yo solo publico puertos, en ese caso publican todo el servidor. Intente hacer el cambio pero no me deja hacer el cambio a la interface ANY, me dice que la misma esta solapada con otros servicios lo cual es correcto porque tengo varios servidores publicados.

Sigo investigando.

hola, funcionar funciona!!!
vos tendes que borrar el vip y crearlo con la interface ANY.

SALUDOS.

gabyrossi escribió:hola, funcionar funciona!!!
vos tendes que borrar el vip y crearlo con la interface ANY.

SALUDOS.

Como te comentaba en el otro post, ya lo probe y no funciona. Via SSH me da que los servicios estan solapados y via GUI me dice "A duplicate entry already exists."

Igual sigo intentando.

hola, en el post anterior habias puesto que no te dejaba modificar la interface...
por eso te dije que deberias borrarla..

lo hiciste? deberiaa borrar todos los vip que usen esa ip publica. para poder hacer los vip con la interface "any"

saludos.