Redireccionar tráfico WAN por una VPN IPSec
Publicado: 03 Dic 2012, 13:01
Buenas tardes,
Tengo un problema y no soy capaz de dar con la tecla, a ver si alguien puede echarme una manita. Os cuento:
Tenemos dos sedes en distintos lugares físicos. En cada una de ellas tenemos un fortigate 100C con dos salidas a internet configuradas, WAN1 y WAN2. Para la comunicación interna tenemos una VPN IPSec tirada entre ambas sedes y que sale en ambos casos por la WAN1. Funciona sin ningún problema desde hace tiempo y parece todo correcto.
Por otro lado, tenemos un cliente en el exterior cuya IP vamos a suponer que es 1.1.1.1 y a la cual sólo podemos acceder desde la salidas WAN2 de cada una de las sedes ya que ellos filtran por IP y darla de alta en sus sistemas es una auténtica pesadilla. Aunque estamos en proceso de que registren nuestras IPs de las bocas WAN1 de cada sede, se ha caído nuestra boca WAN2 en la Sede1 y no podemos acceder al servicio desde allí.
Mientras se soluciona, que puede ser cosa de unos días, he estado intentando redirigir el tráfico desde la Sede1 hacía Sede2 a través de la VPN para que pueda salir por la boca WAN2 de allí y así solucionar el problema de momento. El problema radica en que aunque creo estar haciendo bien la configuración, no soy capaz de acceder por lo que resulta obvio que algo no está funcionando.
Os cuento mi configuración actual para ver dónde puede radicar el problema:
En Sede1 tengo una ruta estática hacía 1.1.1.1/24 a través de la VPN. Las reglas del firewall actualmente las tengo en all-all. Es decir, que todo puede ir desde la red interna hacía la VPN.
En Sede2 tengo una política de ruta que indica que todo el tráfico que llegue por la VPN con destino 1.1.1.1 se envíe por WAN2 usando su gateway. En la regla del firewall más de lo mismo, todo permitido desde la VPN hacia cualquier lado.
Sé que esas políticas de firewall no son seguras, de hecho las tenía más restringidas, pero primero quiero hacerlo funcionar y luego voy restringiendo.
Si hago un tracert desde Sede1 hacía 1.1.1.1 veo que va hacia la otra sede, pero al llegar a su puerta de enlace pierdo la pista, es decir, que el tráfico en teoría llega a la Sede2, pero allí o bien no lo estoy enrutando bien, o el firewall lo filtra, o algo pasa.
Si alguien tiene alguna idea estaría enormemente agradecido.
Un saludo y gracias
Tengo un problema y no soy capaz de dar con la tecla, a ver si alguien puede echarme una manita. Os cuento:
Tenemos dos sedes en distintos lugares físicos. En cada una de ellas tenemos un fortigate 100C con dos salidas a internet configuradas, WAN1 y WAN2. Para la comunicación interna tenemos una VPN IPSec tirada entre ambas sedes y que sale en ambos casos por la WAN1. Funciona sin ningún problema desde hace tiempo y parece todo correcto.
Por otro lado, tenemos un cliente en el exterior cuya IP vamos a suponer que es 1.1.1.1 y a la cual sólo podemos acceder desde la salidas WAN2 de cada una de las sedes ya que ellos filtran por IP y darla de alta en sus sistemas es una auténtica pesadilla. Aunque estamos en proceso de que registren nuestras IPs de las bocas WAN1 de cada sede, se ha caído nuestra boca WAN2 en la Sede1 y no podemos acceder al servicio desde allí.
Mientras se soluciona, que puede ser cosa de unos días, he estado intentando redirigir el tráfico desde la Sede1 hacía Sede2 a través de la VPN para que pueda salir por la boca WAN2 de allí y así solucionar el problema de momento. El problema radica en que aunque creo estar haciendo bien la configuración, no soy capaz de acceder por lo que resulta obvio que algo no está funcionando.
Os cuento mi configuración actual para ver dónde puede radicar el problema:
En Sede1 tengo una ruta estática hacía 1.1.1.1/24 a través de la VPN. Las reglas del firewall actualmente las tengo en all-all. Es decir, que todo puede ir desde la red interna hacía la VPN.
En Sede2 tengo una política de ruta que indica que todo el tráfico que llegue por la VPN con destino 1.1.1.1 se envíe por WAN2 usando su gateway. En la regla del firewall más de lo mismo, todo permitido desde la VPN hacia cualquier lado.
Sé que esas políticas de firewall no son seguras, de hecho las tenía más restringidas, pero primero quiero hacerlo funcionar y luego voy restringiendo.
Si hago un tracert desde Sede1 hacía 1.1.1.1 veo que va hacia la otra sede, pero al llegar a su puerta de enlace pierdo la pista, es decir, que el tráfico en teoría llega a la Sede2, pero allí o bien no lo estoy enrutando bien, o el firewall lo filtra, o algo pasa.
Si alguien tiene alguna idea estaría enormemente agradecido.
Un saludo y gracias
