conectar dos DSL a un fortinet 100A

[eecrs]

plateo este esenacio ojala me puedan ayudar.

tengo un forti 100A, en el puerto WAN1 tengo un DSL con sus respecticas politicas para blokear internet y paginas, sucede que se contrato otro DSL para donde trabajo, el unico puerto libre que tengo es el DMZ2 he conectado ahi el DSL, hizo un grupo de ip para que solo usen ese enlace, hice las politicas igual como estan en el puerto WAN1, pero no me da acceso.

no se si ser puerto DMZ se maneja de otra forma o tenga que hacer un enrutamiento o modificar de una forma una politica. ojala me ayuden se los agradeceria

[gabyrossi]

hola, revisa en el foro temas de doble wan o dual wan.

tener qiue revisar distancia y prioridad de los 2 dsl y luego manejar politicas de ruteo.

saludos.

[eecrs]

ya revise y no ahi anda de eso

[gabyrossi]

como que no?¡??

viewtopic.php?f=7&t=4081&p=18377&hilit=doble+wan#p18377

viewtopic.php?f=5&t=3952&p=17899&hilit=doble+wan#p17899

viewtopic.php?f=7&t=3300&p=17269&hilit=doble+wan#p17269

y mas...

saludos.

[eecrs]

gaby gracias, si cheque un manualito sobre las rutas y politicas del router, tengo varios segmentos de red, pero en uno solo tengo internet y en otros no, se tendra que configurar otras rutas para otro segmentos de red para los que me faltan?

[gabyrossi]

eh???
no se entendio
podes comentar como tenes la distancia y prioridad de los 2 enlaces?
hiciste policy route=?

tenes politicas de firewall?


saludos,

[eecrs]

asi es como tengo configurado mi forti

Static Route

Destination IP/Mask 0.0.0.0/0.0.0.0
Device Wan2
Gateway 192.168.2.254
Distancia 5
Priority 0

Destination IP/Mask 0.0.0.0/0.0.0.0
Device DMZ2
Gateway 192.168.3.254
Distancia 10
Priority 0

Policy Route
Protocol 0
Incoming interface Internal
Source address / mask 0.0.0.0/0.0.0.0
Destination address / mask 0.0.0.0/0.0.0.0
Destination address/mask 0.0.0.0/0.0.0.0
Destinación ports 1 to 65535

Outgoing interface DMZ2
Gateway address 192.168.3.254


Policy
Todos---> DMZ2
Source Interface/Zone Todos
Source Address Sininternet 2(solo este grupo se conecta a este DSL)
Destination Interface/Zone DMZ2
Destination Address ALL
Schedule Almways
Service Any
Action Accept
Enable NAT

DMZ2 ----> todos
No NAT



cuando habilito el puerto DMZ2 algunos segmentos de red se quedan sin internet, en el grupo que hice para que solo algunas maquinas se conecten a internet en esl segundo DSL unas si tiene otras no, espero si esta informacion que mando puede servirles y me ayuden por favor

[gabyrossi]

hola, como estas?

la wan que tenga menor distancia.En este caso 5 sera la principal.
la otra que tiene 10 estara de failover.

para que las 2 esten vivas tienen que tener la misma distancia. Una vez que esta eso tenes que tener en cuenta la prioridad..
veo que no revisaste nada de los lionks que pase...

saludos.

[eecrs]

en la foto que te mando, en la wan tengo internet DSL para casi todo los usuarios, en el DMZ apenas se contrato y por ese se conectaran algunos usuarios que requieren rapides,en la distancia ya estan enparejados, pero en asi como tengo la prioridad solo me funciona el DMZ, pero el Wan no.

acaso la proridad debe ser igual o en base a que se configuran estos valores, en el DMZ salen un grupo de direccion que hice en el forti.

[Felipe]

Buenas,

En la documentación pone esto específicamente:

"The route with the lowest value in the priority field is considered the best route. It is also the primary route."

Es decir que como la DMZ tiene prioridad 0 que es menor que 1 se considera la ruta primaria. Debería resolverse indicándoles la misma prioridad a ambas.

Saludos.

[eecrs]

saludos amigos que tal, ya empareje las dos conexiones en distancia y prioridad pero el DMZ se me cae la conexion de internet he intentado con otros valores pero se desbalancea de un lado a otro,

[gabyrossi]

hola, vamos a ordenarnos...

que tipo de balanceo vas a querer hacer ?


Ejemplo, si quiere que mi default sea wan1:

wan1 distancia 10 ... Prioridad 1
wan2 distancia 10 ... Prioridad 5

Todo el trafico saldra por wan1 al menos que hagas policy route para una ip/red para sacarlo por wan2.

Ejemplo de balanceo o ECMP :

wna1 Distancia 10 Prioridad 1
Wan2 Distancia 10 Prioridad 1

Misma distancia y misma prioridads por default hace balanceo de origen. Una ip por una wan otra ip por tra wan.


SI qurees otros balanceo, revisa la doc o busca temas de dual wan o doble wan

saludos

[eecrs]

en firewall hice un grupo de direccion llamados internet 1, internet 2

wan1.... primer grupo internet 1
DMZ1....segundo grupo internet 2

el primer grupo es usado personal en general.
el segundo grupo sera usado por directivos

que los dos grupos puedan tener internet al mismo tiempo, es en grandes rasgos la idea de este esenario.

[gabyrossi]

Hola, pero pudiste resolver lo de la distancia y priordad?

saludos.

[eecrs]

nop trate de poner los mismos valores entre los dos puertos y nada el DM2 se queda sin internet