Comunidad FORTIGATE.es

Hola tengo un fortigate 100 A y bueno he instalado y configurado un pequeño servidor web en la DMZ1 y ya tengo configurado el acceso desde la WAN1 hacia el DMZ1, funciona a la perfección, me ha surgido la necesidad de tener acceso desde mi LAN hacia la DMZ1 y he creado la política muy similar a la que uso para acceso desde la WAN1 sin tener exito , la configuración de mis interfaces es la siguiente:

dmz1 10.10.10.1 / 255.255.255.0
internal 192.168.4.201 / 255.255.255.0
wan1 200.68.x.x / 255.255.255.255
wan2 201.140.x.x / 255.255.255.255

Dirección ip de mi servidor Web 10.10.10.5

Política de acceso desde la WAN1 hacia el DMZ1 FUNCIONA CORRECTAMENTE

Configuración VIP
Name WebAccess
External Interface WAN1
Type X Static NAT Load Balance
External IP Address/Range 200.68.x.x
Mapped IP Address/Range 10.10.10.5
Port Forwarding X
Protocol X TCP UDP
External Service Port 12xx
Map to Port 80

Politica WAN1 -> DMZ1
Source Interface/Zone WAN1
Address Name all
Destination Interface/Zone DMZ1
Address Name WebAccess
Schedule always
Service HTTP
Action ACCEPT
X NAT

Para crear la política de acceso desde la LAN hacia la DMZ1 creo una VIP cambiando la ip de la WAN1 por la ip de la interfase Internal y creo la política y no funciona, alguien me podría ayudar a encontrar en donde estoy cometiendo el error?

Configuración VIP
Name AccesoLan
External Interface internal
Type X Static NAT Load Balance
External IP Address/Range 192.168.4.201
Mapped IP Address/Range 10.10.10.5
Port Forwarding X
Protocol X TCP UDP
External Service Port 11xx
Map to Port 80

Politica INTERNAL -> DMZ1
Source Interface/Zone internal
Address Name all
Destination Interface/Zone DMZ1
Address Name AccesoLan
Schedule always
Service ALL
Action ACCEPT
X NAT


De antemano agradezco el tiempo que se tomen para leer este post

Hola, cuando tenes que ir de interna a dmz o viceversa en este caso, no necesitas hacer ningun vip. Solo una politica de firwaall comun y corriente. Ni siquiera con nat.

saludos
Gabriel

Hola gabyrossi muchas gracias por tu respuesta, he intentado lo que me dices y pues me temo que no lo estoy haciendo bien o no funciona , te pongo la politica que he creado

Politica INTERNAL -> DMZ1
Source Interface/Zone internal
Address Name all
Destination Interface/Zone DMZ1
Address Name all
Schedule always
Service ANY
Action ACCEPT

Una vez que la activo pongo en mi navegador la dirección http://10.10.10.5 que es la de mi servidor web y nada mas no se ve, no se si tenga que agregar algo mas en static route, ja pensaba que era mas complicado configurar para acceso desde la WAN y resulta que no, que es mas complicado desde la INTERNAL

Saludos

Hola, probaste con nat en la politica?¿
saludos

Hola buenas tardes en México, que crees que ya probe con y sin NAT y nada de nada, he leido en otros temas y pues las dos soluciones que he encontrado, la tuya y la de otro amigo por ahi no me funcionan, quiero suponer que algo estoy haciendo mal, quería que mi servidor estuviera atras del fortinet pero creo que tendre que meterlo a la red interna , o se te ocurre alguna otra idea?

Hola, podes hacer algun print de pantalla de las politicas?
por ping llegas?

algo estas haciendo mal, o quedo mal configurado ya que esa config. es algo comun de todos los dias
saludos

Hola buenos días, que crees? que hago ping desde el fortinet a 10.10.10.1 (dmz1), a 10.10.10.5 (server) y si responde, no asi cuando realizo ping desde mi computadora que esta en la LAN, que opinas?

Te anexo la imagen con toda las configuraciones a ver que te dice

Muchas Gracias por tu tiempo

hola, agrega una desde la dmz hacia la lan


saludos
Gabriel

Buenas tardes lcaceres, si no te ha funcionado nada de eso, prueba limpiando las cache de los navegadores, mira que la semana pasada sufri por una tema parecido

Saludos

Hola que crees?, ya hice lo que me pediste de crear una politica internal -> dmz1 y otra dmz1-> internal, y al poner la ip 10.10.10.1 ya me mustra la pantalla del fortinet, esto quiere decir que ya veo esas ip, ahora bien lo que me queda es que pueda yo poner 10.10.10.5 para ver mi server, y pues no lo consigo, si que esta cañon este asunto, creo que ya avanzamos un poco, intente hacerlo con VIP pero no me deja, que sugieres?

De antemano de nuevo muchas gracias por tu tiempo

Hola sedlav, muchas gracias, ya tambien hice eso de limpiar el cache y nada de nada, mañana le intento de nuevo, ve mi anterior post para que te des cuenta en que parte voy

Saludos

hola, haber el server 10.10.10.5 tiene como gw wl 10.10.10.1 ??

si haces un tracert desde alguna pc de la interna a la 10.10.10.5 que te muestra?

por ping llegas?
saludos

Hola, te refieres que si el server tiene como gateway 10.10.10.1 , ups la verdad no me acuerdo pero lo verifico, según yo si le puse asi, pero bueno lo checo y mas tarde te comento si no lo puse asi, en dado caso de que no este como me indicas, lo pongo asi?, te adjunto una imagen mas ilustrativa de como esta mi red a ver si le entiendes

Te pongo como esta configurada la tareta de red del server a ver que te parece, confiezo que hice algunos cambios en la netmask estaba antes 255.0.0.0 y el broadcast no se si ponerle 10.10.0.255 o como lo ves abajo

address 10.10.10.5
netmask 255.255.255.0
network 10.10.10.0
broadcast 10.10.10.255 este no se pa que jijos es
gateway 10.10.10.1 esta es la dmz de mi firewall
dns-nameservers 300.33.146.201 200.33.146.202

Por otro lado hice el tracert a 10.10.10.1 y 10.10.10.5 y llega sin problemas

Como comentario tambien meti el server antes del firewall y se ve perfectamente
Saludos

Hola, entonces ya andubo????

por lo que contas si

el gw tiene que tener la ip de la interface del fortigate.

mascara 255.255.255.0

saludos

Hola buenos días, pues al hacer el tracert si lo veo pero al intentar ingresar por medio del navegador para ver paginas web nanai, estuve pensando y supuse que en el gw del server en lugar de 10.10.10.1 debe ser 192.168.4.201, hare las pruebas en unos minutos y pues te cuento que sucedio

De nuevo muchas gracias por tus comentarios y el tiempo

Saludos