Comunidad FORTIGATE.es

Hola a todos: estoy intentando utilizar 2 conexiones diferentes con el forti, una a traves de la wan1 (funciona bien) y otra a traves de la wan2 que todavia nbo funciona.
Lei los posts y los articulos que encontre sobre balance y conexiones duales pero de todas maneras no logro que funcione.
Les pongo lo que hice hasta el momento.

1) En System-->Network cree una nueva interface, la configure con DHCP y override internal DNS, quedo de la siguiente manera

internal 192.168.2.50 / 255.255.255.0 HTTPS,PING,TELNET [Administrative Up] [Administrative Up]
wan1 200.---.---.--- / 255.255.255.0 HTTP,HTTPS,PING [Administrative Up] [Administrative Up]
wan2 192.168.1.101 / 255.255.255.0 PING

2) En Router-->Static cree una nueva regla, quedo de la siguiente manera

0.0.0.0/0.0.0.0 200.---.---.--- wan1 10
0.0.0.0/0.0.0.0 192.168.1.1 wan2 20

3) En Firewall-->Policy cree una nueva politica, quedo asi:

Source Interface/Zone --> internal
Source Address --> pc_prueba (192.168.2.
Destination Interface/Zone --> wan2
Destination Address --> all
Schedule --> always
Service --> any
Action --> accept
NAT--> tildado

La conexion de la wan2 es a traves de un router 3G conectado a un modem 3G de la siguiente manera

modem 3g (ip dinamica)----> router 3g (192.168.1.1) ---> forti
por este motivo configure la wan2 como dhcp y me asigno la direccion 192.168.1.101.

En Firewall cree un nuevo grupo de prueba en el que agregue maquinas que ya tenia para probar pero no tengo internet.
Cuando reviso el monitor de router me sale lo siguiente:

Static 0.0.0.0/0 10 0 200.43.100.1 wan1
Connected 192.168.1.0/24 0 0 0.0.0.0 wan2
Connected 192.168.2.0/24 0 0 0.0.0.0 internal
Connected 200.---.---.---/24 0 0 0.0.0.0 wan1

Bueno, espero que alguien me pueda ayudar a entender que hice mal.
Muchas gracias y saludos

Hola, carina como estas?

Haber algo importante para cuando tenes mas de una conexion a internet,
La distancia de la wan1 y wan2 cual es? y la prioridad ???

dependendiendo de eso, podras usar las 2 , sacando algunas cosas por una y otras por otra, o tener una principal y la otra como backup, o hacer una especie de balanceo entre las 2.

contame como tenes la distancia y la priodidad que se ve en la ruta estatica al gw.

saludos

Hola Gabi, como estas?
Te comento distancia

wan1 = 10
wan2= 20

Prioridad, tenia entendido que se media con la distancia, seria la wan1 que es la mas chica, es asi?

Saludos

Holis, mira si tenes distancia 10 y la otra en 20, nunca nadie navegara ni podras acceder por ese enlace, hasta que no se desconecte el otro (wan1).para que este "viva" deberas ponerla en 10 y luego revisar las prioridades. si queres qur todo salga por la wan1, debera tener el menor valor de prioridad, ejemplo 1. y luego la wan2 con prioridad 3.

Hasta ahi tendras las 2 vivas, pero todo saliendo por wan1. Si queres que salga algun protocolo por wan2 deberas usar policy routes y luego permitir el tarfico con una politica de firewall.

si queres que esten las 2 "vivas" y haciendo balanceo eberan tener la misma distancia y la misma prioridad.

saludos

Gabi: cuando pongo las distancias iguales no navego por ninguna de las 2 conexiones...

config router static

edit 1

set device "wan1"

set gateway 200.---.---.---

next

edit 2

set device "wan2"

set distance 20

set gateway 192.168.1.1

next

En wan1 tengo distancia 10 pero no me la muestra desde el cli.
La prioridad la seteo a traves del CLI?

Gracias y saludos

Hola, no te la muestra porque en una ruta estatica el default es 10. si haces show full-configuration router static ahi te muestra todo.

si la prioridad es por cli.

Cual va a ser la funcion de las 2? tener una principal y sacar algo por la otra?
o como?¿ ojo con los dns .

saludos

Gabi: lo que queremos es tener una conexion con ciertas pc's y la otra con otro grupo, sin hacer balanceo de carga.
Solo usar las 2 conexiones en forma simultanea.
Deberia agregar prioridades y poner el distancias iguales y nada mas
(wan1 prioridad 1 y wan2 prioridad 2?)?
o tengo que hacer alguna policy route?

Saludos

hola, ok entonces harias asi:

wan1 distancia 10 prioridad 1
wan2 distancia 10 prioridad 3

politicas de firwall por las 2 wan para cada rango o grupo de ip que vayas a rutear.

Cuando hay distinta prioridad pero misma distancia, solo tenes que hacer policy routes para las ips que vayas a casar por wan2.

saludos

Gabi: hice lo que me dijiste y quedo asi:
config router static
edit 1
set device "wan1"
set gateway 200.---.---.---
set priority 1
next
end
config router static
edit 2
set device "wan2"
set gateway 192.168.1.1
set priority 3
next

Al poner las distancias iguales ya no me aparece.
Hice politicas para la wan2 (ya tenia la de la wan1) de la siguiente manera:
Source Interface/Zone --> internal
Source Address --> pc_prueba (192.168.2.8 )
Destination Interface/Zone --> wan2
Destination Address --> all
Schedule --> always
Service --> any
Action --> accept
NAT--> tildado


Leyendo me di cuenta, la wan2 es dhcp hice lo siguiente:
show system interface

config system interface

edit "wan1"

set vdom "root"

set ip 200.---.---.xx 255.255.255.0

set allowaccess ping https http

set type physical

next

edit "modem"

set vdom "root"

next

edit "ssl.root"

set vdom "root"

set type tunnel

next

edit "wan2"

set vdom "root"

set mode dhcp

set distance 11

set allowaccess ping

set type physical

next

edit "dmz"

set vdom "root"

set type physical

next

edit "internal"

set vdom "root"

set ip 192.168.2.50 255.255.255.0

set allowaccess ping https telnet

set type physical

next

end

Aca me parece que hay algo mal, la distancia que muestra 11 no se de donde la saca.
Sigo sin poder navegar con la wan2, me falta algo?
Saludos

Hola, si te falta la policy route, para el rango de ip de la interna o alguna ip que quieres sacar por la wan2
lo podes hacer por protocolo.

saludos

Y como la hago?
En router --> static --> policy route?

Saludos.

si ahi mismo...
source sera el rango o la ip que quieres sacar por wan2, destino sera 0.0.0 0 (internet) protocolo... sera el que quieras sacar por wan2... asi...

saludos

Gabi: sigue sin funcionar, parece que hago mal el policy route...


Si quiero conectar un grupo de PC de la red 192.168.2.x por la wan1 y otro grupo de PC por la wan2...
la policy route deberia ser asi?

incoming wan2 (la segunda conexion)
outgoing internal (que serian las PC de la red 2)
source 192.168.2.0
destination 0.0.0.0
gw 192.168.1.1

La distancia no la deberia cambiar en la interface? en vez de en config router static?
Saludos

Hola, Cari estas armando mal la policy route

seria asi.

If incoming traffic matches:
Protocol 6
Incoming interface (interface interna de tu lan)
Source address / mask (ip o rango de ipcon mascara de las pc que salen por wan2)
Destination address / mask (0.0.0.0/0.0.0 internet)
Destination Ports From: To: (aca es todos , o depende que queres sacar por wan2 podrias sacar solo 80 o 443 o msn)
Type of Service bit pattern: (hex) bit mask: (hex) (dejalo asi)
Force traffic to:
Outgoing interface (interface wan2)
Gateway Address (no le pongas gw, dejalo en 0.0.0.0 por si se cae wan2 salen por wan1, si e pones el gw de la wan2, si se cae no tendran navegacion)

observacion( esas pc tendran qe tener dns del proveedoir de wan2.)

saludos

Gabi: sigue sin funcionar..

Te paso captura de las pantallas de las configuraciones a ver que estoy haciendo mal....
La wan1 es manual, la wan2 dhcp por lo que en router--> static solo cargue el gateway de la wan1.

UNO--> imagenes de interface - policy
DOS--> imagenes de static route - policy route - route monitor


Gracias.

Saludos