Comunidad FORTIGATE.es

Hola Excelente Día tengan.

Tengo un FortiGate 80C. detras de un ADSL. un equipo de VoIP (ANSEL 10.80.19.229 ) en la DMZ el cual debe comunicar a otro equipo igual.
Este ultimo tiene una IP pública. Para empezar la configuración la DMZ tiene acceso total hacia la ip publica del otro equipo (que solo me sirve de ext. análoga) y si marco de una ext a otra perfecto. eso quiere decir que desde mi equipo ANSEL en la DMZ funciona bien.

El problema viene cuando desde el equipo remoto realizo la llamada hasta la ext. que tiengo en la DMZ.
Hice una Virtual IP con la IP publica hacia la DMZ sin portforwarding, con su Policy correspondiente. Lo deje libre para probar primeramente.
Si desde internet me conecto por HTTP a la ip Publica del Fortigate me conecta por web al equipo ANSEL (por la Virtual IP me responde este y no el FTG)
entonces hasta ahi todo ba bien.
no puedo hacer que el equipo VoIP extreno se comunique con el que está en la DMZ.

si me falto explicar o algun dato con el que puedan ayudarme.

Saludos.

hola, como estas? contesta http pero no te anda el voip ????

Si contesta http y accedo al equipo. lo que quiero es que una IP publica X.X.X.X pueda establecer conexion con una IP en la DMZ. y la interfaz WAN1 tiene la otra IP publica. por eso hice el virtual IP entra la publica (WAN1) y la interna de la DMZ (equipo Voip).
Anteriormente los 2 equipos tenian IPs publicas y funcionaban perfecto. ahora en un sitio pusimos el Fortigate. alguna idea?

hOLA, NO ENTIENDO. si accees por hhtp al voip, deberas hacer lo mismo pero para los puertos necesarios para lo demas.

saludos

si de hecho pienso lo mismo, mira el log de del trafico al intentar acceder el equipo remoto al equipo DMZ para realzar la llamada.

1 udp 10.80.19.229 30020 XX.205.XX.210 30018 5 3591
2 tcp XX.205.XX.210 1066 ---.155.---.252 1720 5 2
3 udp 10.80.19.229 30022 XX.205.XX.210 30020 5 3599
4 tcp 66.205.41.210 1069 2XX.155.---.252 1720

la ip 10.80.19.229 es el equipo en la DMZ.
la ip XX.205.XX.210 es el equipo remoto
la ip ---.155.---.252 es la ip publica, misma que le puse a la WAN1, a la cual apunta el equipo remoto y misma que hago el virtual IP hacia la DMZ.

la politica num 5 que es la de entrada:

Source WAN1
Source Address XX.205.XX.210 ( que es la ip del equipo remoto )
Destination Interface/Zone DMZ
Destination Address VoIP_vip (10.80.19.229)
Schedule always
Service ANY
Action ACCEPT

Hola, pero el virtual ipo como lop hicisxte? ahi se ve qe usan varios puertos el voip.

como armaste el virtualip?

saludos

la VIP esta asi:

Name VIP_voip
External Interface WAN1
Type Static NAT Static NAT
External IP Address/Range IP_PUBLICA
Mapped IP Address/Range 10.80.19.229 ( IP_Equipo_DMZ )

sin Port Forwarding.

Hola, ok estas abriendo todos los puertos ya que en la politica dejaste any. Con mas razon deberia funcionar.

sera algun tema particular del voip ? puerta de enlace?...

Pues mas bien creo que es en el nateo. me puedes decir como hacer el nateo de uno a uno.
Alguien me comento que intentara con ip pool. pero como sería?