Fortigate hacia switch y luego los servidores

[aportales]

Saludos Señores, soy nuevo con los Productos Fortinet, en la empresa donde laboro la persona encargada del area renuncio y dejo todo reseteado.

Estuve intentando configurar el fortigate 300a, pero no logro hacer que los servidores tengan acceso hacia internet y que un cliente desde afuera pueda entrar al servidor web.

Esta imagen explica como esta estructurada la red interna, lo que pretendemos es que de todas las ip publicas que tenemos asignadas, ocupar una para ftp, una para vpn, una para acceder a los sitios web. En este momento nos interesa hacer que el fortinet permita la entrada al servidor web para presentar nuestros sitios.



El fortigate tengo entendido esta utilizando el modo NAT/Route,
interface port1: 165.X.X.130
interface port2: 192.168.1.1

Server Web: 192.168.1.2
Server Base de Datos: 192.168.1.3

Por favor señores, estoy leyendo mucha documentación sobre redes y equipos fortinet, pero hasta el momento no hemos logrado hacer esto funcionar, les agradeciria mucho si pudieron ayudarnos a resolver nuestro problema.

[gabyrossi]

hola, si ya tenes configuradas las interfaces.

tenes que tener una ruta estatica al gw de tu enlace con la puerta de enalce.
luego una politica de firewall desde port1 a port1 nateando.

con esto los equipos salen a internet

luego para publicas servicios, de web y base de datos.

tenes que armar un virtualip , te dejo este link de ejemplo:
[Debes identificarte para poder ver enlaces.]


mas info en:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos

[aportales]

Hola gabyrossi muchas gracias por tu pronta respuesta.

Efectivamente ya tengo asignado el gateway que nos dio nuestro ISP y los DNS que ellos recomiendan.

entiendo lo que me dices sobre crear una politica de firewall, lo que no entiendo porque del port 1 al port1

es decir, dejo que el fortigate tome la ip publica en el port 1 y que haga NAT hacia el port 2 que es la red interna (192.168.1.1).

Asigno IP estaticos a mis servidores y en teoria deberia funcionar no?

[gabyrossi]

hola, perdon, de port2 a port1, fue un error de tipeo. la politica tiene que sea desde la interface de los server hacia la interface donde tenes en proveedor de internet.

Muy bien estas atento-.

saludos

[aportales]

entiendo, entonces eso permitira que mis servidores salgan.

Entonces si quiero que alguien visite mis sitios, deberia hacer una politica a la inversa tambien? del port 1 al port 2 no?

Es necesario utilizar las Virtual IP Mapping segun leo lo que me enviaste, es decir entiendo que esto lo que hace es hacer una NAT Statica de puerto externo al puerto interno(LAN Privada), esto si es estatico me permite hacerlo con una sola IP Publica?

Puede el fortigate 300a escuchar en todo el rango de direcciones publicas que me asigno mi ISP? y decir que cierta ip es para FTP, otra es para Conexiones Remotas a uno de los servidores?, Esto seria genial!! Disculpa mi ignorancia, aun estoy aprendiendo sobre redes y no se si esto es posible.

Rango de IPs que me dio mi ISP:
165.X.X.129 -> Gateway
165.X.X.130/24
165.X.X.131/24
165.X.X.132/24
165.X.X.133/24
165.X.X.134/24
165.X.X.135/24
.
.
.
165.X.X.158/24

Muchas gracias por tu apoyo, creo que voy ahora por buen camino.

Por cierto actualice la grafica en mi primer post, coloque mascaras de red y gateway para que se entienda mejor como estan configurados los dispositivos de mi red.

[gabyrossi]

hola, exactamente, poder hacer x virtualip ip con distintas ip publicas que te de tu proveedor, siempre que este en la mascara que tenes configurada en el port1.

O hacer por forwarding, o envias todos los port hacia adentro.


saludos

[aportales]

Grandioso, realmente este aparato es una magnifica herramienta, no conocia sus bondades. Voy a probar realizar lo que me indicas y dejame postearte los resultados, reintegro mi agradecimiento, realmente me ayudaste a entender muchas cosas. Mil gracias.

[aportales]

Mil gracias, ya se ve mis sitios desde afuera pasando por el fortinet, lo unico es que debo hacerlo por medio de la direccion ip publica, debo confgurar los Registros MX supongo. Ahora mejorare la seguridad y activar el vpn.

Saludos

[gabyrossi]

Hola, buenisimo.
si aplicale ips para los servicios que brindes http y bd-

saludos

[Jaime Rivera]

Buenas tardes.
Disculpa, no es referente al tema, pero necesito comprar un Fortinet en Nicaragua, si fuera modelo 80C o mayor sera bueno.
sabes donde puedo comprarlo y si hay entrega inmediata?

De antemano gracias.

[gabyrossi]

hola, ok te paso el dato del partner por mensaje privado.

saludos