Usar Fortigate en SubRed

[ArielMB]

Buenas tardes a todos, a ver si me pueden ayudar.

Tengo un Fortigate 80 C Bundle en una red 192.168.1.x bajo un dominio win 2003 en la empresa, en otro punto del pais tengo otra planta la cual incorpore al dominio 2003 con AD replicando bajo una red 192.168.0.x, o sea en la red veo las pc y server de ambas plantas como si estubieran en un solo lugar.
ok
En el fortigate cree la dirección de "redinterna2" y le cree la regla "RedInterna2"(192.168.0.x) destino "all" servicio "ANY" en el primer orden cosa que le de bola.

Como ya estaría todo configurado del lado del fortigate voy a la red 192.168.0.x y le digo que el enrutador es 192.168.1.1, por las dudas le hago ping y responde bien.
habro el explorer para ver si navega y nada, entonces me pongo a ver el FSAE en el server y veo que detecta bien la pc de la red 192.168.0.x con mi usuario pero igualmente sigo sin poder navegar.

Alguien puede guiarme en que me estoy equivocando?

Gracias

[gabyrossi]

Hola, como estas?

no me quedo claro como tenes esa red nueva ruteada.
algunas preguntas para aclarar:

como llegas a esa red? por un router? ruteaste esa nueva red?
te llega todo por la red interna?
cuando decis,

e cree la regla "RedInterna2"(192.168.0.x) destino "all" servicio "ANY" en el primer orden cosa que le de bola.

que seria eso??? una politica? esta nateada?
esta todo en el mismo dominio?
instalaste el fsae en el otro server?

saludos

[ArielMB]

como llegas a esa red? por un router? ruteaste esa nueva red?
te llega todo por la red interna?

Hola Gaby,todo bien por suerte.
La cosa es asi, tengo dos router vpn, por medio de eso tengo conectadas las dos redes, y despues vinculadas con AD

cuando decis,

cree la regla "RedInterna2"(192.168.0.x) destino "all" servicio "ANY" en el primer orden cosa que le de bola.

que seria eso??? una politica? esta nateada?

si es una politica y esta nateada

esta todo en el mismo dominio?

si, esta todo dentro del mismo dominio y se ven todas las pc y server entre si.

instalaste el fsae en el otro server?

no, no lo instale en el otro server porque el FSAE de los otros server los ven bien, debería instalarlo igualmente?

Gracias por tu respuesta

[ArielMB]

bueno, te comento que le instale el fsae en el server que esta en la otra ubicación y esta sincronizando con los demás, me lee los usuarios cuando quieren salir pero no pasa nada. cuando voy a usuario-->monitor del fortigate la ip 192.168.0.x no las veo.

[gabyrossi]

hola, a ver la vpn esta armada de modo ruta/interface????

si esta en ese modo, no natees la politica.
desde el fsae que instalaste ves el otro server? y ves el fortigate???

saludos

[ArielMB]

hola, a ver la vpn esta armada de modo ruta/interface????

Buen dia, mira que la vpn no esta configurada con dos fortigate, pero igualmente si estaria en ese modo.

si esta en ese modo, no natees la politica.

le destilde la opcion de nat, pero igualmente no navega

desde el fsae que instalaste ves el otro server? y ves el fortigate???

si veo los otros server y veo el fortigate perfectamente.

a ver si sirve de algo, cuando se configuro el fortigate para que la red 192.168.0.0 vea el fortigate se habia creado la "Ruta Estatica" siguiente

IP MASCARA: 192.168.0.0/255.255.255.0
GATEWAY: 192.168.1.254 (ROUTER VPN)
DISPOSITVO: WAN2 (RED INTERNA)
DISTANCIA: 5

Gracias

[gabyrossi]

Hola, yo decia el nat de la politicas de vpn. EL nat hacia internet no deberia sacarse nunca.
como quedo entonces?
desde el fortigate no ves autenicado a los usuarios de la red que estas en la vpn? o si?
no navegan por tema de dns? o por ip tampoco llegan?

saludos

[ArielMB]

las politicas de los rout

Hola, yo decia el nat de la politicas de vpn. EL nat hacia internet no deberia sacarse nunca.
como quedo entonces?

Esta habilitado el Nat entre router VPN

desde el fortigate no ves autenicado a los usuarios de la red que estas en la vpn? o si?
no navegan por tema de dns? o por ip tampoco llegan?
saludos

no, desde el fortigate no los veo.

hice una prueba con un server isa 2004 que tengo, y si les habilito la navegación a través de proxy web navegan bien desde la red 192.168.0.x hacia fuera por medio de la red 192.168.1.x. mi pregunta al ver que seria una solución es, puedo hacer que los clientes de la red 192.168.0.x salgan por el fortigate a traves de proxy web? de ser esto posible como seria la configuración?

Grabriel, desde ya muchas gracias por tus respuestas

[gabyrossi]

Hola Ariel, no me termino e dar cuenta, si es urgente y necesitas ayuda pasa en mensaje privado un acceso y lo reviso.

saludos

[ArielMB]

Hola Ariel, no me termino e dar cuenta, si es urgente y necesitas ayuda pasa en mensaje privado un acceso y lo reviso.

saludos

Hola, no, no es urgente, te agradezco de todas formas, es que en un mes mas o menos vamos a poner mpls en la sucursal y no va a disponer de internet, entonces tengo que encontrar la forma de que los usuarios de esa red salgan por la central. y la única forma que encontre hasta ahora es a travez de proxy.
vamos a ver cuando tenga el mpls con los router de global puedo hacerlo funcionar, si llego a poder publico la solución.

[gabyrossi]

hola, no es necesario el proxy. solo en la sucursal tendras que rutear todo el trafico hacia tu central, y en el central tendra que haber una politica para que esa red salga a internet.

saludos

[ArielMB]

hola, no es necesario el proxy. solo en la sucursal tendras que rutear todo el trafico hacia tu central, y en el central tendra que haber una politica para que esa red salga a internet.

saludos

buen día, actualmente lo tengo así y todo ruteado, pero se ve que no funciona, capaz que es por algo de los router que no me deja. los router que tengo para hacer el enlace son dos d-link 808hv, lo raro es que todo lo demás funciona bien.

vamos a ver que pasa con los otros router...

[gabyrossi]

hola, ariel si haces un tracert desde la sucursal hacia una direccion ip publica de internet, por donde pasa???

saludos

[ArielMB]

hola, ariel si haces un tracert desde la sucursal hacia una direccion ip publica de internet, por donde pasa???

saludos

actualmente lo tengo configurado para que salgan por una conexión que tengo alli

es algo asi lo que tengo

[Debes identificarte para poder ver enlaces.]

Uploaded with [Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[gabyrossi]

claro, pero en la red 0 debes tener ruteado para salir por internet por su propio enlace, la idea es rutear todo el trafico por la vpn, o en su momento por el mpls.

saludos