Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Enrutamiento entre Internal i DMZ

https://www.fortigate.es/viewtopic.php?t=1528

Página 1 de 1

Enrutamiento entre Internal i DMZ

Publicado: 29 Sep 2010, 00:08
por pau85bcn
Hola,

Buenas k tal ! Tengo un Fortygate 200A con el firmware v4.0,build0291,100824 (MR2 Patch 2), y mi configuracion es: una red de tipo 192.168.2.X en el puerto DMZ1 y otra red en internal: 192.168.0.X ambas redes aceden ha internet por los puertos WAN1 y WAN2 sin ningun problema. Y lo que estoy intentado es poder acceder desde la internal a un servidor SMB que esta en la red DMZ1. La ip del servidor SMB es 192.168.2.5, i la configuración que he realizado es la siguiente:

Crear una IP Virtual

Name (nombre del servidor)
External Interface (DMZ1)
Type Static NAT
External IP Address/Range 192.168.2.5
Mapped IP Address/Range 192.168.0.5
(Checked) Port Forwarding
Protocol x TCP
External Service Port 139 445
Map to Port 139 445

Crear una direccion en Firewall->Address->Address

Address Name: (nombre del servidor)
Type: Subnet/IP Range
Subnet / IP Range: 192.168.2.5/255.255.255.255
Inferface: dmz1

Crear una politica en el Firewall:

Source Interface/Zone DMZ1
Source Address (nombre del servidor, (creado en Address))
Destination Interface/Zone internal
Destination Address (nombre del servidor, (creado en IP Virtual))
Schedule always
Service SAMBA
Action ACCEPT

NAT: Enable NAT

Con esta configuracion sigo sin poder accceder desde la red internal a la DMZ por samba. Tambien he probado de hacerlo atraves de la tabla NAT (Central NAT Table), y los pasos que he seguido han sido los siguientes:

Firewall -> Central NAT Table -> Create New

Source Address (nombre del servidor, (creado en Address))
Translated Address (nombre del servidor, (creado en IP Virtual))
Original Source Port 139 445
Translated Port 139 445

Despues crear una politica:

Source Interface/Zone DMZ1
Source Address (nombre del servidor, (creado en Address))
Destination Interface/Zone internal
Destination Address (nombre del servidor, (creado en IP Virtual))
Schedule always
Service SAMBA
Action ACCEPT

NAT: Use Central NAT Table

Sigo sin poder haceder al sevidor que esta en la DMZ1 desde la internal. He probado todo lo que se me ha ocurrido. Si alguien ve el error que estoy cometiendo me podria ayudar !!! Muchas gracias de antemano !!!

Saludos

Re: Enrutamiento entre Internal i DMZ

Publicado: 29 Sep 2010, 18:37
por gabyrossi
hola, como estas? para acceder desde la interna a la dmz o desde la dmz a la interna no necesitas ningun virtualip. direcatmente con una politica.

pero, cuando decis cada red sale a internet por wan1 y wan2.

estas utilizando politicas de ruteo para esto???? tenes 2 wan?
si fuera asi tendras que hacer una politica de ruteo para que el trafico no se vaya por la wan y si por la interface deseada.

saludos

Re: Enrutamiento entre Internal i DMZ

Publicado: 30 Sep 2010, 01:02
por pau85bcn
Hola,

Quiere decir que los de la red internal se conectan a internet atraves de la WAN1, i los de la DMZ se concetan a internet atraves de la WAN2, pero esto es totament independiente. Yo lo que quiero conseguir es que desde la internal puedan conectar-se a un servidor samba que esta en la DMZ1, la conexion de internet es independient. Pero desde la internal la red tiene las ips, 192.168.0.0/24 quiero acceder al server samba que esta en la DMZ1 con ips de tipo 192.168.2.0/24 concertamente el servidor samba tiene la ip 192.168.2.5 y quiero poder acceder desde la internal con la ip 192.168.0.5 es decir que el Fortigate cambie la sub red, ya que no consigo conectar desde diferentes subreds. El fortigate haga la convercion.

He probado de crear una Politica en el Firewall entre internal a DMZ y al inreves tambien con todos los puertos abiertos pero no funciona. Supongo que quando me comentas de crear una politica Router. Pero que puerta de enlace pongo ?

Saludos Gracias

Re: Enrutamiento entre Internal i DMZ

Publicado: 30 Sep 2010, 14:12
por gabyrossi
Hola, no es independiente tener 2 wan y sacar tafico por una y por otra, ya quepaa hacer esto necesitas usar politicas de rutero y dependiendo de qie puertos ruteas por la wan, cuando quieras entrar a otra red de oyra interface que no sea la que estes te va a intentar sacar por internet.
Por eso deberas hacer una politica dfe ruteo para ir a la otra red y esta tiene que esta arriba de las demas politicas de ruteo que sacas por la wan.

ejemplo:

edit 1

set input-device "port4"

set src 192.168.4.0 255.255.255.255

set dst 192.168.3.0 255.255.255.0

set protocol 6

set output-device "port3"

next

end
explicacion: La red 4 para llegar a la red 3 tiene que ir por la interface port3 que es donde esta la red 3.

luego de esa politica hay una politica de ruteo donde saca la red 4 a internet por otro port.

saludos
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España