Comunidad FORTIGATE.es

Buen Dia amigos, tengo un tiempillo leyendo el foro, cerca de un año desde que empece a trabajar en un lugar donde tienen un fortigate 100a el cual me responsabilizaron. El foro me ha servido para aclarar muchas dudas, por lo que doy gracias por tener todos ustedes la empatia e iniciativa en querer ayudar desinteresadamente a otros como yo que buisca instruirse autodidacticamente leyendo en estos foros de gran ayuda.

El caso que me tiene por aqui es el siguiente. Tenemos un Fortigate 100a, con una version de firmware vieja. Tenemos un proveedor de internet cuyo enlace lo tengo conectado a la interfase external(WAN) de dicho fortigate. La interfase internal(LAN) va hacia mi red local. Tengo politicas y todas esas cosas necesarias para un entorno de red necesario y me funciona hasta ahora bastante bien.

Me gustaria saber si es posible utilizar el puerto DMZ del fortigate como una interfase WAN para salir a internet con otro proveedor de internet. Sucede que tengo otro proveedor de internet que me gustaria utilizar como contingencia pero siempre utilizando el fortigate 100a como mi administrador de recursos. Que yo cambie o implemente alguna politicas y ya ponga a los usuarios a salir a internet por el otro proveedor de internet con otra direccion ip publica.

El caso es que el fortigate 100a solo dispone de tres puertos, una internal otro external y el dmz. He hecho algunas pruebitas pero siempre salgo a internet por por el antiguo proveedor. Por favor echenme una ayudita con esto y les estare agradecido.

En realidad este requirimiento es por iniciativa propia, en la empresa ni les interesa si el internet se cae o no, simplemente me da curiosidad saber si es posible hacer lo anterior y sacar el maximo provecho al fortigate. Saludos!

Hola, si podras usarlo, pero revisa en el foro los temas que se hablaron muchisimo sobre dual wan.

saludos

Saludos!, garcias Gaby, he revisado la informacion sobre dual wan en varios link en este foro pero sucede que en todos los casos el Fortigate posee por lo menos dos puertos WAN. Mi caso es que el fortigate que poseo (Fortigate-100 2.80,build393,050405)(firmware como se puede ver bastante viejo) solo posee un puerto WAN, un puerto LAN(internal) y un puerto DMZ. Leyendo la informacion me he imaginado tomar ese puerto DMZ como un puerto WAN.
A dicho puerto he conectado la linea adsl de mi otro proveedor.
En la interfase DMZ le he dicho que sea el "Addressing mode" por DHCP y efectivamente la interfase toma una direccion IP de este proveedor (186.90.120.XX con mascara 255.255.224.0). En la configuracion de la interface DMZ doy acceso a HTTP, HTTPS, PING, TELNET. En DNS dejo los de mi actual proveedor y el "Enable DNS forwarding from" solo selecciono "internal" mas "DMZ" lo dejo en blanco.

En Router Policy creo una politica
Protocol:0 - Incoming Interface:internal
Sourse address/mask: 180.181.183.XX/255.255.255.254 (para que me tome solo un rango muy limitado de IPs) - Destinations address/mask: 0.0.0.0/0.0.0.0
Destination Ports: From 0 to 65535
Force traffic to: Outgoing interface: DMZ
Gateway address: coloco la IP que toma la interface DMZ del proveedor de internet (186.90.120.XX) (quiero que el trafico del pequeño rango de IP salga justo por alli)

Luego me voy a Firewall -- Address y creo una direccion IP de mi rango (con su nombre)
Luego a Firewall -- Group , creo un grupo y agrego la anterior "Address" que cree y la incluyo en dicho grupo.
Luego a Firewall -- Policy y creo dos politicas :1) internal a DMZ (source el grupo que cree) hacia "all" permitiendo ALWAYS ANY ACCEPT Y 2) de DMZ a internal dmz (source "all" hacia el grupo que cree) permitiendo ALWAYS ANY ACCEPT.

Configuro un PC con una direccion IP del rango de la Policy Route (coloco de gateway la direccion Ip de mi firewal, la "internal") pero no sucede nada, no se puede navegar por internet.

Tengo la duda si tengo que crear una ruta estatica para este otro ISP(tengo una creada de mi actual proveedor porque este me dio una IP fija (Router -- Static -- Destination/IP mask 0.0.0.0 - Gateway: 186.24.8.XX - Device: "external" - Distance:10) a pesar de ser dinamica esta dir Ip.

Tambien tengo la duda si tengo que crear otra Policy Route inversa a la que cree.

Me dan una ayudita, quiza no he visto algo o se me ha pasado algo por alto.

Saludos!

Hola, el firmware es muy viejo.
solo una policy rpoute o las que necesites si es que vas a sacar algun puerto especifico por la dmz.

con que distancia y prioridad te quedaron las rutas ??? si es dhcp, la distancia y prirodad va en la interface.

policy route inversa no va, tampoco politica de firewall inversa
politica e firewall eshacia la dmz Y NATEADA.

SALUDOS

Saludos Gaby, he leido lo que comentas en un viejo post sobre configurar la distancia y prioridad en cada interface:
"...cuando la interface es ip fija la distancia y prioridad la podes hacer por consola en la ruta estatica al gw... ejemplo:
con router static
edit 1
set priority 1
set distance 10
end

cuando es dhcp y/o adsl la distancia y la prioridad es en la interface
con system interface
edit wan2
set priority 3
set distance 10
end
..."

No se con que distancia y prioridad quedaron las interfaces, sin embargo, en el caso de la interfase fija(external), y por consola: config router static -- edit 1 -- set : el comando "priority" no existe, solo veo device/distance/**dst/**gateway --- por lo que no se como especificar la prioridad en dicha ruta, mas la distancia si.
Algo similar me sucede en la interface DMZ: config system interface -- edit dmz -- set : no veo el comando para establecer la prioridad, mas la distancia si. ¿cual sera el comando? o sera que por la version del firmware no es posible dicho configurar dicho parametro? . Cuando por consola establezco la distancia para ambas interfaces en 10 nadia puede navegar y tengo que revertir el cambio a traves de un respaldo porque incluso ni reconfigurando la distancia nuevamente puedo volver a poner a navegar a los usuarios.

Salvo la configuracion de la distancia y prioridad he hecho todas las modificaciones que me has sugerido, no se que otra cosa revisar.


Saludos y Gracias!

hola, mmm creo que en tu version no existina la priodiad
lo manejas con policy routes direcatmente. manejando los indices de cada una de ellas.

no recuerdo, hace años que no se usa mas ese firmware.

saludos

Gracias gaby, seguire intentando. Ahora, te pregunto, ¿es necesario crear una ruta estatica hacia el nuevo ISP en router -- static route ?, saludos!

solo es necesario si la ip la pones manualmente en la interface dmz.

saludos