Comunidad FORTIGATE.es

Hola,

Sepan disculpar si no es el sitio correcto para dejar mi consulta. La situación en la siguiente. Tengo un acceso a Internet administrador por el FortiGate 100C con conexión FSAE con el DC. El problema que se me plantea es que los usuarios de las sucursales de la empresa acceden a internet mediante un proxy ISA 2004 el cual está entre la LAN y el FortiGate. El problema es que al llegar por el proxy, todas las solicitudes me llegan con el mismo usuario. Es decir el primero que accede al proxy registra su usuario y contraseña y desde ese momento todos los usuarios, autorizado a acceder a internet y no autorizados, tiene la misma configuración y el FortiGate no se entera de que es otro usuario.

Necesitaría me den una mano para solucionar este problema.

Saludos a todos.

Hola, primero no existe el 100c, sera un 110c o un 111c.

segundo, si tenes un proxy, siempre pasa eso con los proxy, los proxy natean y llegan siempre con la misma ip del proxy
no podes identificar que ip te esta pidiendo algo desde el fortigate.

si es un problema de usuario, eso revisalo en el proxy, ya que es"problema" del proxy, que no esta autenticando correctamente.
En el fortigate no podras hacer demasiado si no sacas el proxy.

saludos

Gaby,

Muchas gracias por la respuesta. En principio tenes razón, es un 110C.

Yo tengo en casa central el rango 124.10.187.--- y en las sucursales 124.10.188.---, 124.10.189.---, 124.10.190.--- y 124.10.191.---.

La unica funcionalidad del proxy es permitirles salir a internet a las sucursales ya que no puedo apuntarles el gw al forti porque están en otras localidades y están con un gw del proveedor del enlace.

Tengo forma de configurar al FortiGate para que me cumpla esta funcion de proxy y les brinde la conexión a internet y me respete el control de usuarios que ya tengo configurado?

Saludos y gracias de antemano

Hola, podrias mostrar algun grafico de tu red? cambia las ip publicas si las hay, no entiendo como tenes la conex con las sucursales.

si la ip interna gw del proxy se la das al fortigate y sacas el proxy que pasa? pregunto... si la idea es sacar el proxy que lo unico que hace es autenticar,,, podrias... autenticas contra usuarios de que tipo?

varias preguntas, pero es para entender un poco tu tema

saludos

Gaby,

La casa central está en Bahía Blanca, rango 124.10.187.---, las sucursales en Paraná 124.10.189.---, Rafaela 124.10.188.---, Rosario 124.10.190.--- y Mendoza 124.10.191.---. Todos estos puntos están conectados con un enlace MPLS provisto por Telecom.

Cada punto tiene su respectivo gw 124.10.---.254. El fortigate está configurado en la 124.10.187.250 y administra la conexión a internet de toda la empresa. Las sucursales se conectaban antes de la instalación del Fortigate con un proxy en la dirección 124.10.187.1 y actualmente siguen con la misma metodología.

Lo que quiero intentar hacer, si es posible, es configurar al fortigate como proxy eliminar de la red el que tengo para que sea el forti el que me administra la conexión y la validación de los permisos de usuarios. Esto lo valida por FSAE.

No se si me explique y conteste tus consultas.

Saludos,

Hola, como estas?
si ahora se entendio.

hoy, desde las sucursales con que ip llegan al fortigate? con la ip del proxy.
si sacas el proxy, vas a tener visibilidad de las redes/ip que llegan.
para hacer esto el gw de los routers de las sucursales debera ser la ip de la interface del fortigate interna.

esto lo tendras que hablar con teelcom y contarlo lo que necesitas hacer.

saludos

Gaby,

No tengo manera de configurar el Fortigate para que me oficie de proxy y pueda sacar el otro?

Saludos

Hola, si podes, enj las versiones 4.0 pòdrias.
pero sipodes decsartar que sea proxy explicito (que no este cargado en los navegadores) mejor.Te ahorraras dolores de cabeza

saludos

si lo configuro como proxy explicito y configuro los navegadores, me va a hacer la validación de usuarios del DC mediante el FSAE?

Hola, una cosa no necesita de la otra.
podes autenticar por ad, mediante fsae en el fortigate, sin tener proxy en los navegadores. solo las pc tendras que estar en dominio.

saludos

estoy intentando pornerlo como proxy. Desde las sucursales el rango de central es visible, pero la ip del fortigate no me responde el ping y obviamente no funciona como proxy, pero desde central si funciona.

que me estoy olvidando?

Gracias!!!! Ya está funcionando

etman escribió:Gracias!!!! Ya está funcionando

etman, me alegro que allas solucionado tu problema, seguramente tendre que lidear con eso en un par de dias, te puedo pedir que te des una vuelta por mi Hilo, que tengo un problemita muy basico, que la guia de forti no me resuelve y las guias de internet tampoco es del mismo modelo que el tuyo.
http://www.fortigate.es/viewtopic.php?f=7&t=1694.

si podes pasarte te lo agradesco.