Comunidad FORTIGATE.es

Hola a todos y todas,

Tengo un problema con dos subredes que me está costando mucho resolver. Lo planteo a ver si alguien puede echarme una mano.

Tengo un Fortigate 100A con el último firmware instalado en un cliente. Este cliente cuenta con dos subredes, la 192.168.1.0/24 y la 192.168.8.0/22, la 192.168.8.0/22 debe salir a Internet por la WAN1 del Fortigate y la 192.168.1.0/24 debe salir por otro firewall con ip 192.168.1.252/24 a Internet, pero ambas redes deben verse entre sí. Todo debe hacerse usando el Fortigate 100A. El cliente no me permite ampliar la máscara de la 192.168.1.0/24 y el otro firewall es intocable y su configuración tampoco se puede alterar.

La configuración que he hecho hasta el momento es la que sigue:

- Interfaz WAN1 conectado a Internet - ok
- Internal con ip 192.168.9.1/22 y subred 192.168.8.0/22 saliendo a Internet por WAN1 nateada - ok
- DMZ1 con ip 192.168.1.219/24 visible para la subred 192.168.1.0/24 - ok
- Reglas Internal --> DMZ1 y DMZ1 --> internal con all all always any accept - ok
- Subred 192.168.1.0/24 con gateway 192.168.1.219 - ok
- Subredes 192.168.1.0/24 y 192.168.8.0/22 viéndose entre sí - ok

Y aquí viene el problema porque no tengo nada claro cómo seguir. Necesito que la subred 192.168.1.0/24 salga a Internet por el firewall 192.168.1.252/24 y que ambas subredes sigan viéndose, todo ello siempre usando el Fortigate y sin poder tocar ninguna configuración en ningún otro sitio. ¿Qué me falta? ¿Por dónde sigo?

Gracias por adelantado y un saludo.

Hola, como estas?

si la red 192.168.1.x tiene como gw el otro firewall no tewnes que hacer nada.
dependera de que gw tienen las pc de la red 192.168.1.x que gw tienen?


igualmente haria 2 policy routes
que si vienen de la red 192,.168.1.x para ir a la red 192.168.8.0/22 salga por lainterface donde tenes configurado el 192.168.8.x/22
luego otra policy route que diga que si vienen desde la 192,.168.1.x para ir a todos lados se vayan por la misma interface con gw la ip del otro firewall.

saludos

Hola,

Primero muchas gracias por tu respuesta.

Con respecto a lo que me preguntas, las máquinas de la 192.168.1.0/24 tienen actualmente como gw la 192.168.1.252. Con esa pasarela no alcanzan la 192.168.9.0/22, ya que el otro firewall (el intocable, que por supuesto no es un Fortigate) sólo puede ver la 192.168.1.0/24. Es por ello que hay que ponerle como gw la ip de la DMZ1, 192.168.1.219, y luego mandar por un lado el tráfico hacia la 192.168.9.0/22 y por otro el tráfico hacia Internet (usando como gw la 192.168.1.252). Por tanto la solución que me aportas de las policy routes tiene mucho sentido al respecto. Esto de enviar el tráfico hacia internet por la otra gw es un requisito del cliente, ya que en el otro firewall tiene un conjunto de políticas para el acceso a Internet que dice que son sagradas. Y aunque yo le he insistido que con el Forti podemos hacer lo mismo y más, no me ha hecho ni caso.

En realidad, el problema es un poco más complicado que lo comentado hasta el momento. Pero aprovechando tu interés por ello, te lo explico.

El cliente tiene dos conexiones a Internet en su oficina. Una que era la que usaba hasta el momento con el otro firewall, 192.168.1.252, y con toda su red constituida sobre la lan 192.168.1.0/24. Y otra que le pusimos nosotros, con el Forti y contra nuestro data center y formando VPN para acceder a unos determinados servicios. La VPN es en el extremo del data center 172.16.16.0/24 y en el extremo del cliente 192.168.8.0/22. El requisito es que el otro firewall se mantuviese sin tocar nada en él, que se mantuviese la lan 192.168.1.0/24 y que el forti permitiese la visibilidad entre ambas LAN. La situación ideal es que los equipos de ambas redes efectivamente se viesen entre sí pero que para salir a Internet utilicen el firewall con ip 192.168.1.252. Y todo ello a través del Forti y manteniendo la VPN viva. Lo que sucede es que no sabemos cómo hacer para que la VPN entre el cliente y nuestro data center funcione correctamente y que la salida a Internet sea la del gw 192.168.1.252.

¿Se te ocurre a ti cómo?

Muchas gracias una vez más.

hola, yo diria que vayas por partes.

probaste lo que te indique¿?


lo de la vpn, no me queda claro a donde tienenj que llegar, sera cuestion de ver los 2 extremos.

saludos

Hola,

Desgraciadamente no sirvieron las policy routes que me indicaste. Las puse de la siguiente manera:

1 dmz1 internal 192.168.1.0/255.255.255.0 192.168.8.0/255.255.252.0
2 dmz1 dmz1 192.168.1.0/255.255.255.0 0.0.0.0/0.0.0.0 (gw 192.168.1.252)

Comprobado que las subredes 192.168.1.0/24 y 192.168.8.0/22 no se ven entre sí. Sí sucede que la 192.168.1.0/24 sale a Internet por la gw 192.168.1.252 usando la correspondiente policy route, pero da la impresión que esa policy es absoluta y no hace ni caso a la otra.

Con respecto a la VPN, actualmente está:

Extremo A: 172.16.16.0/24 IPSEC en policy mode
Extremo B: 192.168.8.0/22 IPSEC en policy mode

Soy consciente de que debería pasar la VPN a interface mode, pero es preciso seguir las siguientes fases para resolver los problemas más graves:

1. Que se vean entre sí la 192.168.1.0/24 y la 192.168.8.0/22
2. Que la 192.168.1.0/24 salga a Internet usando la 192.168.1.252 como pasarela
3. Que la 192.168.8.0/22 salga a Internet usando la 192.168.1.252 como pasarela
4. Que la VPN mantenga su operativa actual

Los puntos 1 y 2 son por el momento los más críticos. Una vez conseguidos esos dos puntos, el resto es muy secundario.
¿Más ideas? ¿Sugerencias? ¿Distintos enfoques?
Muchas gracias una vez más.

Hola, politica de firewall desde la dmz1 hacia la internal, hay no? esta nateada?


saludos?

Sí, si hay política desde la dmz1 hacia la internal. Y no está nateada.
También hay política desde la internal hacia la dmz1 y tampoco está nateada.
Gracias.