Configurar Fortigate 80c con router xavi 7968

[josleon]

Estoy intentando configurar una red ipsec-VPN y mi red está configurada de la siguiente forma:
1.- Rango de ip's de la red local: 192.168.12.1/254
2.- Router Xavi 7968 de Telefónica (ADSL con ip dinámica) con ip de red local: 10.0.1.2
3.- Fortigate 80c. En internal tengo la ip 192.168.12.99. Es la puerta de enlace que utilizan los equipos de la red
4.- En wan1 tengo la ip 10.0.1.1.
El caso es que ya tengo la vpn con ipsec configurada en el fortigate, creado un dominio en dyndns.org con mi ip dinámica y eso funciona bien. Y luego tengo el forticlient instalado en un cliente, pero no me conecta.
He leido en este foro que hay que poner el router en modo bridge y poner la autentificación de la conexión a internet en el fortigate, en wan1. Lo he intentado, pero cuando lo hice no accedo a internet ni tampoco al router (lo único que he hecho ha sido cambiar la conexión a tipo bridge). En el fortigate en estado pone falló.
Según lo tengo ahora configurado (sin estar el router en modo bridge), desde mi red interna al fortigate me puedo conectar por [Debes identificarte para poder ver enlaces.] o bien por [Debes identificarte para poder ver enlaces.], y al router por [Debes identificarte para poder ver enlaces.]. Cuando pongo el router en modo bridge, no me puedo conectar a el y al fortigate solamente me puedo conectar por [Debes identificarte para poder ver enlaces.].

Me podéis indicar que es lo que me falta o estoy haciendo mal. O conocéis algún manual?

Muchas gracias

[gabyrossi]

hola, como estas? cuando pones el modem en modo bridge, tenes que configurar una wan con el user y pass del adsl.
para que luego te asige una ip dinamica publica en la wan.

luego borra la ruta estatica.
el gw de lasd pc sera la ip interna de la interface interna.

saludos

[josleon]

Hola Gaby, y al router ADSL que ip le pongo, porque ahora tiene la 10.0.1.2, y al ponerlo en modo bridge no puedo acceder a el, si en la interfaz wan del fortigate le pongo el usuario y password de conexión a internet.

[gabyrossi]

hola al ponerlo en modo bridge, ele queda una ip de administracion nada mas.
tendrias que revisar el manual para ver cual le deja.
una vez quer esta como bridge no necesitas entrar, lo demas lo haces desde el fortigate

saludos

[josleon]

Hola gaby, en la respuesta anterior, me decías que cuando ponga el router en modo bridge, tengo que eliminar la conexión que tengo, no puedo dejarla desconectada. En el router en el apartado de conexión internet hay dos conexiones (deben de venir preconfiguradas por defecto), una ppp_0 que es con la que está conectada y otra la ppp_1 que está desconectada. Elimino estas dos conexiones y dejo solamente la bridge o las dejo solamente desconectadas?

Saludos

[gabyrossi]

Hola al pasar el modem en modo bridge (el modem queda como un switch) toda la configuracion pasa al fortigate, configurando en una wan la conexion ppoe.

te dejo este link que puede ayudarte en el modo bridge:
[Debes identificarte para poder ver enlaces.]

saludos

[josleon]

Hola Gaby,

Estuve intentando configurar el router en modo bridge y la configuración de conexión en el fortigate y aparentemente me funcionó o casi. En el fortigate me puso en el interface wan, estado conectado, y me ponía la ip pública dinámica de mi conexión a internet, y los dns, pero al intentar conectarme a internet desde mi red local no conectó.

Hay algo que todavía se me escapa. Estuve mirando la configuración del fortigate y te comento como lo tengo para ver si tengo que cambiar algo: el router xavi está conectado a la interfaz wan1 del fortigate, el fortigate está conectado desde la interfaz internal al switch de la red local. Después en el apartado de Red en la opción estática tengo lo siguiente: 0.0.0.0/0.0.0.0 Gateway 10.0.1.2 (ip local del router xavi).

Cuando configuré el router en modo bridge, le cambié la dirección ip de la lan y le puse 192.168.12.115, pero al intentar conectarme a esta dirección no me funcionaba estando conectado al wan1 del fortigate, si lo desconectaba de ahí y lo ponía en una boca del switch de la red, entonces si podía acceder, pero así logicamente tampoco había conexión a internet puesto que el enlace wan1 estaba caido.

Vamos en ningún momento fui capaz de tener conexión a internet, poniendo el router en modo bridge. Cómo tengo que conectar el router xavi en la red? y tengo que hacer algo en la opción red, opción estática que te comentaba arriba, además de cambiar logicamente la dirección gateway por la que tenía el router adsl (192.168.12.115)?


Saludos

[gabyrossi]

Hola, bueno tenes varios problemas conceptuales de red tuyos, antes de resolver todo lo demas.

primero el esquema quedaria asi:

modem (bridge) ------cable-----> conectado en wan1(fortigate con ppoe,user y pass del asdl)-----
internal del fortigate (red interna de tu red)-------> swich de tus pcs.

cuando haces eso, no tiene que haber ninguna ruta estatica ya que en la wan1 te da dns, y puerta de enlace publica del adsl.

luego tiene que haber polticia de firewall nateada desde la internal a la wan1.

saludos

[josleon]

Hola Gaby,

Después de unos días con otras historias, he vuelto a la carga con el tema de la VPN. He intentado configurar el fortigate 80C y el router xavi, pero no hay manera. El router después de ponerlo en modo bridge, en el fortigate al configurarlo en ppoe, me sale la dirección pública de internet (dinámica dada por el operador) con sus dns, etc y me aparece en el fortigate conectado, con lo cual la comunicación entre el fortigate y el router xavi está bien, pero a la hora de acceder desde los equipos a internet, no hay manera. Quieres que te envíe alguna captura de pantalla para que me puedas orientar, porque ya no se que hacer, yo creo que está todo correcto pero algo falla.

Saludos

[gabyrossi]

hola cuando haces eso, no tenes que tener ninguna ruta estatica.

saludos

[josleon]

Hola Gaby,

Te cuento, además de este router Xavi 7968, un consorcio al que pertenece mi ayuntamiento, nos ha puesto un router ADSL que próximamente será por fibra optica, que sirve para conectarnos desde el Ayuntamiento con el CPD del consorcio y así poder ejecutar una serie de aplicaciones que el consorcio pone a nuestra disposición. Este router está pinchado al switch de mi red local, tiene la dirección 192.168.12.100, y no está conectado a la toma wan2 del router ni tampoco a ninguna toma interna del fortigate 80c. Ese router está configurado para que solamente vayan por el las direcciones que me ha dado el CAST para acceder al CPD, el resto de tráfico de red va a través de mi router xavi. El caso es que tengo 4 rutas estáticas que son las del consorcio y cuyo gateway es el 192.168.12.100. Luego tenía una ruta estática que era la 0.0.0.0/0.0.0.0, con gateway 10.0.1.2 que es la dirección del router xavi. Esta última la quité pero siguo sin tener acceso a internet cuando hago la configuración del router xavi como bridge y el fortigate configurado como pppoe de forma correcta y con ip pública dinámica dada por el operador. Hay alguna forma de arreglar esto?

Saludos

[gabyrossi]

Hola, como estas?

cuando configuras el pptp en al interface wan, tildas las 2 opciones que tened debajo de dns y del gw ?

Retrieve default gateway from server.
Override internal DNS.

saludos

[josleon]

Hola Gaby,

Ya he conseguido conectarme desde un portatil a la vpn!, por fin!, muchas gracias por tus consejos.

Voy a seguir con este hilo por no abrir otro aunque ahora que ya he conseguido conectarme con el cliente forticlient a mi vpn ipsec, me gustaría saber cual es la mejor opción de lo siguiente:

Voy a tener una oficina remota con 2 ordenadores, que actualmente pertenecen a mi red local, pero en breve los van a trasladar a esta oficina remota, por eso empecé con este tema de la vpn. Si es posible, me gustaría que los usuarios se conecten a la vpn de forma transparente, sin que ellos noten a donde están conectados y además si es posible, quiero que al salir a internet, el tráfico pase por el fortigate 80c, para seguir aplicandoles el filtrado web que les tengo a esos dos equipos y también la restricción de tiempo. Es posible realizar todo esto y si lo es, cual es la mejor opción?

Saludos

[gabyrossi]

Hola, como estas?¿ si en esa sucursal tenes la vpn lan to lan
tendrias que enviar todo elk trafico con la ruta estaica hacioa la vpn.

y desdeel forigate hace una politica que que esa vpn salga a internet

saludos

[josleon]

Hola Gaby,

De momento, no tengo montada la sucursal. En ella tendré en principio una conexión (no se si por adsl o por fibra optica) y luego 3 ordenadores. Esos 3 ordenadores, son los que me gustaría que se conectaran por vpn con la oficina principal que es donde tengo el fortigate 80c y el router xavi 7968. Me gustaría que esa conexión fuese transparente para los usuarios de la sucursal y que su navegación por internet pasase por el fortigate 80c donde ya tengo políticas para esos ordenadores que próximamente pasarán a ser de la sucusal.

Para aclararte, ahora mismo los 3 ordenadores están en la oficina principal, pero pasarán en breve a la sucursal, y a mi me gustaría que si es posible sigan funcionando como hasta hora, es decir el usuario que no se de ni cuenta de que está trabajando con una VPN, etc.

Es posible hacer eso y que necesito, teniendo en cuenta que con tus indicaciones ya he conseguido conectarme desde mi casa con la vpn que tengo montada en el fortigate 80c, aunque desde mi casa con mi equipo portatil, para navegar por internet el tráfico no pasaba por el fortigate 80c?

Saludos