Comunidad FORTIGATE.es

Saludos,
Podrian ayudarme, tengo un 60d en sucursal con 2 wan, wan1 funciona correctamente, Wan2 el enlace funciona ya que lo probe en mi laptop, pero cuando esta en el forti el trafico que envio por policy route no funciona, y me di cuenta que es por los DNS, ya que si pongo los dns en mis maquinas si navega. Hay alguna forma de comprobar el dns que utiliza el wan2.
Muchas gracias por su ayuda

dvharley escribió:Saludos,
Podrian ayudarme, tengo un 60d en sucursal con 2 wan, wan1 funciona correctamente, Wan2 el enlace funciona ya que lo probe en mi laptop, pero cuando esta en el forti el trafico que envio por policy route no funciona, y me di cuenta que es por los DNS, ya que si pongo los dns en mis maquinas si navega. Hay alguna forma de comprobar el dns que utiliza el wan2.
Muchas gracias por su ayuda

Hola,

Los DNS que se configuran en el FG no se aplican para las conexiones que se establecen desde la LAN, me explico:

Tienes un PC/Laptop en tu LAN y este requiere resolver un FQDN para acceder a un sitio Web. Esta conexión gracias al PBR que aplicaste sale a través del enlace conectado a WAN2, y que pertenece al que llamaremos ISP-2. Sin embargo en los PC/Laptops tienes definido como DNS las IP de los resolvers del ISP-1, entonces desde una IP del ISP-2 (NAT dinámico) estás queriendo utilizar los resolvers del ISP-1, y esto jamás te funcionará, ya que por motivos de seguridad los proveedores de acceso a Internet sólo permiten a sus clientes (o IPs propias) utilizar estos recursos.

La solución más sencilla y rápida (ya que hay otras un poco más elaboradas) que te podría recomendar es utilizar en las estaciones de trabajo DNS resolvers abiertos como los de Google (8.8.8.8/8.8.4.4) o CloudFlare (1.1.1.1) por ejemplo. De esta manera no importará la IP pública (ISP-1 o ISP-2) por la que la conexión se esté estableciendo y recibirás una respuesta válida que te permita navegar o alcanzar algún servicio remoto.

Si bien habrá alguien que opine que utilizar estos servicios de resolución públicos conlleva una brecha de seguridad y/o privacidad, bueno eso ya es harina de otro costal y da para una entretenida tertulia.

Cuéntanos cómo te va con lo que te acabo de sugerir.

Si quieres puedes entrar al grupo de Telegram que está en mi firma y lo analizamos más en profundidad.

Saludos!

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Mi estimado muchas gracias por tu ayuda, te comento un poco mas a profundidad, en matriz tengo un 500E, con dos wan, y un enlace adicional de backup, con WAN1 y WAN2, forme una sd-wan y funciona bien. Con el enlace de backup yo cree una policy route para probar el ancho de banda con mi laptop y funciona bien.
Talvez lo que deberia hacer es formar una sd-wan en la sucursal con los dos wan q tengo??

Hola,

Claro, el SD-WAN es una opción, pero como no lo nombraste en el post inicial no lo consideré.

Intenta replicando lo que tienes en matriz y que te funciona.

Saludos.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]