Comunidad FORTIGATE.es

Hola a todos,
llevo dias con problema con las políticas e probado de muchas formas y configuraciones, estas las aplico y "funcionan" pero siempre y cuando deje una política que permita todo en mi red, ahora por defecto esta la política implícita que restringe todo y mi idea es que esta restringa a todos y solo deje pasar los equipos en los grupos creados a su respectiva política.

tengo un server DHCP y DNS, en forti agrege los equipos de usuarios por la ip de sus equipos previamente reservadas.
[img][/img]

SirClaudio escribió:Hola a todos,
llevo dias con problema con las políticas e probado de muchas formas y configuraciones, estas las aplico y "funcionan" pero siempre y cuando deje una política que permita todo en mi red, ahora por defecto esta la política implícita que restringe todo y mi idea es que esta restringa a todos y solo deje pasar los equipos en los grupos creados a su respectiva política.

tengo un server DHCP y DNS, en forti agrege los equipos de usuarios por la ip de sus equipos previamente reservadas.

Hola,

No queda muy clara tu pregunta, además que la imagen no subió correctamente. ¿Podrías entregar más antecedentes para poder ayudarte?.

Aparentemente estás aplicando mal el orden de las políticas o no están bien construidas. No obstante aprovecho de comentarte que estas se leen desde arriba hacia abajo, por lo que debes considerar definir la primera política que habilite el tráfico al grupo de usuarios específicos para que haga match y no continúe evaluando el resto. Lo demás (que no está explícitamente permitido en la primera) será procesado por la implícita que deniega todo.

Saludos!

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

si, mira anteriormente e configurado otros forti version OS 5.6, ahora esta tiene version 7 y utilice la misma confi y no se cual es el problema.
aplique desde la política menos restrictiva a la que mas restringe quedando al final la de denegación, pero luego de esto toda conexión se cae.

al parecer la de denegacion continua predominando, por lo cual e tenido que dejar siempre una política al principio que permita todo.
y lo que busco es que quien se conecte a mi red no tenga acceso a nada si no esta permitido.

Quizás aún es demasiado temprano como para utilizar FortiOS 7 en ambiente productivo, claramente puede ser un bug. Podría ser útil que hicieras un downgrade a 6.4 al menos.

De todas formas, ¿revisaste logs?

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

realice downgrade a 6.4.5 y persiste el problema.

ahora en la primera política solo agregue algunos grupos sin ningún perfil de seguridad para que todo el trafico sea aceptado, y elimino la política de salida a todo, pero una ves eliminada se pierde la red para todos los equipos. por lo cual la debo habilitar, ahora el monitoreo si muestra la transferencia de datos que pasan por estas políticas.

y los logs no muestran nada, ni solicitudes aceptadas ni rechazadas cuando saco la política general de aceptar todo.

llego a pensar que sea algo del DNS o NAT, pero el firewall anterior que era de otra marca tenia la misma configuración.

¿Puedes compartir la configuración de la primera política?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

¿Puedes compartir la configuración de la primera política?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

te dejo capturas

¿Y puedes enviar la política que "SI" te funciona?. Al menos a simple vista se ve bien.

¿La interfaz WAN2 está correcta cierto?

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

como esta al final la de salida la demás red anda lenta, por el orden.

¿Administración, Regulados y Servidores se rutean todos en la misma interfaz (LAN)?

Cuando eliminas esa política (la que permite todo) y habilitas la más acotada y desde algún dispositivo intentas traficar hacia Internet, ¿ves pasar los paquetes al correr un sniffer en la puerta WAN2 y LAN?.


Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

creo que el problema podría ser el servidor DNS, por ejemplo actualmente tengo un server con dns el cual tiene como dns preferido su propia IP.

ahora este debería apuntar al DNS que me esta entregando fortinet, con su servicio fortiguard?? eso me queda de duda.

incluso en los log me aparece como que se permitió el trafico pero en el navegador dice el tipico que no conecto o el DNS.

Los DNS que se configuran en el FG no tienen relación directa con los definidos en los clientes detrás del firewall. Sin embargo ambas reglas tienen permitido tráfico DNS, no sé si sea la resolución de nombres el problema en tu caso. De todas maneras prueba asignando ya sea por DHCP o estáticamente a los usuarios los resolvers de Google 8.8.8.8 y 8.8.4.4.

¿Si haces un ping hacia 8.8.8.8 utlizando la política acotada, tienes respuesta?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

si tengo respuesta, como también los correos, pero a la hora de navegar no funciona