Comunidad FORTIGATE.es

Buenos dias.

Tengo un problemilla y es que tengo abierto un puerto en un fortigate que funciona y me da colectividad porque lo he probado en un NAS que no tiene ningun cortafuegos de por medio (Es un puerto RRTR para copias externas).

El caso es que tengo dos sedes con un FortiGate 80E con 2 NAS que se tienen que comunicar, y no lo hacen. Ahora mismo la regla que desde fuera de los cortafuegos esta funcionando es esta:

Incoming Interface: WAN1
Outgoing Interface: LAN
Source: ALL
Destination: Virtual IP/Server NAS Virtual IP
Interface wan1
External IP Address/Range (IP QUE SALGO DE INTERNET)
Mapped IP Address/Range (IP LOCAL DEL NAS)
External Service Port TCP (EL PUERTO RRTR)

Service: ALL
Inspection Mode: FLOW BASED
NAT: activado (he probado a desactivarlo tambien y nada)


No se más que hacer, he probado hacer un montón de cosas. No se si tengo que crear alguna regla de LAN a WAN para permitir el acceso y excluir el Firewall, o no se.

Muchas gracias de antemano.

Un saludo.

Hola,

A simple vista tus configuraciones se ven correctamente aplicadas, con la excepción de que no debes utilizar NAT en la política de firewall que maneja la Virtual IP. Sin embargo te recomiendo lo siguiente:

- Lo primero que podrías hacer es correr un sniffer en las interfases wan1 y lan de alguno de los FortiGate para verificar si el tráfico te está llegando correctamente cuando intentas comunicar ambos NAS.


# diag sniffer packet wan1 'port <número_de_puerto_rtrr>'

# diag sniffer packet lan 'port <número_de_puerto_rtrr>'

Si todo está bien, debieras ver pasar tráfico primero en la puerta wan1 con origen la IP pública del FortiGate remoto y destino la IP pública del FortiGate local. Luego salir por la lan con destino a la IP local del NAS.

- Por casualidad no tendrás alguna(s) regla(s) previas a la de la Virtual IP. A veces ocurre que existe una política más específica y restrictiva que está antes y hace match primero. Recuerda que la evaluación de reglas es de arriba hacia abajo, y la primera que coincida con un criterio se aplica dejando el resto sin efecto. Por esta razón te recomiendo posicionarla en primer lugar, pero antes sería bueno que acotaras el origen y destino, puesto que estás abriendo a que cualquier IP se conecte a tu NAS.

Finalmente no es necesario que crees una regla con sentido lan -> wan1, ya que basta con la wan1 -> lan para que la VIP funcione.

Una cosa que olvidé preguntarte antes.

- ¿Los NAS en ambos sitios tienen acceso/salida a Internet a través de un NAT?.

Vaya que rapidez! Vale, lo probaré mañana que tengo acceso a los firewall.

Si, los dos NAS tienen acceso a través de la NAT.


Ya te contaré como ha ido.

Muchas gracias.

Hola.

Perdón por la tardanza, he tenido problemas con uno de los routers.
Nada me da que no envía paquetes ni hay respuesta en el Fortigate principal donde esta uno de los NAS.

0 packets received by filter
0 packets dropped by kernel

Ya he revisado todo como me has dicho y nada. El sistema esta con routers Vodafone, luego del router va al Fortigate y él es que filtra toda la información hacia la LAN.

No tengo ninguna regla antes, bueno solo la principal que es la 1 que da internet y filtra por antivirus, dns... y esta sería la 2.

Solo tengo 1 VIP configurada.

No se, es algo bastante extraño porque ya te digo que desde mi casa con un NAS sin firewall allí, puedo conectarme sin problemas al NAS con el Fortigate de por medio.

Un saludo. Y muchas gracias.

Hola,

Entonces el problema puede estar fuera del mismo FortiGate, ya que en la interfaz WAN no estás ni siquiera viendo llegar los paquetes.

Te sugiero revisar la conectividad entre ambos puntos, sobre todo los routers de Vodafone, que es donde podría haber algún eventual bloqueo de tráfico.