Comunidad FORTIGATE.es

Saludos comunidad de profesionales FORTIGATE.
Tengo un fortigate 500e con conexiones LAN, DMZ y 3WAN; realice lo siguiente:
- las rutas predeterminadas (0.0.0.0/0) con misma distancia administrativa pero con distintas prioridades (en las WAN) [FUNCIONA ]
- La red LAN sale por WAN1 y servicios como ser servidores de la DMZ salen por las WAN2 y WAN3 (esto aplicando policy Routes) [FUNCIONA]
- [PROBLEMA] no logro que red LAN interna llegue a los servicios de la DMZ, aplique Firewall Policy especificando que red se quiere alcanzar (en este caso servicios host DMZ) y no me a funcionado, aplique varias logicas; talvez aplique mal los policy routes? o estoy interpretando mal la logica. Ayuda Porfavor.

Hola,

¿Pero para qué necesitarías una PBR para manejar el tráfico entre la interfaz LAN y DMZ?. Este debiera utilizar la tabla de enrutiamiento local para determinar como alcanzar la(s) rede(s) en la DMZ.

Quizás no se entendió bien el problema.

Bueno no aplique PBR exactamente pero en mi desesperación quice hacerlo ya que con el firewall policy que permitia alcanzar la DMZ a travez de la LAN no funciona solo llego hasta los gateway de ambos pero a los host que conforman las redes no llega.
Saludos estimados.

Entonces si llegas sólo a los default de ambas redes, tienes algún problema en la política de firewall. Ya que a nivel de routing es solamente enrutamiento entre interfaces directamente conectadas, por lo que primero te recomiendo eliminar, si aún existe, la PBR ya que está completamente de más.

Algunas preguntas:

1.- ¿Qué ves cuando haces un diag sniff packet dmz mientras corres un ping desde algún dispositivo en la red LAN hacia alguna máquina de la DMZ?.

2.- ¿Podrías compartir un screenshot de la política que permite el tráfico desde LAN -> DMZ?.

3.- ¿Tienes plena certeza de que los equipos en la DMZ tienen definida como su default gateway la IP de la interfaz DMZ?.