Comunidad FORTIGATE.es

Buenas tardes, les comento que tengo un FGT110C.. y 3 Proveedores de internet...

Lo ideal es usar Wan1 y wan2 para traficos generales basicos con balanceo entre ellas. y wan 3 para contingencia

He leido un post donde se explica un escenario parecido pero es solo con 2 wan.. Me gustaria escuchar la mayor recomendacion de ustedes los expertos.

Gracias de antemano.

Hola, como estas
con 2 o 3 o 4 o las que quieras wan es lo mismo.

si leiste los post te daras cuenta, ya que se vio mucho en el foro de esto


saludos

Gracias Gabyrrosy por tu respuesta oportuna. Te comento lo que me esta pasando..

Ya tengo mis 3 Wan Activas.. con la misma Distancia.

Ahora.. la duda es..!!!!!

Cual es la mejor practica para por ejemplo..... tengo 60 clientes y deseo sacar 25 por Wan2, 35 por wan1 y usar Wan3 contingencia.. Ahora yo la forma que conozco es por Policy Route. y saco por ejemplo puerto 80 por una interfaces... ports mail (IMAP, SMTP, POP3) por otra wan. pero solo puedo seleccionar o una direccion de red 172.16.1.0 o un IP especifico... me parece que asi no es funcional ni la mejor practica.... Se puede hacer por Rangos??? Grupos de IP? tambien me dio error al tener mas de 17 Policy Route no me deja crear otras........

Espero me entiendas, si deseas podemos establecer alguna conversacion en privado..

Hla, como estas?
Primero, tenes limitantes en policy routes por modelo de fortigate.

las policy routes las haces por ip / mascarca . Podrias armas varias ip consecutivas jugando un poco con las mascaras.

ejemplo de lo que vos queres:
interface distancia prioridad
wan1 10 1
wan2 10 5
wan3 15 7

en este caso wan1 y wan2 van a estar vivas y el trafico saliendo por defualt por wan1, la wan3 esta de backup. (configurar ping server en wan1 y wan2).
si haces policy routes por wan2 sacaras trafico por esa wan.

saludos

Ok,
Algo asi Gaby.

Gerentes, Presidencia Iran por la mas estable supongamos que sea Wan2 D=10 P=5.
Al mismo tiempo el resto de la organizacion sale por Wan1 D=10 P=2??? no verdad!! solo si tengo creada una policy route para ese grupo.. q pertenecen a la misma red d los gerentes.
Y al caerse WAN1 teniendo ping server activo , pasaria todo el trafico a Wan2.... la unica forma que todo el trafico pase a wan3 es q se pierdan ambas Wan1 y 2.

Pero jugando por Mask.. no puedo especificar por ejemplo las 15 PC de los gerentes.. ni las restantes de la coorporacion... es alli donde tengo la limitante.....y debe existir algun metodo para un escenario como este... el modelo es un FGT110C.

Si deseas puedo hacerte llegar algun diagrama por eso te comente lo de un privado..... es para que entiendas bien

Hola, cuando digo que la wan1 es default quiere decir qe tooooodo el trafico va a salir por esa wan "SALVO" que haga policy routes por la o las wans que esten con la misma distancia y que no sea la default.

si se cae una de las wan debe salir el tarifco por la otra, cuando hagas policy route no pongas puerta de enlace en la iterface saliente, ya que no hara esto que mencionamos.


como te dije las policy routes solo podes configurarla con ip/mascara.

saludos

Gaby, Entonces el Balanceo de Carga...no existiria.................

hola, balanceo de carga, tiene que estar misma distancia y misma priridad, sin policy route.

algunas ip saldran por una y otras por otra wan

slaudos

Gaby, Gracias, en base a que criterio el FGT decide quienes van por una wan o por otra...??

Dices que en Route Static no coloque Gateway....??

Hola, nose en que se basa... je es algo que hacer el mismo equipo.

si a una policy route no le pones gw, cuando se cae esa wan, el trafico saldra por la otra. si le pones gw y se cae esa conexion sguira por ahi hasta que vuelva.

saludos

Hola Gaby.

Te muestro la Configuracion que hice: Hechale un ojo..

3Route Static

1.
-Destino:0.0.0.0
Device: Wan1
Gateway:0.0.0.0
Prioridad: 0
Distancia: 10

2-Destino:0.0.0.0
Device: Wan2
Gateway:0.0.0.0
Prioridad: 0
Distancia: 10

3-Destino:0.0.0.0
Device: Port8
Gateway:0.0.0.0
Prioridad: 5
Distancia: 20

Ahora los DNS en DNS Settings es mi DNS interno mi DHCP es Win y tiene los DNS de los 3 ISP configurados....
Luego cree politicas respectiva de LAN hacia la calle por c/u de las interfaces ( Wan1, Wan2, Port8). Fortiguard coenctado y activo.

Al realizar las pruebas ningun equipo navega por Wan1 o Wan2. Todos Salen por Port8!!!!!!!!!!!! No entiendo en este escenario no deberia realizar un balanceo de carga entre las Wan"s y dejar Port8 como Failover.. tengo la ultima version de Firmware 4.0 (build0441 MR3), Que por cierto el modulo Zonas DNS desaparecio...!!! El Fortigate es un 110C. Estoy armando un esquema en visio .. te lo envio si me lo permites.

De verdad Gracias de Antemano... pero es que no logro q funcione.., si le coloco mas prioridad a Wan1 todo el mundo se va a Wan1 pero ahi ya no me haria balanceo

hola, todas las rutas estacias llevan gw (puerta de enlace). las que dije que no te conviene que lleven son las policy routes.

Si ltus enalces son dhcp o adsl, no necesitas rutas estaticas.

recomiendo que leas otros post anteriores sobre dual wan.

saludos