Página 1 de 3
Proxy y politicas
Publicado: 28 Abr 2011, 18:00
por ArielMB
Buenas tardes, les quiero hacer la siguiente consulta.
tengo una red rango 192.168.1.x en la cual mi Fortigate es 192.168.1.1 y otra red que es 192.168.0.x que se encuentra ubicada en otra localidad, ambas redes pertenecen al mismo dominio y estan comunicadas a travez de un mpls, se ve cualquier ip con cualquier ip.
ahora para que los usuarios de las ip 192.168.0.x puedan navegar a travez de mi fortigate(192.168.1.1) le tube que habilitar la opcion de webproxy, esto funciona bien, los demás usuarios pueden navegar, pero a estos que navegan a travez del proxy no se les aplica las politicas de seguridad.
que debo hacer para que se les apliquen? los usuarios se autentican por medio del FSAE
muchas gracias.
Ariel
Re: Proxy y politicas
Publicado: 28 Abr 2011, 18:18
por gabyrossi
Hola ariel, como estas? No necesariamente deberias usar proxy para esa gente que te vienen desde la otra sucursal. No se porque motivo no te funcionaba. Supongp que algun equipo (router o algo) antes del fortigate te natea y llegan todos lo ips nateados con una sola ip. esto es asi? Si es asi es como decis, no te queda otra que usar proxy. Si estuviera todo "bien" en conexion mpls, deberias ver las ip de cada uno de las pc de la otra sucursal. Chequeaste eso?
Cuando usas proxy perdes filtros de utm. (solo te queda antiviurs, webfilter y dlp).
saludos
Re: Proxy y politicas
Publicado: 28 Abr 2011, 19:34
por ArielMB
Gaby en el FSAE veo la ip de la pc usuario y el usuario que la esta usando, en el monitor de usuarios del fortigate no.
en el fortigate tengo configurada una regla que dice todo que todo lo que venga del rango 192.168.0.0/255.255.255.0 salga a internal1(Internet) con any servicios.
cuando dejo esa regla activa no funciona, no salen, si le activo el proxy si.
si veo las ip de cada pc de la sucursal.
este tema viene de este topic anterior que quedo ahi, nada mas que ahora si tengo configurado el mpls.
viewtopic.php?f=5&t=1448&hilit=mpls&start=15ya no se que hacer...
Gracias
Re: Proxy y politicas
Publicado: 28 Abr 2011, 22:19
por gabyrossi
Hola Ariel, si en la politica tenes 192.168.0.0/255.255.255.0 es solo la red 0.
y con la red1?
solo tenes que tener una politica de autenticacion, o pones los 2 rangos de ip o dejas en all.
saludos
Re: Proxy y politicas
Publicado: 28 Abr 2011, 22:57
por ArielMB
actualmente lo tengo la politica asi
Origen | destino | horario | servicio | perfil | accion
all | all | always | servicios habilitados | perfiles habillitados | accept
cualquier cosa adjunto una imagen
la otra red la tengo creada en Direccion de la siguiente manera
192.168.0.0/255.255.255.0 con el nombre de la sucursal
y en "ESTATICO"
la tengo creada de la siguiente manera
IP destino/Mascara: 192.168.0.0/255.255.255.0
Dispositivo: Red Interna
Gateway: 192.168.1.252 (router mpls)
distancia: 5
el ping lo responde bien desde ambas direcciones a cualquier ip y desde cualquier ip
ademas por si no funcionaba esta politica que s la que actualmente utilizo para la red 192.168.1.x (que funciona a la perfeccion) cree la politica que dije anteriormente y la puse por encima de esta regla pero sigue sin funcionar.
Gracias
Re: Proxy y politicas
Publicado: 28 Abr 2011, 22:59
por gabyrossi
Hola, pero no estas autenticando entonces en esa? sin autenticar tampoco funcionada????????????
Re: Proxy y politicas
Publicado: 29 Abr 2011, 14:27
por ArielMB
no, tampoco funciona, la cree justamanete para que no autentique y pase directamente para descartar que no sea un problema de el FSAE pero no, no funciona
Re: Proxy y politicas
Publicado: 29 Abr 2011, 14:36
por gabyrossi
Hola, si no funciona es otra cosa.
Haber... que dns usan esas maquinas de la sucursal? si hacen ping a una ip publica tampoco llegan¿?
saludos
Re: Proxy y politicas
Publicado: 29 Abr 2011, 14:50
por ArielMB
los dns de opendns, tambien use los de google pero no va.
si le hago ping da tiempo de espera agotado
Re: Proxy y politicas
Publicado: 29 Abr 2011, 17:44
por gabyrossi
Ariel, tenes algun esquema de red o diagrama que pueda ver ips privadas ropuyter o gw ?
si hacen tracert a una ip en internet desde la sucursal donde se queda?
saludos
Re: Proxy y politicas
Publicado: 29 Abr 2011, 18:41
por ArielMB
te paso una imagen
[Debes identificarte para poder ver enlaces.]
Uploaded with [Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
si le hago un tracert no llega a ningun lugar. yo lo que hice fue poner la ip del fortigate 192.168.1.1 en la red 192.168.0.x como puerta de enlace
Re: Proxy y politicas
Publicado: 29 Abr 2011, 21:15
por gabyrossi
hola mmmmmmm
si haces un tracert -d 192.168.1.1
llega?hasta donde?
si haces tracert -d 8.8.8.8
llega? hasta donde?
Re: Proxy y politicas
Publicado: 29 Abr 2011, 21:29
por ArielMB
al forti llega a los dns de google no, te adjunto la respuesta.
C:\>tracert -d 192.168.1.1
Traza a 192.168.1.1 sobre caminos de 30 saltos como máximo.
1 2 ms <1 ms <1 ms 192.168.0.252
2 6 ms 6 ms 6 ms 172.31.1.5
3 10 ms 10 ms 10 ms 172.31.1.2
4 12 ms 11 ms 10 ms 192.168.1.1
Traza completa.
C:\>tracert -d 8.8.8.8
Traza a 8.8.8.8 sobre caminos de 30 saltos como máximo.
1 * * * Tiempo de espera agotado para esta solicitud.
2 * * * Tiempo de espera agotado para esta solicitud.
3 * * * Tiempo de espera agotado para esta solicitud.
4 * * * Tiempo de espera agotado para esta solicitud.
5 * * * Tiempo de espera agotado para esta solicitud.
Re: Proxy y politicas
Publicado: 29 Abr 2011, 21:58
por gabyrossi
hola, para mi hay algo mal ruteado en los router de mpls...
porque solo ve las redes 0 y 1 entre si, pero no mas que eso.
revisa esos router de mpls.
saludos
Re: Proxy y politicas
Publicado: 29 Abr 2011, 22:03
por ArielMB
lamentablemente yo no tengo acceso a los router de mpls, eso lo maneja el isp.
que crees que le debo decir?
muchas gracias