Hola a todos
Les comento mi problematica en el archivo adjunto
Esperando alguna sugerencia...
Saludos y de antemano gracias.
¿Ruteo estatico o politica de ruteo o NAT?
-
a.valentin
- Mensajes: 20
- Registrado: 03 Jun 2010, 00:39
¿Ruteo estatico o politica de ruteo o NAT?
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: ¿Ruteo estatico o politica de ruteo o NAT?
Hola, algunas preguntas:
tenes router que hacen nat? como y donde declaras las redes 172.20.50x y la 192.168.50.x ?? o tienes 2 placas de red ???
saludos
tenes router que hacen nat? como y donde declaras las redes 172.20.50x y la 192.168.50.x ?? o tienes 2 placas de red ???
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
a.valentin
- Mensajes: 20
- Registrado: 03 Jun 2010, 00:39
Re: ¿Ruteo estatico o politica de ruteo o NAT?
Hola ,
Dando respuesta a los cuestionamientos
tenes router que hacen nat?
R: Se tienen 3 ruteadores, que no tengo control sobre ellos , 1 sobre la red de producción 10.10.10.x/24 que es de nuestro cliente, 2 el de nuestro ISP y 3 el de la red corporativa.
como y donde declaras las redes 172.20.50x y la 192.168.50.x ??
R: La red 172.16.20.x la defino en la interface DMZ (172.16.20.1/24) y en los servidores de produccion (son 2) con la IP 170.16.20.5 y .6 sin puerta de enlace ya que tiene configurado la IP y puerta de enlace del ruteador de nuestro cliente. Para que yo pueda ver la red interna del Fortigate solo hago un ruteo estatico en el Windows 192.168.100.x por 172.16.20.1 y en el fortigate las dos politicas DMZ <--> Internal y no tengo problema.
La red 192.168.50.x es la red corporativa, mis máquinas servidores y clientes tienen como puerta de enlace la ip 192.168.100.1 y para hacer que lleguen a la red corporativa en el Fortigate creo una ruta estatica 192.168.50.0 por 192.168.100.2 que es la ip de la interface ethernet del ruteador Cisco y en el Cisco desconozco si hagan NAT o ruteo dinámico o estático, solo sé que debo pasar por él para llegar al objetivo.
o tienes 2 placas de red ???
R: Los servidores de produccion solo tienen una tarjeta de red y aunque tuvieran 2 , no podría configurar en el windows 2 puertas de enlace.
El objetivo es : 172.16.20.5 (DMZ) --> 192.168.100.1 (Internal) --> 192.168.50.5 (Red Corporativa)
Espero me explique más sobre este tema, de cualquier manera seguiré intentando,
De antemano muchas gracias
Dando respuesta a los cuestionamientos
tenes router que hacen nat?
R: Se tienen 3 ruteadores, que no tengo control sobre ellos , 1 sobre la red de producción 10.10.10.x/24 que es de nuestro cliente, 2 el de nuestro ISP y 3 el de la red corporativa.
como y donde declaras las redes 172.20.50x y la 192.168.50.x ??
R: La red 172.16.20.x la defino en la interface DMZ (172.16.20.1/24) y en los servidores de produccion (son 2) con la IP 170.16.20.5 y .6 sin puerta de enlace ya que tiene configurado la IP y puerta de enlace del ruteador de nuestro cliente. Para que yo pueda ver la red interna del Fortigate solo hago un ruteo estatico en el Windows 192.168.100.x por 172.16.20.1 y en el fortigate las dos politicas DMZ <--> Internal y no tengo problema.
La red 192.168.50.x es la red corporativa, mis máquinas servidores y clientes tienen como puerta de enlace la ip 192.168.100.1 y para hacer que lleguen a la red corporativa en el Fortigate creo una ruta estatica 192.168.50.0 por 192.168.100.2 que es la ip de la interface ethernet del ruteador Cisco y en el Cisco desconozco si hagan NAT o ruteo dinámico o estático, solo sé que debo pasar por él para llegar al objetivo.
o tienes 2 placas de red ???
R: Los servidores de produccion solo tienen una tarjeta de red y aunque tuvieran 2 , no podría configurar en el windows 2 puertas de enlace.
El objetivo es : 172.16.20.5 (DMZ) --> 192.168.100.1 (Internal) --> 192.168.50.5 (Red Corporativa)
Espero me explique más sobre este tema, de cualquier manera seguiré intentando,
De antemano muchas gracias
Re: ¿Ruteo estatico o politica de ruteo o NAT?
Hola, en el fortigate tiene que haber rutas para llegar a las redes que el fortigate noi tiene conectadas directamente en sus interfaces.
el o los gw seran los routers que mensionas.
Luego haras las politicas de firewall cxorrespondientes para que se vena las redes en cuestion.
En los router tambien tienenn que estar declaras las redes que el fortigate tiene en sus interfaces.
saludos
el o los gw seran los routers que mensionas.
Luego haras las politicas de firewall cxorrespondientes para que se vena las redes en cuestion.
En los router tambien tienenn que estar declaras las redes que el fortigate tiene en sus interfaces.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
a.valentin
- Mensajes: 20
- Registrado: 03 Jun 2010, 00:39
Re: ¿Ruteo estatico o politica de ruteo o NAT? - SOLUCIONADO
Hola
Comparto la solución a la situación expuesta, por la razón de que no tengo control de los 3 ruteadores que están en mi entorno y solo puedo hacer uso del Fortigate les comento:
1.- Generé una política de Firewall que va de la DMZ 172.16.20.5 --> NAT 192.168.100.100 (Internal) --> 192.168.50.5 (Red Corporativa)
es decir, transformo la ip que hace la consulta hacia la red corporativa como una ip de la red Interna y de esta manera llego a la red corporativa.
2.- Ahora como es necesidad que la ip 192.168.50.5 aloje información hacia la ip 172.16.20.5 hice el proceso inverso; una regla de PAT
(Internal) PAT 192.168.100.100 --> 172.16.20.5 (DMZ)
Esto soluciono el requerimiento.
Gracias por las sugerencias, desde México un abrazo..!!!
Comparto la solución a la situación expuesta, por la razón de que no tengo control de los 3 ruteadores que están en mi entorno y solo puedo hacer uso del Fortigate les comento:
1.- Generé una política de Firewall que va de la DMZ 172.16.20.5 --> NAT 192.168.100.100 (Internal) --> 192.168.50.5 (Red Corporativa)
es decir, transformo la ip que hace la consulta hacia la red corporativa como una ip de la red Interna y de esta manera llego a la red corporativa.
2.- Ahora como es necesidad que la ip 192.168.50.5 aloje información hacia la ip 172.16.20.5 hice el proceso inverso; una regla de PAT
(Internal) PAT 192.168.100.100 --> 172.16.20.5 (DMZ)
Esto soluciono el requerimiento.
Gracias por las sugerencias, desde México un abrazo..!!!