Comunidad FORTIGATE.es

Hola, saludos.

Tengo el siguiente caso, estoy trabajando con un 60D el cual tiene configurada 2 lan :

LAN1: 192.168.10.0/24

LAN2: 10.0.71.0/24

La LAN1 esta configurada en la interface3
La LAN2 esta configurada en un hardware switch que incluye las interfaces 1 y 2

tiene las siguientes rutas estaticas:
0.0.0.0 0.0.0.0 x.x.x.x wan1
10.0.70.0 255.255.255.0 192.168.10.100 LAN1

Si reviso el monitor de rutas tengo :

Estático 0.0.0.0/0 x.x.x.x wan1
Estático 10.0.70.0/24 192.168.10.100 LAN1
Conectado 10.0.71.0/24 0.0.0.0 LAN2

El problema es que no salgo a internet por la LAN2 a pesar de ya tener la regla habilitada.

Agradeceria sus recomendaciones.

Saludos

¿No sales a Internet DESDE o a través de la LAN2?

Me imagino que tienes una firewall policy en el sentido LAN2 -> WAN1 (con el NAT correspondiente) permitiendo el tráfico hacia Internet.

Si pudieras comprartir la configuración de la política sería útil, ya que a nivel de routing no creo esté el problema.

AndresW escribió: ↑22 Feb 2024, 19:16 ¿No sales a Internet DESDE o a través de la LAN2?

Me imagino que tienes una firewall policy en el sentido LAN2 -> WAN1 (con el NAT correspondiente) permitiendo el tráfico hacia Internet.

Si pudieras comprartir la configuración de la política sería útil, ya que a nivel de routing creo esté el problema.

Hola, gracias por tu ayuda, esta es la configuracion de la politica

edit 2
set uuid xxxxxxxxxx
set srcintf "lan2"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic disable

¿Y el NAT dónde está declarado? ¿Cómo pretendes que 10.0.71.0/24 se enrute en Internet?

Agrega la directiva set nat enable a la policy.

AndresW escribió: ↑22 Feb 2024, 21:23 ¿Y el NAT dónde está declarado? ¿Cómo pretendes que 10.0.71.0/24 se enrute en Internet?

Agrega la directiva set nat enable a la policy.

Disculpa, como estoy haciendo pruebas, olvide habilitar el nat, aun asi no tengo salida.

set srcintf "lan2"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic disable
set nat enable

Es extraño, puesto que si tienes correctamente configuradas las intefaces y la política tendría que funcionar.

Ya que estás haciendo pruebas, te recomiendo antes de venir a un foro púbico a pedir ayuda primero leas la documentación oficial y aprendas como mínimo la parte conceptual, ya que cualquier ayuda que se te entregue acá o en otro lado no la sabrás interpretrar y finalmente todo el mundo termina perdiendo el tiempo.

AndresW escribió: ↑23 Feb 2024, 12:39 Es extraño, puesto que si tienes correctamente configuradas las intefaces y la política tendría que funcionar.

Ya que estás haciendo pruebas, te recomiendo antes de venir a un foro púbico a pedir ayuda primero leas la documentación oficial y aprendas como mínimo la parte conceptual, ya que cualquier ayuda que se te entregue acá o en otro lado no la sabrás interpretrar y finalmente todo el mundo termina perdiendo el tiempo.

Andres, gracias por tu ayuda, me ha servido de mucho, acudi al foro por si alguien habia tenido alguna experiencia similar, por mi parte creo que hay otro dispositivo que esta impidiendo el trafico, pero me indican que el firewall de salida está en modo bridge, gracias por tu confirmacion de que las politicas estarian correctas, este dispositivo ya estaba configurado y me pidieron habilitar la salida a ciertos destinos y puertos especificos desde la lan2, al ver que no funcionaban las reglas decidi probar dando acceso total desde esa red a internet y sigo sin resultados positivos.

Finalmente hice la prueba desde consola con ping, teniendo activa la regla para permitir el trafico y con nat habilitado :

# execute ping-options source 10.0.71.2

# execute ping 8.8.8.8

PING 8.8.8.8 (8.8.8.: 56 data bytes

--- 8.8.8.8 ping statistics ---

5 packets transmitted, 0 packets received, 100% packet loss


Si hago esta misma prueba desde la interface wan el ping responde sin problemas.

gracias por la ayuda.

Gracias por el apoyo,al final el problema está en el ISP, no declararon un firewall intermedio sin los accesos necesarios, todo lo que se hizo por mi parte era correcto.

Saludos.