Enrutado de Publicas sobre VPN
Publicado: 07 Oct 2011, 13:42
Hola buenas a todos!
Estoy tratando de enrutar un pool publico desde un FG a otro pero no lo consigo. La clase C entera me la enruta mi ISP al FortiA y yo estoy intentando pasar una subred al FortiB. Detallo los pasos que he realizado a ver si me podeis echar una ayudita.
1. Levanto un tunel IPSEC entre FortiA y FortiB en modo Interface.
2. Asigno IP´s internas no utilizadas a los dos lados de los interfaces virtuales.
3. Ruta estática en FortiA lanzando el subrango x.x.x.x/29 hacia la interface virtual de la VPN
4. Politica de Firewall que permite el trafico entre el interface virtual y la WAN y otra de la WAN al interface virtual (FortiA)
5. Politica de Firewall que permite el trafico entre la internal del FortiB (por donde va a venir el trafico del pool publico aqui) y en interfaz virtual y la reversa
6. Politica de Routing en FortiB que indica que el trafico marcado con origen "las publicas/29", interfaz internal y destino 0.0.0.0/0 lo fuerce por el interfaz virtual y GW la ip interna del interfaz virtual del otro lado.
7.Politica de Routing en FortiB que indica que el trafico que entre por el interfaz virtual con destino a "las publicas/29" y origen 0.0.0.0/0, lo tire por el interfaz internal y GW el router que esta en la LAN del FortiB y tiene asignado el pool publico en otro interfaz.
Lo curioso de esto es que desde la consola del FortiA, puedo hacer ping a las publicas del otro lado del tunel y un traceroute me resuelve la ruta correcta, llegando a la IP local del otro lado del interfaz virtual y ya resolviendo la publica de destino, pero si hago un tracert desde internet, se queda atascado en la WAN del FortiA. Otro dato es que si elimino la politica de firewall en el FortiA, tambien es capaz de alcanzar la ruta, luego me temo que quizas no este haciendo bien las politicas o no se.....
Espero algo de luz,
Gracias!
P.D: Adjunto Pequeño esquema del montaje FORTIA------INET/VPN----FORTIB----LAN----ROUTER-----POOL/29
Estoy tratando de enrutar un pool publico desde un FG a otro pero no lo consigo. La clase C entera me la enruta mi ISP al FortiA y yo estoy intentando pasar una subred al FortiB. Detallo los pasos que he realizado a ver si me podeis echar una ayudita.
1. Levanto un tunel IPSEC entre FortiA y FortiB en modo Interface.
2. Asigno IP´s internas no utilizadas a los dos lados de los interfaces virtuales.
3. Ruta estática en FortiA lanzando el subrango x.x.x.x/29 hacia la interface virtual de la VPN
4. Politica de Firewall que permite el trafico entre el interface virtual y la WAN y otra de la WAN al interface virtual (FortiA)
5. Politica de Firewall que permite el trafico entre la internal del FortiB (por donde va a venir el trafico del pool publico aqui) y en interfaz virtual y la reversa
6. Politica de Routing en FortiB que indica que el trafico marcado con origen "las publicas/29", interfaz internal y destino 0.0.0.0/0 lo fuerce por el interfaz virtual y GW la ip interna del interfaz virtual del otro lado.
7.Politica de Routing en FortiB que indica que el trafico que entre por el interfaz virtual con destino a "las publicas/29" y origen 0.0.0.0/0, lo tire por el interfaz internal y GW el router que esta en la LAN del FortiB y tiene asignado el pool publico en otro interfaz.
Lo curioso de esto es que desde la consola del FortiA, puedo hacer ping a las publicas del otro lado del tunel y un traceroute me resuelve la ruta correcta, llegando a la IP local del otro lado del interfaz virtual y ya resolviendo la publica de destino, pero si hago un tracert desde internet, se queda atascado en la WAN del FortiA. Otro dato es que si elimino la politica de firewall en el FortiA, tambien es capaz de alcanzar la ruta, luego me temo que quizas no este haciendo bien las politicas o no se.....
Espero algo de luz,
Gracias!
P.D: Adjunto Pequeño esquema del montaje FORTIA------INET/VPN----FORTIB----LAN----ROUTER-----POOL/29