Comunidad FORTIGATE.es

Hola!
Tenemos un FortiWifi 60B. El uso que le queremos dar es dar acceso a Internet a 2 empresas independientes. Al ser independientes el uso de las VDOM's es ideal para que cada una se gestione sus reglas.

El problema es que queremos compartir la única salida a Internet. En la wan1 tenemos el router de un ISP. Por diseño una intefaz física tan sólo puede pertenecer a un VDOM, con lo que no podemos compartir la interfaz wan1 en los dos VDOM's.
La solución que pensamos es crear 2 subinterfaces en la wan1 de tipo VLAN y que pertenezcan cada una a cada VDOM.
En la parte internal también creamos 2 subinterfaces VLAN para que pertenezcan a cada VDOM.

Las preguntas:
- Entendemos que cada subinterfaz (las 4) han de tener un VLANID diferente es decir 10 / 20 para las internal y 30/40 para las de la wan1, por ejemplo. Correcto?
- Para la parte internal, deberíamos conectar la salida a un switch con VLAN's creadas de forma que con un 802.1Q trunk pues le lleguen los paquetes de cada empresa pero esto seria si en ese switch estuvieran las máquinas de las dos empresas, pero.. si tuviésemos un switch independiente para cada empresa y además si configuramos los 6 puertos de switch "internal" de forma independiente (port), sería necesario el switch con soporte para VLAN's? Bastaría con conectar el swich de la empresa A a la puerta 1 y el switch de la empresa B a la puerta 2 del Fortigate??? y configurar estas 2 interfaces internals con direccionamiento IP interno diferente... se necesitaría el uso de VLAN's????
- En la parte wan1, si tuviésemos tan sólo un router de internet, se podría conectar directamente a la wan1 y las subinterfaces VLAN's creadas recibirían el tráfico? Si además le pidiera a mi ISP 2 direcciones públicas fijas y las configurara cada una a cada subinterface VLAN creadas en la wan1, pues sería mejor, no???
Ah! la wan2 y la dmz no las podemos usar. Es decir, la wan2 tendrá otra conexión a Internet pero esta sólo la puede utilizar una de las dos empresas, pero la de la wan1 la queremos que la utilicen las 2.
En la guía "FortiGate VLAN's and VDOM's User Guide" pese a que los ejemplos son muy claros, en todo momento cada VLAN utilizan una conexión a Internet diferente. Incluso en el ejemplo de uso de VLAN's con VDOM's, tenemos que una empresa usa una conexión a Internet y otra utiliza otras dos conexiones diferentes, pero no la misma!!



Lamento la explicación así un poco liosa sobre lo que nos gustaría hacer.

Hola, como estas? te hago una pregunta que no diste ningun detalle sobre, que tipo de actividad vas a hacer con el Fortigate?
levantar vpn ? filtrado web? que es lo qye vas a hacer con los 2 clientes?

Probaste de conectar un cliente en la internal y otro en la dmz, y no hacer politicas entre ellos para que no se vean.
y los 2 interface (clientes) salen por la misma wan.
Ademas con tu Fortigate Fi-wi podes hacer split de las interfaces internas. asique podrias tener 6 interfaces disntintas internas.

analiza eso.

saludos
Gabriel

Hola!
En primer lugar gracias por tu respuesta.

Básicamente tendremos 2 salidas WAN. 1 de ellas es sólo para una de las empresas, por las cuales irá un tráfico hacía un Hosted Exchange y también recibirá tráfico VPN (una SDSL). La otra conexión wan la utilizaremos para navegar por internet, para visitar páginas. Esta otra conexión es la que también utilizará la otra empresa (una ADSL).

El problema es que al querer que salgan todos por la misma wan, el tema de los VDOM's te obliga a que una interfaz sólo pueda pertenecer a un VDOM, con lo que hemos de ir a morir a VLAN's, almenos eso creo.
Queremos usar VDOM's porque una de las empresas puede que se le filtre el tráfico que consulta hacía afuera, y la otra empresa puede tener una persona diferente a mí que pueda gestionar lo que sus usuarios puedan o no puedan visitar de Internet por la conexión que le "prestamos"..

Lo del split de las internas ya lo pensaba como "patas" para cada empresa que queremos dar conexión. En un principio vamos a compartir oficina con 2 empresas más, así que además de nosotros, saldrán 2 empresas más, pero no dije que eran 3 en total para no liar. Los 6 puertos me sirven para ir "colgando" empresas y ya pensaba que en las VDOM's esos puertos los asignaré a cada una.

La duda es el uso de VLAN's o no. Al hacer split, automáticamente esos puertos ya no son de switch, correcto??? con lo que pinchanto cada switch de las empresas en el puerto split de los 6, deberían ser independientes ¿es así?
El problema será en la wan's. Allí si que tengo que hacer VLAN's para crear subinterfaces para poder hacer que cada empresa tenga una subinterfaz de la wan.
La duda es si el puerto split del swith también ha de pertenecer a la misma VLAN que la subinterface de la wan o a una diferente.
Y más duda aún si los switches que conecte a los puertos spliteados han de ser compatibles con VLAN o no hará falta...

Gracias por vuestra atención!

Hola,

También puedes usar dos puertos distintos, sin declarar ninguna VLAN en ellos, para salir a Internet y así usar el mismo router de Internet.

Al no declarar ninguna VLAN en estos puertos (la IP será distinta, por supuesto, pero de la misma red) puedes pincharlos en un switch 'sencillo' compartiendo red con la 'pata' local del router Internet.

Un puerto lo usas en un VDOM y el otro en el segundo. El problema te vendrá con la 3ª empresa, que al final harás corto de puertos físicos.

Espero que te sirva,

Carlos

¿Te refieres a usar un internalX como conexión a internet, cierto? Es decir, que la empresa A tenga el internal1 y el internal2 por ejemplo y usar el internal2 para conectarlo al router de internet por un switch. Mientras, la empresa B tiene el internal3 para la red y por ejemplo la wan1 para conectarlo al mismo switch y que salga por el mismo router anterior. De esta forma voy usando puertas sin VLAN's ya que están separadas físicamente, cierto?
Así tendría por ejemplo como máximo 4 empresas ya que utilizarían casi todos mis puertos físicos: (haciendo un poco de combinatoria)

internal1(LAN),wan1,wan2 - Empresa A (la wan2 la utiliza solo esta empresa para otra conexión a Internet dedicada)...
internal2 (LAN),internal3 (internal3 conectada al switch con la wan1 y al router de la internet que comparten) - Empresa B
internal4 (LAN),internal5 (internal5 conectada al switch con wan1,internal3) - Empresa C
internal6 (LAN),DMZ (dmz conectada al switch igual que anteriores) - Empresa D

Todas con IP's diferentes y las que forman el switch de internet (wan1,internal3,internal5 y DMZ) también con IP's diferentes. Inlcuso si quiero que puedan tener puertos accesibles por internet, le pido al ISP 5 IP's públicas y se las puedo asignar directamente...

¿Sería un escenario correcto cierto? algo caótico pero funcionaría... ¿no creéis???

Gracias por vuestra ayuda!