Problemas rutas estaticas sobre una interfase VPN
Publicado: 06 Jun 2012, 01:05
Tengo un problema, el cual, no le encuentro explicación, espero me ayuden, el escenario es el siguiente:
En oficinas centrales, tenemos instalado un FortiGate 110C el cual está conectado a 5 servicios de Internet diferentes.
Usando la conexión que tenemos en el Puerto número 2, creamos una VPN en modo interface.
En el sitio identificado como oficina remota, tenemos instalado un Fortigate 100A, con una conexión a Internet en el puerto WAN2.
En el fortigate 110c, el proveedor que recibimos en el puerto 2 es el mismo que recibimos en el fotigate 100A en la wan 2, este proveedor nos dio la subred 172.31.53.0/24, y en su nube, los equipos para alcanzarse no requieren NAT. Es decir, para verse ambos fortigate, no salen a Internet, todo viaja por la nube del ISP.
En ambos sitios tenemos un enlace dedicado DS0, mediante equipo Cisco, este enlace está conectado al Fortigate 110C en el Puerto 3 y en el Fortigate 100A en la Wan1.
Lo que queremos hacer, es que todo el tráfico que vaya entre las redes LAN de ambos sitios, se vayan mediante la VPN, ya que es la que tiene mejor ancho de banda, y tener el enlace dedicado de los DS0 de respaldo, así cuando se caiga la vpn, el trafico se vaya mediante el DS0.
Para hacer esto, generamos en el Fortigate 110C, rutas estáticas para indicar que cuando queramos alcanzar la sub-red 172.16.1.0/24, se vaya el trafico por la VPN, esta ruta tiene valor en la distancia de 1 y prioridad de 0, y se puso otra ruta al mismo destino pero, por el puerto 3, con un valor en distancia de 10 y prioridad de 1. Cuando generamos trafico interesante, la vpn levanta.
Ya con la VPN arriba, vemos en router-monitor- que aparezca la ruta que manda el tráfico por la vpn, para alcanzar la sub-red 172.16.1.0 /24.
En el fortigate 100A, pusimos una ruta que para alcanzar la subred 172.16.148.0/24 se vaya por la interfase vpn, esta ruta con valores de 1 en distancia y 0 en prioridad, colocamos otra ruta a la misma subred pero que se vaya por la wan1, esta ruta con valores de 10 en distancia y 1 en prioridad. Cuando levanta la vpn, aparece la ruta, en router-monitor y en esta se ve que todo lo que vaya para la subred 172.16.148.0/24 se vaya por la vpn.
El problema que tenemos, es que cuando la VPN levanta, y hacemos una prueba de traza de ruta (tracert), desde el punto central que es la sub.-red 172.16.148.0/24 o 172.16.150.0/25 hacia la sub-red 172.16.1.0/24, vemos que el tráfico se va por el enlace dedicado y no por la VPN.
Cuando hacemos la prueba desde la oficina remota (subnet 172.16.1.0/24), vemos que el trafico si se va por la VPN, pero en el Segundo salto, donde debería resolver que es la interface en la cual se creó la vpn, nos indica que está entrando por otro Puerto del fortigate 110C, en este caso el 8, que tienen una conexión a Internet, pero no es por el cual se creó la VPN.
Ya hice la prueba de dar de baja el puerto 8 del Fortigate 110C, pero al hacer esto, y hacer la prueba de traza de ruta, nos indica que el trafico entra al fortigate 110C, por el puerto Wan2 y no por el puerto 2.
Espero me puedan aportar sus ideas.
Saludos.
En oficinas centrales, tenemos instalado un FortiGate 110C el cual está conectado a 5 servicios de Internet diferentes.
Usando la conexión que tenemos en el Puerto número 2, creamos una VPN en modo interface.
En el sitio identificado como oficina remota, tenemos instalado un Fortigate 100A, con una conexión a Internet en el puerto WAN2.
En el fortigate 110c, el proveedor que recibimos en el puerto 2 es el mismo que recibimos en el fotigate 100A en la wan 2, este proveedor nos dio la subred 172.31.53.0/24, y en su nube, los equipos para alcanzarse no requieren NAT. Es decir, para verse ambos fortigate, no salen a Internet, todo viaja por la nube del ISP.
En ambos sitios tenemos un enlace dedicado DS0, mediante equipo Cisco, este enlace está conectado al Fortigate 110C en el Puerto 3 y en el Fortigate 100A en la Wan1.
Lo que queremos hacer, es que todo el tráfico que vaya entre las redes LAN de ambos sitios, se vayan mediante la VPN, ya que es la que tiene mejor ancho de banda, y tener el enlace dedicado de los DS0 de respaldo, así cuando se caiga la vpn, el trafico se vaya mediante el DS0.
Para hacer esto, generamos en el Fortigate 110C, rutas estáticas para indicar que cuando queramos alcanzar la sub-red 172.16.1.0/24, se vaya el trafico por la VPN, esta ruta tiene valor en la distancia de 1 y prioridad de 0, y se puso otra ruta al mismo destino pero, por el puerto 3, con un valor en distancia de 10 y prioridad de 1. Cuando generamos trafico interesante, la vpn levanta.
Ya con la VPN arriba, vemos en router-monitor- que aparezca la ruta que manda el tráfico por la vpn, para alcanzar la sub-red 172.16.1.0 /24.
En el fortigate 100A, pusimos una ruta que para alcanzar la subred 172.16.148.0/24 se vaya por la interfase vpn, esta ruta con valores de 1 en distancia y 0 en prioridad, colocamos otra ruta a la misma subred pero que se vaya por la wan1, esta ruta con valores de 10 en distancia y 1 en prioridad. Cuando levanta la vpn, aparece la ruta, en router-monitor y en esta se ve que todo lo que vaya para la subred 172.16.148.0/24 se vaya por la vpn.
El problema que tenemos, es que cuando la VPN levanta, y hacemos una prueba de traza de ruta (tracert), desde el punto central que es la sub.-red 172.16.148.0/24 o 172.16.150.0/25 hacia la sub-red 172.16.1.0/24, vemos que el tráfico se va por el enlace dedicado y no por la VPN.
Cuando hacemos la prueba desde la oficina remota (subnet 172.16.1.0/24), vemos que el trafico si se va por la VPN, pero en el Segundo salto, donde debería resolver que es la interface en la cual se creó la vpn, nos indica que está entrando por otro Puerto del fortigate 110C, en este caso el 8, que tienen una conexión a Internet, pero no es por el cual se creó la VPN.
Ya hice la prueba de dar de baja el puerto 8 del Fortigate 110C, pero al hacer esto, y hacer la prueba de traza de ruta, nos indica que el trafico entra al fortigate 110C, por el puerto Wan2 y no por el puerto 2.
Espero me puedan aportar sus ideas.
Saludos.
