enlazar 2 servicios de internet a fortigate

[Daniel]

hola como estan todos.
un favor lo que pasa es que voy a contratar una nueva linea con internet y habia escuchado que se pueden conectar las dos lineas al fortigate y asi balancear las cargas para aumentar el enlace de banda ancha no se si me puedan apoyar para configurar mi fortigate y poder hacer el balanceo. Saludos

[gabyrossi]

Hola, como estas? Podes conectar las lineas de internet que quieras.

luego tendras que rutear los protocolos que quieras sacr por una o por otra.

te paso algun links que te van a ayudar:

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

[Daniel]

Hola gabyrossi.
gracias por apoyarme, lei el docunto del link que me proporcionaste pero no me quedo muy claro como realizarlo lo que entendi es que hay que realizarlo por medio de ruteo estatico.
lo que quiero hacer es con las dos lines de enlace de internet es juntarlas dos que en este caso las 2 son de 4mb entonces al juntarlas tener 8mb y asi aumentar la banda ancha no se si se pueda realizar o que me recomiendas hacer.
saludos.

[gabyrossi]

Hola, como estas? Juntar las 2 como decis no se puede.Lo que si se puede es tener las dos conectadas y sacar algunos proticolos por una y otros por otra. ejemplo, wan1 saco http,https,msn,etc, en wan 2 mail,ftp o lo que quieras.

si te sirve asi se puede y losink qu te pase es para eso. si necesitas alguna ayuda mas avisanos

saludos
Gabriel

[Daniel]

antes que nada muchas gracias por el apoyo.
una pregunta si no se puede realizar el poder configurar la wan1 y sacar ciertos grupos de direcciones ip de mi red y por la wan2 el resto ejmplo por la wan1 sacar de la 10.x.x.1 a la 10.x.x.100 y por la wan2 de la 10.x.x.101 a la 10.x.x.255 que sean como dos redes en caso de que no se pudiera realizar un favor que me puede servir mas de las opciones que despliega el link que me proporcionaste.

[gabyrossi]

Hola, como estas? Si, eso es lo que podes hacer, ciertas ip's o rangos de ip's poder sacarlas por una wan y otras ip's o rango de ip's sacarla por la otra wan.
ESo lo haces con policys routes y ademas obviamente tiene que haber politicas de firewall para poder navegar por una wan y por la otra.

las 2 wan en esu configuracion tiene que tener el mismo valor de "distancia" y una de las 2 wan tiene que tener mayor prioridad que la otra.
la prioridad la modificas en:
si es ip estatica:
en config route static (por consola)
y editas la ruta que sale al gw de la wan y le seteas la prioridad 0 y a otra la 2 (por ejemplo) - set priority 0
si fuera ip por dhcp o por ppop:
la piroridad la modificas en la interface
config system interface (por consola)
set priority y le das un numero, siempre una de las 2 tiene que tener un numero mas chico (que sera la wan principal)

espero que te sirva

saludos
Gabriel

[Daniel]

Hola grabiel como estas? buen dia.
gracias por el apoyo que me has brindado, creo que eso voy a hacer sacar algunos por wan1 y otros por wan2.
un favor mas ya realice las configuraciones y las politicas pero sigo sin salir por la wan2, cuando compre el fortigate 100A ya me lo dieron funcionando tengo una duda en las configuraciones de la wan1 tengo activada la casilla de dns y en el servidor tengo members.dyndns.org dnsalias.com cuento con un dominio un usuario y un password la conexion que tengo es ppoe y es por medio de ip dinamica no tengo una ip fija, una pregunta tengo que activar esta casilla para que funcione e ingresar los datos del usuario y contraseña? y si no es mucha molestia para que sirve esta opcion del members.dyndns te agrego una imagen de la configuracion de la wan1, si necesito ese usuario y contraseña para conseguirlo con las personas que me lo vendieron.
Saludos.

[gabyrossi]

Hola, como estas? Si esta bien asi. el dyndns es para que en tu caso puedas configurar un nombre para acceder a la wan desde afuera o armar vpn por nombre ya que la wan por ser ip dinamica va a ir cambiando y nunca sabras si no estas conectado internamente cual tiene en algun momento determinado.
si activas, tenes que pasarle el dominio que eljiste y nombre y contraseña de la cuenta de dyndns.

a cual de las 2 wan le diste la prioridad 0 o mas baja? la que le diste mas baja va a ser la principal, entonces para sacar por la otra wan deberas hacer policy routes por protocolos.
tenes algun dns interno? o usas el del proveedor?

saludos
Gabriel

[Daniel]

hola gabriel buen dia.
la wan1 la deje con la prioridad 0 y la wan2 con 2 la que rige es la wan1.
entonces lo que entendi es tengo que ingresar el dominio, el usuario y contraseña que tengo en la wan1 para poder salir con wan2.
estoy usando el dns del provedor

si el dominio que tengo del dyndns es para poder realizar cambios y las vpns. se puede salir por wan2 sin habilitar este dominio?

un favor mas me puedes explicar un poco mas de como crear un politica de policy router.

Saludos.

[gabyrossi]

Hola, como estas? Lo de la prioridad esta bien. Todo va a salir por l wan 1 salvo que hagas en route ->policy routes -> por ejemplo para el protocolo 6 (tcp) con incomig interface (tu internal)con source (tu lan) con destino 0.0.0.0/0.0.0.0 (internet) con el port que quieras (ejemplo 80 para sacar navegacion por wan2) y con Outgoing interface la wan2. sin poner gw.

estoi hara sacar internet (port 80) por la wan2.
se entiende? Podras rutear por la wan 2 los puertos que quieras.

lo del dyndns es para poder acceder desde afuera al fortigate, o armar vpn con esa wan, ya que como la ip es dinamica no podrias armar una vpn o no podrias acceder al fortigate desde afuera ya que no sabes la ip.

creaste una cuenta en dyndns?
[Debes identificarte para poder ver enlaces.]
te creast un host con el nombre que quieras y le pones la ipo actual de la wan, asi te toma la ip y va actulizando con el nombre: ejemplo wan2dinamica.dynds.org con ese nombre que elijes, lo agregas en la interface wan en domain , eligieron previamente el server dynds, luego el user y password de tu cuenta de dynds.com


espero que entiendas.

saludos
Gabriel

[Daniel]

hola buen dia.
la cuenta del dyndns la creo mi proovedor y el la ingreso.
la verdad no entendi muy bien lo de poilicy route, pongo el protocolo 6 que es tcp, en el incomig interface es la internal, en source que es mi lan y el destino es mi puerta de enlace?

en el outgoing interface es la wan2 y en le gw le pongo 0.0.0.0
no se si sea asi y otra cosa es todo lo que se hace ya no tengo que nada en static route?
Saludos.

[gabyrossi]

Hola, como estas? La conf de la policy route esta bien como decis.
Ruta estatica deberias tener si teens configurada una ip estatica en alguna de las wan y como ruta estica pondrias el gw.


saludos
Gabriel

[Daniel]

Hola
ya pude configurar mi fortigate muchas gracias por tu apoyo Grabriel.
Saludos.

[gabyrossi]

Hola, de nada y suerte

saludos
Gabriel

[emintec]

Hola Daniel,

Si ya tienes tu forti configurado, felicidades.

Solo queria añadir un dato más a todas las explicaciones de Gabriel.
Si quieres usar las dos lineas (wan1 y wan2) como salida a internet balanceadas para simular mayor ancho de banda, se puede hacer de manera muy sencilla.
En las rutas estáticas pon 0.0.0.0 al gateway de la wan1 salida por la wan1 y otra ruta con 0.0.0.0 al gateway de la wan2 salida por la wan2 con la misma métrica.
De ahí el forti aplicará un algorismos para decidir la salida que usuará para cada session y cada periodo de tiempo determinado por el algorismo volverá a aplicar el algorismo a las nuevas sessions y decidirà si continua aplicando la salida tal como está o lo cambia.
Incluso si quisieras podries indicar-le que en caso de fallo de una linea todo saliera por la que aún funciona y casi no te enterarías del problema.

Saludos.