Añadir Red Wifi a Fortigate 80C, expicacion dentro...

[user111]

Bueno, voy a contar aqui lo que tengo a ver si alguien me aclara las ideas....

- Un Router Cisco 1800 al que le llega Internet por cable. NO TIENE WIFI
- Un fortigate 80C que tiene conectado por la Wan el router Cisco 1800 y ademas tiene creadas 2 vlan 10.0.0.0 (servidores) y 10.0.10.0 (Usuarios). No tiene WIFI
- Como DHCP tengo un servidor Windows 2008 que me da Ips dentro del rango de Usuarios 10.0.10.0 (En el fortigate tengo marcado que el DHCP sea este servidor)
- Un Router Neutro Linksys WRT160NL-EZ que quiero que me proporcione WIFI. El router Linksys ira conectado a un switch dentro de la oficina, ya que si lo conecto al fortigate80C en el cuarto de servidores la cobertura es muy pobre.
Dudas;

1- La primera es evidente, tengo dudas si dar acceso wifi separado completamente de la red de servidores y de este modo evitar poner en riesgo la red. He probado a conectar el Linksys wrtl160nl por una de sus bocas ethernet a un switch. Le he configurado una ip de acceso dentro de la misma red de usuarios para poderme conectar a el comodamente. Le he deshabilitado el DHCP y el NAT. En este escenario me encuentro con lo siguiente;
- Puedo crear una Wifi y desde esta se sale a Internet y se acceden a los recursos de la oficina cosa quisiera evitar. Asi mismo, al darme IP el servidor DHCP Windows 2008, los equipos se registran directamente en el DNS por lo que se me empiezan a crear entradas duplicadas, por ejemplo si la misma maquina un día se conecta por ethernet y otro por wifi, me creara en DNS dos registros de la misma maquina apuntando a diferentes IPS.

Me gustaria obtener solo WIFI con el Linksys wrt160nl pero que fuera este el que diera a los clientes wifi la ip por dhcp y no mi servidor 2008, tenerlo aislado del resto de redes, que los clientes wifi solo puedan salir a internet pero no acceder a las otras dos redes internas de la oficina, ¿esto es viable conectando el Linksys wrt160nl-ez directamente a un swith en laoficina?A ver si alguien me aclara el coco...

Gracias!

[j.urena]

Creo que no estás en la sección correcta pero intentaré darte mi opinión.

Si lo que quieres es tener un Wireless en una IP diferente a la de tus usuarios y servidores puedes crear una VLAN para Wireless. Tomas una de las interfaces del Fortigate, y le asignas un DHCP a esa interface, ese DHCP funcionará solo para tu VLAN Wireless, y le das acceso a interte via el Fortigate, así controlas por políticas el uso del Wireless.

Si tienes alguna duda o necesitas otra aclaración, déjame saber.

Saludos!

[user111]

Lo primero de todo, muchas gracias por responder......

La duda que tengo es que por lo que me cuentas, el router Linksys wrt160nl tendre que conectarlo directamente al fortigate en una de sus bocas verdad? Vamos que no puedo hacer esto que me cuentas conectando este router Linksys en otra parte de la oficina simplemente a un switch que haya puesto en una boca ethernet.....

El motivo es que el cuarto de servidores esta alejado y apenas tengo cobertura si conecto el Linksys alli al fortigate...

[j.urena]

Lo primero de todo, muchas gracias por responder......

La duda que tengo es que por lo que me cuentas, el router Linksys wrt160nl tendre que conectarlo directamente al fortigate en una de sus bocas verdad? Vamos que no puedo hacer esto que me cuentas conectando este router Linksys en otra parte de la oficina simplemente a un switch que haya puesto en una boca ethernet.....

El motivo es que el cuarto de servidores esta alejado y apenas tengo cobertura si conecto el Linksys alli al fortigate...

No entendí muy bien.

[user111]

Lo que quiero decir es que ahora el esquema de conexión es el sigiuente;

Cuarto de Servidores;
- Cisco 1800 que recibe Ip publica de Internet conectado a Fortigate 80C por Wan1
- 2 switch HP Pro curve conectados al Fortigate80C, uno a Internal1 y otro a Internal2.
----------------------------------------

Puede conectar el Linksys wrt160 a una toma ethernet de la oficina y crear esa vlan que dices en el fortigate? O necesariamente el Linksys tiene que ir conectado al Fortigate en ese cuarto de servidores?

La razon de conectarlo fuera es por la distancia, al ser grande la cobertura wifi es mucho más pobre que si lo conecto en una toma ethernet de la oficina.

[gabyrossi]

Hola, lo ideal es que ese router wifi lo puedas conectar fisicamente a algun switch o boca de switch separada de tu red interna y ese switch conectado a una interface independiende en el fortigate como una dmz o similar.

eso lo podes hacer?

Si no lo mas recomendable es tener un fortiap.
saludos.

[user111]

Vale, perfecto Gabyrossi, ahora lo entiendo mejor.

Me da que eso ya es más complicado, pero voy a ver si puedo efectivamente hacer eso;

- Buscar una toma de la ofi que apenas se use.
- En el cuarto de servidores, en el rack donde encuentras todas las tomas de red, identificar esa y conectarla a un switch independiente, entiendo que con uno pequeño bastara. Ese switch independiente lo conecto como dices al fortigate, valdria por ejemplo conectarlo en la boca Internal3 y despues en las politicas dar permiso a internal3 para que salga por la wan verdaD?

De este modo conseguiria tener aislados a los clientes wifi....voy a intentarlo y os cuento....

[gabyrossi]

Hola, el fortigate tenes separadas las interfaces internas??

si es asi, en la internal3 podes configurarle una red diferentes a las demas que sera la wan del router wifi.
luego desde la internal3 tendras politicas hacia internet.

saludos.

[user111]

Hola Gaby,

Te contesto aunque sea muy tarde para otro día....buen finde de paso!

Cuando me preguntas si estan separadas las interfaces internas, a ver....tengo 2 redes diferentes, configuradas dentro de network, una corresponde a la 10.0.0.0 que es la red de servidores y otra la 10.0.10.0 que corresponde a usuarios. Por politicas tienen acceso entre ellas, no se si esto responde a tu pregunta, soy un novato ....

Si creo en Internal3 por ejemplo una red nueva, completamente diferente a estas dos, por ejemplo 192.168.1.0 y por politica le digo que Internal3 tiene acceso a la Wan que tengo creada, en principio deberian de navegar verdad? El linksys lo dejo con NAT desactivado.....

[gabyrossi]

Hola, cuando digo si las tenes "separadas" a las internal es que podes hace rpoliticas tomando la interface "internal3" y tambien darle una red a esa interface?
si es asi, podes hacerlo como te comente.

saludos.

[user111]

Lo primero de todo como siempre, mil gracias a los dos por haber respondido y haberme dado los primeros pasos para montarlo...

Efectivamente al final he hecho lo siguiente;

1- He conectado el Router Wifi a una toma separada del resto de redes que va directamente al fortigate por Internal3
2- He configurado una red nueva en el Fortigate en Internal3 con un rango determinado y con DHCP activado.
3- He creado una politica desde Internal3 hasta Wan por lo que ahora tengo una Wifi completamente separada de las otras dos redes (usuarios y servidores) y con DHCP dado por el propio Fortigate.

Ahora ya puedo especificar otro tipo del filtros dentro de esta Wifi, utilizando el fortigate, como filtros Web, limita el ancho de banda para los clientes wifi etc...

Gracias!!

[gabyrossi]

Hola, buenisimo.

saludos.