Comunidad FORTIGATE.es

Buen Dia,

Tengo una LAN que quiero comunicar a un servidor externo por medio de un programa SFTP a pesar que la PC que esta dentro de la LAN la coloco como ALL ANY el sofware no valida y me envia error, si lo hago afuera de la red publica si funciona lo que indica que hay algo en el firewall. Soy principiante con este equipo Fortigate 300B.

Muchas Gracias
EB

hola y la politica la agregas arriba de la actual o actuales?

saludos.

gabyrossi escribió:hola y la politica la agregas arriba de la actual o actuales?

saludos.

Es correcto la politica la tengo para una pc arribade primerita, y no me funciona la misma le otorgo el privilegio all any, al momento que hago las pruebas fuera del fortigate que tengo si funciona.

Hola, asi como lo contas no deberia pasar eso. si tenes todo abierto sin filtros pasa todo. siempre y cuando las sessiones de la pc pasen por esa politica.

saludos.

Hola

Dentro de la red tengo las pc dentro del active directory
podria esto esta bloqueando algo?.
Se me.viene a la mente crear una red nueva y colocar alli
una Pc directa al firewall con dominio y otra ain dominio
porque viendo las politicas deberian pasar todo pero hay
algo que me lo trunca.

Hare estas pruebas y le comento.
Muchas Gracias
ebarrios

hola, no conozco la red ....
si haces tracert hasta donde llegas?

saludos.

Buenas Tardes,

Le realizo el tracert y me dice que la traza se completa pero con este mensaje

12 X.x.X.X informes: Red de destino inaccesible.

Traza completa.

Ahora yo tengo que decirle en el fortigate que dicho ftp que esta afuera pueda entrar a mi red? donde lo hago... como acceso desde afuera hacia adentro para que los paquetes
vayan y vuelvan?. Soy nuevo en este equipo disculpe mi ignorancia.

Saludos
eb

hola.,... ah ah ah...
y porque lo haces que salga y entre?
porque no lo haces que lo vea localmente???

revisa este link:
[Debes identificarte para poder ver enlaces.]

saludos

Hola, no comprendi mucho por comando, tendria que estudiar un poco mas, para ver si resuelvo este tema. Ya que por mi experiencia en este fortigate que es de hace 10 dias no se como solucionar esta parte. Si tiene otra documentacion por web que me asocie mas a la posible solucion se lo agradeceria.

Muchas Gracias
eb

hola, es el unico documento que explica ese caso...

saludos.

Buenas,

Quizás llego un poco tarde. No sé si he entendido bien, ¿el servidor se encuentra en otra de las interfaces internas del firewall? o ¿es accesible a través de internet (es decir a través de la interfaz WAN del firewall)?

En el primer caso, en lugar de utilizar la VIP externa podrías crear una política que permita las conexiones entre la interfaz de la LAN y la interfaz del servidor con la IP de dicha interfaz del servidor para el servicio conveniente (en este caso SSH supongo).

Si el servidor no tiene que realizar conexiones hacia los PCs de tu LAN interna sólo necesitas una política desde la interfaz interna a la externa que permita las conexiones al servicio correspondiente (con any debería ser suficiente) pero no es necesaria crear una política inversa, es decir que el firewall permita conectarse al servidor con los PCs de la LAN. Una vez la conexión se establece el firewall acepta el tráfico en ambos sentidos.

No sé si te servirá. Saludos.

Hola Felipe gracias por escribir.
Directamente el server esta en el mundo exterior y lo que se quiere es conectarse por sftp un sofware gratuito pero al hacerlo no procede o no lo acepta, hice lo que comentastes cree una interface nueva en el puerto3 y a esa interface le proporcione internet full, pero a pesar de ello no llego al server.
Aprovecho la coyontura para exponer algo, tengo creada una politica que me funciona en horas de la mañana y en la tarde hoy note que a eso de las 12:05pm me deja de funcionar...

Saludos y Gracias
ebarrios

Hola Buenas,

¿Con software gratuito te refieres a algo similar a WinSCP? En principio si el servidor es externo y tienes una política que permite el acceso total desde tu LAN a la WAN debería de funcionar si o si. ¿Puedes hacer ping desde fuera de tu red a los servidores? Si puedes, ¿Puedes hacer ping a la IP del servidor externo desde el firewall? ¿Y desde las máquinas internas?

Por otro lado lo que comentas de la regla de firewall pude ser que tenga activa la opción "schedule" con un valor distinto de "always" es decir que la regla sólo esté activa durante un horario determinado. Revisa la regla para comprobar esto. En consola puedes ver los horarios que tienes programados con:

show firewall schedule recurring

Saludos.

Buen Dia Felipe,

En efecto es el WinSCP al hacerle ping, no llego pero si le hago tracert se queda en un IP antes del mismo, sin embargo eso mismo me pasa si lo hago de otro internet que si me corre el WinSCP lo cual puede ser un tema de restriccion, con respecto al schedule revise y no hay valores que relacionen las politicas que estoy viendo siento que es algo como si el mismo equipo se haya quedado colgado con respecto a las politicas y no se por decir algo necesite reiniciarse... .

Aprovecho igualmente que tengo un fortigate 200B que no veo la pestaña de Maintence para bajarle el backup como respaldo.

gracias
eb

Hola,

Tal y como comentas puede ser que el equipo no permita hacerle ping y por eso el traceroute en ambos casos se quede en el último equipo que si que responde a ping. Por otro lado, ¿es posible que el servidor destino donde está el FTP tenga algún tipo de restricción de acceso por IP? Explicaría que pudieras acceder desde otra oficina por ejemplo y de esta no.

Respecto al backup en System->Status en el widget System Information (System Configuration), suele venir la opción de descargar el backup así como la fecha del último que se hizo.

Espero que te sirva, saludos.