Comunidad FORTIGATE.es

Buen día, amigos del foro, tengo un problema de comunicación con mi WebServer.
Anteriormente estaba configurado de la siguiente manera:

Tarjeta de Red 1
IP: 172.16.1.20 (DMZ)
Mascara de subred: 255.255.255.0
Gateway: 172.16.1.1
DNS Server: 8.8.8.8
Existian 2 políticas en el Firewall
Wan --> DMZ para tráfico desde internet
DMZ --> Wan para tráfico hacia internet

pero el consumo de/a la LAN se hacia desde otra tarjeta del WebServer:
Tarjeta de Red 2
IP: 192.168.1.20 (INTERNAL)
Mascara de subred: 255.255.255.0
Gateway: 192.168.1.1
DNS Server: 192.168.1.11

Actualmente quiero configurar un WebServer como debería, todo tráfico desde la WAN o la LAN que entre y salga por la interfaz DMZ.
Ya creé las políticas de:
DMZ --> Internal (172.16.1.20 --> all --> always --> servicio: any --> accept) COMO PRUEBA DEJE ACCESO FULL
Internal --> DMZ (all --> 172.16.1.20 --> always --> servicio: any --> accept) COMO PRUEBA DEJE ACCESO FULL
quiero consumir mi servidor de base de datos (192.168.1.x) y desde el Web Server tengo ping hacia el servidor, pero al querer consultar desde internet o desde la LAN me sale "No se Pudo Establecer Conexión con el Servidor"

También necesito internet en el WebSever pero no se como habilitarlo.

En espera de sus respuestas, gracias por la ayuda.

Problema 1 solucionado, en vez de ALL había configurado un grupo en el cual no estaba la dirección IP de mi servidor SQL, solamente ingrese la dirección al grupo y funcionó.

Pero para el internet, tengo configuradas 2 policy routes:
DMZ-->WAN2 origen:WebServer(172.16.1.20) / destino:all / servicio:http / horario:always / Acción:accept
WAN2-->DMZ origen:ALL / destino:WebServer(172.16.1.20) / servicio:http / horario:always / Acción:accept

pero el problema que veo es en la tarjeta de red de mi webserver, ¿se le tiene que configurar DNS? ¿Cúal DNS configuro? ó se tiene que hacer otra configuración.

Gracias

Buenas,

Si sólo permites acceso HTTP al exterior y no tienes DNS interno estás bloqueando las peticiones DNS de tu servidor. Por ejemplo supongamos que usas los DNS de google (8.8.8.8 o 8.8.4.4) deberás crear una regla de firewall que permita el acceso DNS (puerto 53) desde tu webserver hacia en tu caso la WAN2 (si quieres concretamente a las IPs de los servidores DNS de google si fueran las que usases).

Si este es tu problema tendrás acceso a las direcciones IP, por ejemplo si introduces 173.252.110.27 en el navegador te saldrá un mensaje de advertencia de certificado y te conectarás a facebook, sin embargo no funcionará utilizando la URL.

Si tienes un DNS interno al que pregunta tu Webserver no debería haber problema si dicho servidor DNS interno tiene acceso al exterior.

Espero que te sirva de ayuda. Saludos.

Felipe escribió:Buenas,

Si sólo permites acceso HTTP al exterior y no tienes DNS interno estás bloqueando las peticiones DNS de tu servidor. Por ejemplo supongamos que usas los DNS de google (8.8.8.8 o 8.8.4.4) deberás crear una regla de firewall que permita el acceso DNS (puerto 53) desde tu webserver hacia en tu caso la WAN2 (si quieres concretamente a las IPs de los servidores DNS de google si fueran las que usases).

Si este es tu problema tendrás acceso a las direcciones IP, por ejemplo si introduces 173.252.110.27 en el navegador te saldrá un mensaje de advertencia de certificado y te conectarás a facebook, sin embargo no funcionará utilizando la URL.

Si tienes un DNS interno al que pregunta tu Webserver no debería haber problema si dicho servidor DNS interno tiene acceso al exterior.

Espero que te sirva de ayuda. Saludos.

Felipe, gracias por tu respuesta, te comento, tengo un servidor interno ip: 192.168.1.11 y si tengo ping hacia el, en la tarjeta de red tengo configurado en DNS la ip anterior, pero sigo sin tener internet en el WebSever; al hacer un traceroute el único salto que da es 192.168.1.1, que es mi firewall después de eso se pierde.

Gracias por su ayuda.

Buenas,

Si sólo tienes permitido el acceso al exterior HTTP no funcionará el ping. Deberás indicar que también permites el servicio de ping para que la prueba sea factible. ¿Desde el servidor DNS interno tienes acceso a internet? Si tienes acceso y resuelve bien los DNS no deberías de tener este problema.

Prueba a realizar un telnet desde tu WebServer: telnet 173.252.110.27 80
Si te conecta el problema es de DNS, si no te conecta la regla no está bien (ya sea porque no afecte al webserver o porque no esté colocada arriba de otras reglas que bloqueen el tráfico).

Saludos.