DUAL WAN NO NAVEGA / PUERTA DE ENLACE SIN CONFIGURAR

[user111]

Buenos días a todos,

Lo primero, Gracias a Gaby como siempre y al resto de participantes por ayudarnos a configurar nuestros fortigate.

Yo he revisado los temas de dual wan pero mi problema creo que es algo más sencillo y seguro que alguno de vosotros me puede ayudar, voy a tratar de explicarlo lo mejor posible;

El resumen es que no se donde meter la puerta de enlace de mi nuevo proveedor, que me ha dado un sistema de alta disponibilidad, y al no ponerla creo que por ese motivo no puedo navegar. Tengo varios segmentos de red, y queria que uno de ellos navegara por esta nueva conexión a Internet, pero no hay manera. Paso a explicar todo en detalle.

Fortigate 80C
5.0. patch 7

Wan1 --> IP FIJA. Conectada al proveedor Euskaltel, fibra optica, ip estatica. En la interface wan 1 del forti, únicamente le he metido la dirección ip pública que me ha dado el proveedor con su mascara de red. TODO OK. Se navega perfectamente etc, en ninguna parte he tenido que meter ninguna puerta de enlace con este proveedor de Internet.

Nota: Aviso que sobre la Wan 2 voy a describir antes todo el servicio para que os hagais una idea lo que es.

Wan 2--> IP FIJA. Conectada a Telefonica (Movistar) Fibra Optica. Es una conexión de alta disponibilidad, por tanto si esta conexión se cae, automaticamente entra un backup adsl, que sale hacia internet con la misma ip publica que me haya dado este nuevo proveedor Movistar. Este backup de internet o sistema de alta disponibilidad como querais llamarlo, constan de 2 routers Cisco, conectados entre si mediante un simple switch y a su vez a este switch esta conectado mi fortgate 80c a la entrada Wan2

Este proveedor me ha asignado 8 direcciones IP;
1 red
2 HSRP esta es la puerta de enlace, se utiliza un protocolo para que cuando se caiga el router Principal, salga por el router de backup.
3 router PPL (principal)
4 router BK (backup)
5 Fortigate, esta es la ip que configuro en WAN2 con su respectiva mascara.
6 y 7libres
8 broadcast

Bien, la conexión funciona perfectamente, porque si conecto un pc al switch y le pongo la ip estatica (5) junto con su macara y con puerta de enlace (2), DNSs las que queramos por ejemplo las de google (8.8.8. todo funciona correcto. EL pc navega y todo perfecto.

Sin embargo NO SE COMO INTRODUCIR LA PUERTA DE ENLACE en la configuración del fortigate, es decir la ip del punto 2, debo de introducirla en alguna parte pero no se donde, cosa que con el proveedor Euskaltel no tenia que hacer, supongo que sera por el tema de la alta disponibilidad que voy a tener ahora.

Esto es lo que he hecho y no he conseguido que funcione;


1- He configurado el interface wan 2 con la ip y mascara proporcionadas por Movistar (punto 5 de las ips)
2- He creado una policy route, una politica para que el segmento de red que yo quiero salga a navegar por esta nueva conexión creada en Wan 2
3- He ido a Network --> Routing --> static Route y he creado una nueva ruta estatica, puesto estos parametros;

Destination IP/Mask : 0.0.0.0/0.0.0.0
Device: Wan2
Gateway: 0.0.0.0 Nota: Tambien he probado a meter aquí la ip (2) del listado de Ips asignadas por mi proveedor, es decir la puerta de enlace y no me funciona.
Distance : 10. Es la misma distancia que wan 1
Priority: 2 Es diferente a Wan 1, que tiene prioridad 1, es decir princpal.


Voy a adjuntar captura, me da que via interface web no puedo configurar la puerta de enlace,,,,verdaD? Puede ser este el problema....?¿


En la captura adjunta la ip 82.130.---.--- corresponde al proveedor WAN1 Euskaltel
La ip 188.87.---.--- corresponde al proveedor 2, WAN 2, Movistar cuya puerta de enlace - Gateway como veis no esta especificado, marca 0.0.0.0.

[gabyrossi]

hola, en la ruta estatica que mostras falta el gw de la wan1

saludos.

[user111]

Buenas a todos,

Voy a seguir actualizando el post para ayudar y sobre todo aprender con vosotros.

Como he comentado, hasta el momento tenia únicamente un solo proveedor de Internet conectado a Wan1, la Wan1 del fortigate esta conectada directamente a un Router Cisco, por la configuración que me da este proveedor de Internet, no he tenido que configurar en ningún momento un gateway para esta conexión. El Wan 1 del Fortigate esta a su vez conectado al puerto f0 de un cisco 1841, y el puerto f1 del Cisco esta ya conectado directamente al conversor de fibra de este proveedor.

Wan 1--> Rango de 4 IP asociadas a este acceso; -82.130.---.XXXX / 255.255.255.252- , pero con el direccionamiento publico configurada en la red entre el router y el FW, realmente solo hay 1 IP disponible para usar (la IP actual del Forti : 82.130.---.---)

Nota: El hecho de que en este tipo de conexión, no tenga que especificar ninguna puerta de enlace por defecto, me ha vuelto un poco loco, y al hacer un " execute traceroute 8.8.8.8" desde la cli del fortigate, he visto que efectivamente el primer salto, era router Cisco 1841, con otra ip dentro de la misma red.

Wan 2 --> Esta nueva conexión es distinta, Consta realmente de dos líneas diferentes, una de fibra optica como principal y un ADSL a modo de backup por si cae la línea de fibra. Para que me funcione esta conexión, SI TENGO QUE INTRODUCIR EL GATEWAY en alguna parte. Bien lo primero que tenemos que hacer el activar una característica que tenia desactivada en el Fortigate via interface web, que es el enrutamiento avanzado;




Como vais a ver, después de activarla, si podemos acceder a la opción Router, donde podemos no solo crear la ruta estática nueva del proveedor Wan2 con su puerta de enlace sino que además podremos crear las politica de ruteo, para especificar que redes queremos que salgan por wan1 y que redes por wan2

Como veréis en la captura, aun no he añadido el wan 2 a la misma y os voy a explicar el porque.

Según el técnico de Fortigate que esta llevando el caso, si quiero tener los dos enlaces vivos, es decir las dos conexiones al mismo tiempo, tengo que poner la misma distancia y la misma prioridad.

------------------------------------------
NOTA: AQUI HAGO UN INCISO, TAL Y COMO HE VISTO EN OTROS TEMAS DE GABBY viewtopic.php?f=5&t=491 , cuando se quieren tener dos enlaces vivos, tienen que tener la misma distancia pero distinta prioridad, y mediante policy routes, osea politicas de ruteo, configuramos el segmento de red que queramos para salir por la WAN deseada. Sin embargo el tecnico de Fortigate me insistia que no, que la distancia y prioridad debian de ser la misma.

Voy a probar tal y como dice Gabby y os comento resultados.

--------------------------------------------

El problema de hacer esto, misma distancia y misma prioridad , es que despues tendria que crear todas las políticas de ruteo adecuadas ya que tengo creadas varias redes, una para los servidores, otra para los usuarios, otra para una red wifi etc...y al hacer algunas pruebas con el tecnico, hemos visto que se perdía el acceso desde algunas de las redes, y por tanto es más complicado de lo que parece, tener las dos redes vivas al mismo tiempo y que diferentes segmentos de red salgan por una WAN y otros segmentos por la otra.

Mantener los dos proveedores al mismo tiempo y por ejemplo dedicar parte del trafico VPN a una WAN y el resto del trafico a otra WAN parece algo más sencillo pero antes de cantar victoria, ire actualizando el post con la configuración final y la explicación de todas las redes existentes y como se ha resuelto.

[user111]

Actualizo el post con la prueba que acabo de hacer ya ha funcionado;

Tal y como indica Gaby que es un fenomeno como todos sabemos, he configurado la Wan2 con misma distancia pero distinta prioridad. Despues he configurado una policy route, indicando que todo el trafico que sale de una determinada red, salga a traves de esta Wan2 y por supuesto, he creado una politica de firewall que permita sacar el trafico desde la red deseada a Wan 2.



Resultado, satisfactorio 100%. Funciona. Ahora lo complicado sera sacar solo x trafico, por ejemplo trafico VPN entre dos delegaciones. Con el permiso de Gaby, dejo el post abierto para actualizarlo.

[user111]

Actualizo el post, a ver si con suerte alguien me da alguna pista definitiva.


Finalmente vamos a dejar únicamente un unico acceso a Internet, WAN1.

Ok, ahora estamos intentando configurar una VPN con otro sitio, la duda la tengo a la hora de crear las rutas estaticas Ok? Como he comentado tengo configuradas varias redes (servidores, usuarios) y quiero que todo el trafico incluido el trafico saliente a internet, salga a traves de la VPN, es decir que también cualquier peticion por ejemplo a google, vaya atraves de la VPN, para que el trafico sea monitorizado y filtrado por los administradores del Sitio 2 remoto.

Alguna idea de como hacer esto?

[gabyrossi]

hola, tenes que hacer una ruta con distancia por ejemplo en 2, y el destino la ip publica remota donde conectara la vpn ipsec y el device wan1.
luego una ruta con destino 0.0.0.0 por el device vpn y con duistancioa mayor a 2.

saludos

[Aseyycvspol]

Thank you for the informative posts.

[lchacon]

user111

como le hicistes para poner el gateway ala wan 2 yo quiero hacer lo mismo pero no doy ayuda???

[gabyrossi]

hola, ruta estatica con destino 0.0.0.0/0.0.0.0 device wan2 distancia y puerta de enlace.

slaudos

[lchacon]

gracias ya quedo gaby