Página 1 de 1
VPN Site to Site Fortigate NAT con Internet
Publicado: 26 Ene 2015, 17:04
por Mvasquez
Buenas,
Tengo mis dudas cuento con 2 fortinet en VPN sitio a sitio,
Pero desde uno quiero que salga por internet desde el principal, ya que solo tengo enlace Nacional en un equipo y no internacional.
Se puede hacer esto?
Intente desde el Firewall principal, quitando NAT transversal en la VPN, en las politicas asignando NAT generando rutas y nada.
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 27 Ene 2015, 14:50
por gabyrossi
hola, si podes.
* primero tienen que ser vpn en mdoo interface.
* las phase2 las redes deberian ser 0.0.0.0/0
* las politica con destino all
* en la surcursal que no tiene enlace internacional, deberas rutear todo (0.0.0.0/0) por la vpn, pero que llegue (ruta)al peer remoto por la wan para que arme a vpn.
* en la sucursal donde sale a internet, debe haber una politica anteada desde la interface vpn hacia la wan.
saludos.
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 27 Ene 2015, 14:55
por Mvasquez
A OK queda claro, voy hacer pruebas. gracias!!
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 27 Ene 2015, 21:04
por Mvasquez
Gaby va casi todo bien
pero quedo en la puerta de la interface del firewall
FGT40C # execute traceroute [Debes identificarte para poder ver enlaces.]
traceroute to [Debes identificarte para poder ver enlaces.] (64.233.186.94), 32 hops max, 72 byte packets
1 190.82.x.x 5.855 ms 5.401 ms 5.770 ms
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 27 Ene 2015, 21:20
por Mvasquez
En la publica de mi tercer enlace con prioridad 3
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 19:15
por gabyrossi
hola, no queda claro donde se queda el tracert?
tenes algun diagrama de red para ver?
saludos
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 19:26
por Mvasquez
no cuento,
puedo resumir
FW200B
cuenta con 3 enlaces misma distancia y distina prioridad. en le tracert me resuelve por el 3er enlace
he agregado rutas estaticas pero no me deja salir el trafico por otros enlaces, pero no me resuelven.
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 19:34
por gabyrossi
no te resuelven? un tema de dns?
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 19:54
por Mvasquez
Código: Seleccionar todo
FGT40C # execute traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 32 hops max, 72 byte packets
1 190.82.x.x 5.994 ms 5.520 ms 5.497 ms
2 * * *
3 * * *
4 * * *
en mis interfaces del 200B
Código: Seleccionar todo
port11 (Movistar) 190.82.x.x 255.255.255.248 Físico PINGHTTPS
port12 0.0.0.0 0.0.0.0 Físico
port13 0.0.0.0 0.0.0.0 Físico
port14 0.0.0.0 0.0.0.0 Físico
port15 0.0.0.0 0.0.0.0 Físico
port16 0.0.0.0 0.0.0.0 Físico
port1 (admin) 192.168.1.1 255.255.255.0 Físico PINGHTTPSSSHHTTP
port2 (Lan) 10.x.x.x 255.255.255.0 Físico PINGHTTPSSSHSNMP
port3 0.0.0.0 0.0.0.0 Físico
port4 0.0.0.0 0.0.0.0 Físico
port5 7.7.7.1 255.255.255.255 Físico
port6 7.7.7.3 255.255.255.255 Físico
port7 0.0.0.0 0.0.0.0 Físico
port8 (Movistar 100 MB) 186.103.1x.x 255.255.255.248 Físico HTTPS
port9 (CLARO) 200.27.x.x 255.255.255.0
Rutas estaticas
Código: Seleccionar todo
IP/Máscara Gateway Dispositivo Distancia Prioridad
0.0.0.0 0.0.0.0 200.27.x.x port9 10 2
0.0.0.0 0.0.0.0 190.82.x.201 port11 10 5
0.0.0.0 0.0.0.0 186.103..x.x port8 10 0
Red VPN y Dispositivo
10.104.206.0 255.255.255.0 VPNRemota
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 21:10
por gabyrossi
pero desde una pc???
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 21:13
por Mvasquez
no aún no accedo a un equipo, es desde el firewall remoto 40C
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 21:26
por gabyrossi
y nadie pede hacerte el tracert?
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 28 Ene 2015, 21:44
por Mvasquez
Voy a probar y te cuento. gracias!!
Re: VPN Site to Site Fortigate NAT con Internet
Publicado: 02 Feb 2015, 20:27
por Mvasquez
Hola,
buenas.
resumiendo.
Si fue posible,
Desde el firewall 40c
Se configuro la fase 2 con red de destino 0.0.0.0/0.0.0.0
Se generó una regla estatica de ruteo 0.0.0.0 hacia la VPN.
luego en el firewall principal
Se creo un politica desde la RED VPN hacia la interface de Internet,
en modo NAT y listo!!