Bloqueo de servidor de correo en dmz1

[jose_galeana]

Hola a todos.

Tengo el siguiente problema en el Fortigate 100A de la empresa para la que laboro. Tengo dos subredes configuradas: una en INTERNAL y otra en DMZ1. La INTERNAL la utilizo para la parte administrativa de la empresa, mientras que la DMZ1 la uso para gente foránea. Mi problema consiste en que desde DMZ1 tengo problemas para entrar a servidores de correo como Hotmail y Yahoo, y mensajeros como el Messenger de Hotmail, a pesar de que asigné a la política el mismo profile que asigné a INTERNAL, y en la cuál en esta última sí tengo acceso total a todos estos sitios. No entiendo por qué, si estoy utilizando la misma manera de configuración en una y otra red, en DMZ1 no puedo accesar a estos sitios. ¿Alguien me puede orientar en encontrar la solución a mi problema?

Saludos cordiales.

[gabyrossi]

hola, como estas? las 2 politicas usan el mismo protrection profile? usan el mismo dns?

solo no pueden acceder a los webmail? o a otras pagina tambien?

saludos
Gabriel

[jose_galeana]

Hola Gabriel, gracias por responder.

Mira, tengo configuradas así las dos interfaces.

INTERNAL:
IP: 192.168.1.254
Máscara de red: 255.255.255.0
DNS pri.: 200.33.146.209
DNS sec.: 200.33.146.217

DMZ1:
IP: 192.168.2.254
Máscara de red: 255.255.255.0
DNS pri.: 200.33.146.209
DNS sec.: 200.33.146.217

Ambos comparten el mismo DNS, y ambos salen a Internet por WAN1. Las dos políticas utilizan el mismo profile, pero en INTERNAL todo marcha bien, y en DMZ1 no puedo accesar sólo a los sitios que te mencionaba (webmail y clientes de mensajería instantánea como Messenger hotmail). Lo raro es que si utilizo un cliente de correo electrónico como Incredimail para consultar mi cuenta de Hotmail, ahí sí me actualiza mis bandejas. Con Yahoo mail no he podido hacer que un cliente de correo me actualice las bandejas.

Saludos cordiales.

---------------------------------
José Galeana.

[gabyrossi]

hola, como estas? las ip a las pc se las das por dhcp¿? o como¿? ojo que el forward de dns lo tenes que activar dn dmz tambien.

saludos
Gabriel

[jose_galeana]

Hola Gabriel, gracias por responder.

Te pongo la configuración más a detalle de esto que me pides.

Las IP's se asignan de manera manual.

En System -> Network -> Interface -> Internal
tengo lo siguiente:
Adressing mode: Manual
IP/Netmask: 192.168.1.254/255.255.255.0

En System -> Network -> Interface -> dmz1
tengo lo siguiente:
Adressing mode: Manual
IP/Netmask: 192.168.2.254/255.255.255.0

En System -> Network -> Zone
no tengo definido nada.

En System -> Network -> Options
tengo lo siguiente:
DNS Settings:
Use the following DNS server addresses:
Primary DNS Server: 200.33.146.209
Secondary DNS Server: 200.33.146.217

Local Domain Name:
está en blanco

Enable DNS forwarding from:
internal
dmz1

En System -> DHCP -> Service -> Internal -> Server
tengo lo siguiente:
Enable
Type: Regular
IP Range: 192.168.1.1 - 192.168.1.253
Network Mask: 255.255.255.0
Default Gateway: 192.168.1.254 (la dirección del Fortinet)
Advanced...
DNS Server 1: 200.33.146.209
DNS Server 2: 200.33.146.217
DNS Server 3: en blanco
WINS Server 1: en blanco
WINS Server 2: en blanco

En System -> DHCP -> Service -> dmz1 -> Server
tengo lo siguiente:
Enable
Type: Regular
IP Range: 192.168.2.10 - 192.168.2.253
Network Mask: 255.255.255.0
Default Gateway: 192.168.2.254 (la dirección del Fortinet)
Advanced...
DNS Server 1: 200.33.146.209
DNS Server 2: 200.33.146.217
DNS Server 3: en blanco
WINS Server 1: en blanco
WINS Server 2: en blanco

El modem-router de mi ISP lo tengo en modo bridge. El que tiene el control de la conexión de Internet es el Fortinet. Veo que en los DNS que adquiere el Fortinet dentro de la interfaz WAN1 (con el que salgo a Internet) son diferentes a los que yo configuré; sin embargo, los que yo configuré en Internal y dmz1 son los que en la página del ISP recomienda para la conexión. Creo que esto no tiene nada que ver para lo de mi problema del Webmail e IM, ¿verdad? Porque entonces también en la interfaz Internal tendría este problema, y ahí no lo tengo.

Saludos cordiales.

[gabyrossi]

hola, como estas?Si tenes adsl, configurado en el fortigate, con user y password, dandote todos los datos de la wan, dejaria en los dns que los obtenga automaticamente y haga el forward de ahi. Y pondria en los dhcp los mismo dns que te da la conexion.

solo a los webmail y a la mensajeria no pueden acceder?
solo tenes una politica en cada lado? dmz a wan y internal a wan , usan el mismo profile?

parado en una pc de la dmz y le haces ping a 69.147.76.15 que te responde?

saludos
Gabriel

[jose_galeana]

Hola Gabriel, gracias por responder.

Efectué el ping y no se pierden paquetes; me regresa respuesta. Después, le cambié los DNS a los que automáticamente se configuran con el ISP. Volví a hacer el ping y me sigue enviando los paquetes. Sólamente es a eso a lo que no puedo accesar, al webmail y a la mensajería.

En Firewall -> Policy tengo creadas:
dmz1 -> wan1 (para la interfaz DMZ1)
internal -> wan1 (para la interfaz Internal)

Dentro de dmz1 -> wan1 tengo una política llamada "LAN Internet huéspedes", a la cual le asigno el profile "unfiltered", mismo profile que le asigno a varias políticas definidas en internal -> wan1, y en la cuál en esta última no tengo ningún problema de acceso, pero en la de dmz1 sí los tengo, sólo con el webmail y con los IM.

Saludos cordiales.

[gabyrossi]

hola, como estas? La ip que te di es la ip de yahoo.com
Osea por ping llegas.
SI le haces ping [Debes identificarte para poder ver enlaces.] llegas? estando en una pc en la dmz.


saludos
Gabriel

[jose_galeana]

Hola Gabriel.

Sí, probé hacerle ping tanto a yahoo como a hotmail ([Debes identificarte para poder ver enlaces.]), y recibo bien los paquetes.

Saludos.

[gabyrossi]

si llegas por ping tenes que navegar correctamente. se entiende???? no hay bloqueos.... si no no llegarias por ping.

saludos
Gabriel

[jose_galeana]

Sí Gabriel, eso ya lo se. Estoy haciendole ping a [Debes identificarte para poder ver enlaces.], y ahí sí me marca que no se mandan los paquetes. Con la ip que me diste o con [Debes identificarte para poder ver enlaces.] si me manda bien los paquetes. A qué se debe esto?

Saludos.

[gabyrossi]

Hola, cuando intentas entrar a esos sitios, que es lo que te muestar? algun mensaje, error??

saludos
Gabriel

[jose_galeana]

Hola Gabriel.

Cuando intento accesar, sólo se queda como dos minutos aprox. intentando mostrar la página, pero después aparece el mensaje del navegador diciendo que no se ha podido mostrar la página web, y que revise mi conexión a internet:

La conexión ha sido reiniciada
La conexión al servidor fue reiniciada mientras la página se cargaba.

* El sitio podría estar no disponible temporalmente.....
* Si no puede cargar ninguna página, compruebe la conexión de red de su ordenador.
* Si su ordenador o red están protegidos por un cortafuegos o proxy, asegúrese .....

Saludos.

[gabyrossi]

Hola.. que extraño ... No me acuerdo si probaste sacando el profile unfiltered de la politica.

SIno nose que mas decirte que pruebes, es muy raro.

Gabriel

[jose_galeana]

Hola Gabriel, gracias por responder.

Ya lo intenté también, y no consigo accesar tampoco a los sitios. ¿Alguna otra sugerencia?

Saludos cordiales.