Comunidad FORTIGATE.es

Buenas tardes chicos del foro.

Soy nuevo en este mundo de los fortigate, actualmente en la empresa donde laboro se esta llevando un proyecto que no se ha podido resolver del todo.
queda aun pendiente el como dar internet a los puntos remotos.


PLANTEAMIENTO:

Desde un punto principal con servicio de internet, este debera proveer a los puntos remotos de dicho servicio, los puntos remotos a su vez a parte de usuarios internos
con acceso a recursos de la red privada, deberian preveer de internet a usuarios clientes externos,con un ancho de banda XX MB designado por nosotros.

RECURSOS:

1.Internet en Oficina Principal + Conexion WAN para las remotas.

2.Fortigate 200D Ver 5.2 en el punto principal (Dividido logicamente en 2 Vdom (root en la Lan Principal y WAN en el FG Virtual
"FG-V")

3.Oficinas Remotas: 3 Sucursales con routers cisco 897 que se encargan de comunicar a la principal mediante rutas estaticas
en ellos y el FW, cada router reparte DHCP de su rango.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TAREAS:

a) Oficina Principal: Tiene internet y acceso a los puntos remotos. (Listo)
b) Puntos remotos: Deben tener acceso a internet desde Punto Principal donde se encuentra instalado el servicio
unico y compartir los recursos de red. Listo Conectividad (Pendiente Navegacion)
c) Seguridad aplicada de navegacion, IPS, DLP, IV: desde FG root en Lan del punto principal. (Listo)
d) Seguridad aplicada IPS, DLP, IV: desde puntos remotos pasando por el FW en el punto principal.(Pendiente Navegacion)

Observaciones:

- Si configuramos modo proxy, es administrable y factible para nosotros con nuestros usuarios internos, pero en lo relacionado a usuarios clientes o externos a la
empresa no; esto porque solo deberan tener acceso a internet y no se les podra colocar la configuracion proxy en sus dispositivos.

PREGUNTAS:

- Como puedo dar internet a los puntos remotos, fuera de proxy para los usuarios clientes?

- Alguna forma que pueda comunicar el FG-V y la interface WAN1 para que los usuarios clientes salgan a internet?

Hola, revisa ese post

viewtopic.php?f=6&t=5094

saludos

Gracias Gaby por la pronta respuesta, aqui veo que tienen 2 equipos fortinet en este post, en mi caso en la empresa es un tanto diferente.

Un Router Cisco 897 en Punto Principal(PP).(servicio de internet en este punto al puerto WAN1 y pasamos la conectividad WAN hasta los routers remotos por el puerto10 del FG.
Un Fortigate 200D Ver 5.2 (FG) en PP dividido en 2 vdom (root para la LAN PP y otro FG virtual llamado WAN) para las conexiones de Punto Remoto(PR).
Un Router Cisco 897 en cada PR.

sugieres que trate haciendo VPN desde los PR al FW-V, y de alli haciendo politicas y enrutar estaicamente todo a la 0.0.0.0/0?

si esto funciona cuales serian las ventajas y desventajas de hacer VPN?

slds.

itdom

Hola mo importa lo que tengas del otro lado, la idea es la misma

en la sucursal, todo el trafico ira por la vpn (0.0.0.0). solo se ira por la wan local al destino de la ip publica remota para armar la vpn y si necesitas entrar por la wan desde otra ip publica. Todo lo demas (0.0.0.0/0) ira por la vpn

saludos.

Hola pudo funcionar la configuracion?