Comunidad FORTIGATE.es

Hola Muchachos, que tal.
Tenemos un Fortigate 100C y tengo creadas mis politicas de seguridad para bloquear todo. El tema es que cuando llegan visitas a una reunión quieren mostrar algo en la web y quedan bloqueados, entonces se me ocurre crear un portal cautivo donde ingresen, por ejemplo usuario"visita" clave "visita123" y que el Fortinet les entregué una IP distinta a la LAN de uso empresa y que también tengan salida libre a Internet sin ningún bloqueo.
Creo que debo empezar creando una DMZ y luego lo del portal cautivo, si pueden brindarme información de como hacerlo se los agradecería mucho, he leído diferentes opiniones en los foros, pero no me ha servido.

Gracias.
Saludos!!

Buen día amigo,

Va a depender de como conectes a estos invitados.. El fortinet tiene puerto DMZ en caso de que sea vía Wifi y no poseas tu red segmentada, puedes conectar el router a dicho puerto y ahi realizas los ajustes de política, ruta , portal cautivo y navegación, también lo puedes realizar creando una VLAN si tu red es segmentada y aplicar las mismas configuraciones, esta VLAN puede estar conectada a tu puerto LAN.

Si se conectan vía cable utp entonces debes manejarlo con VLAN o colocar un SW este conectado al puerto DMZ y los puertos de la sala de reuniones conectarlos a ese SW.

las politicas serian de DMZ a Wan
O de VLAN a WAN

Saludos.

Hola Anderson, buen día.
Primero que todo gracias por tu ayuda e interés.
Mi idea es habilitar WIFI sólo para los invitados, mi red no está segmentada. Entonces el fin de esto es que los invitados queden en otra LAN y que no puedan ver servidores e impresoras de la RED operativa de la empresa.

Gracias!

Perfecto debes utilizar entonces un puerto DMZ para conectar a tu router Wifi.

Lo puedes realizar conectando de tu port DMZ a la Wan del router (colocas una ip fija del rango DMZ) y el router que entregue ip en su LAN Wifi. Con esta opción en tus políticas TY Ruta solo permisas para que valla a Internet la ip configurada en la WAN del router.

También puedes conectar la LAN del router a tu Port DMZ y que este ultimo entregue direcciones, permisando hacia Internet (Politica y ruta)la Red de DMZ.

En la Interfaz utilizada como DMZ habilitas el portal cautivo.

Todas las opciones mencionadas te funcionan ya que si no realizadas politicas hacia la LAN no van a acceder a tus recursos locales,es cuestión de decidir cual prefieres.

Seria útil saber también que versión de Firmware tienes? y si tienes las Interfaz LAN Separadas en puertos, es decir, que cada puerto LAN sea independiente no un Swich.

Cualquier duda estoy a la orden.
Saludos.

El firmware v5.4.0,build1011 (GA).
Y lo otro, nuestro Fortigate está configurado como Hardware Switch, que fue lo sugerido por la persona que en ese minuto instaló el equipo debido a nuestra estructura de RED.
En este escenario no se puede aplicar el DMZ?

Saludos !!

Si se puede, solo debes tener un puerto libre que uses para dicho propósito, en este caso usas un puerto para montar tu dmz. En la versión 5.4 0 debes poder sacar una puerto del hardware switchy colocarlo como puerto independiente y sobre ese hacer tu configuración dmz esto si no tienes puertos disponibles.

Lo importante es que tengas un puerto libre que puedas destinar para dmz.

Hola estimado.
Me equivoqué en el modelo de nuestro Fortigate, es el 90D y no tiene puerto DMZ.
Así se ve la configuración actual.
Entiendo que puedo quitar una interfaz del Hardware Switch y crear una nueva interfaz para la DMZ?
Tal vez parezca obvio, pero es mejor consultar antes de mandarse flor de rana.

Gracias master.

Exacto, una de las que tiene X al darle clic y aplicar la quita del hardware switch y las vas a tener disponible para usarla como dmz.

Saludos.

Bueno no X corrijo de las que están down que no tienes nada conectado. . Al sacarla del hardware switch ya la tendrás en la pantalla principal de interfaces para usarla como dmz, Wan conectar otra Red. Lo que necesites en tu caso dmz

Hola Anderson, en relación a esto, estoy tratando de habilitar una nueva interface para mi dmz en mi forti90D y necesita sacarla del hardware switch, pero no estaría pudiendo, me podrías dar una mano.
Cuando ingreso a mi interface la, no veo la posibilidad de deshabilitar ninguna intreface del switch...

Hola,

¿Que FortiOS utilizas?

En las ultimas versiones nada mas tienes editar el hardware switch y darle a la x en la interface que deseas sacar.
Saludos.

Hola.
Versión 5.2.0
Envio adjunto de como me aparece la config del intreface lan
Gracias.

Hola,

En 5.2 para poder cambiar el modo del hardware switch debes eliminar todos los objectos o referencias del hardware switch, politicas, rutas estaticas, VPN, cualquiere referencia para que puedas hacer el cambio.

Luego por CLI debes hacer el siguiente cambio:
Por cualquier duda ingresa a este link: [Debes identificarte para poder ver enlaces.]

Saludos.

Muchas gracias Makco10

De nada, te recomendaria hacer el upgrade de firmware hacia 5.6.9 es la ultima version compatible para el Fortigate 90D.

[Debes identificarte para poder ver enlaces.]

Saludos.