problema con enrutamiento entre 2 lan internas
Publicado: 29 Abr 2009, 23:46
buen dia amigos... este es mi primer post, aunque sigo el foro el algunos temas muy de cerca, en este caso particular apelo a sus conocimientos y espero obtener una valiosa ayuda....
voy a tratar de describir en primera instancia mi red:
1. fortigate 100a con dos enlaces wan (wan1 y wan2) y 2 redes internas separadas: 192.168.0.0/24 --> internal2 y 192.168.20.0/24 --> internal3
2. las politicas en el firewall son las siguientes:
id=4 -> internal2(wireless) (192.168.0.0/24) -> internal3(admon) (192.168.20.0/24) | always | ANY | ACCEPT
id=8 -> internal2(wireless) (192.168.0.0/24) -> wan2 (0.0.0.0)| always | ANY | perfil web | ACCEPT
id=5 -> internal3(admon) (192.168.20.0/24) -> internal2(wireless) (192.168.0.0/24) | always | ANY | ACCEPT
id=6 -> internal3(admon) (192.168.20.0/24)-> wan1(Adsl1) (0.0.0.0) | always | ANY | perfil web | ACCEPT
3. tengo las siguientes politicas de ruteo:
1 internal2 wan2 192.168.0.0 / 255.255.255.0 0.0.0.0 / 0.0.0.0
3 internal3 internal2 0.0.0.0 / 0.0.0.0 192.168.0.0 / 255.255.255.0
2 internal3 wan1 0.0.0.0 / 0.0.0.0 0.0.0.0 / 0.0.0.0
4 internal2 internal3 192.168.0.0 / 255.255.255.0 192.168.20.0 / 255.255.255.0
4. tengo un servidor pequeño con debian lenny, en este servidor tengo instalado vmware server, en la maquina virtual (mv) tengo instalado winxp pro, esta maquina virtual esta en modo bridged. La direccion ip del host (debian) es 192.168.20.2, la direccion ip del invitado (mv winxp) es 192.168.20.3.
5. en la mv esta instalado el software de administracion centralizada del antivirus (trustport)
6. los usuarios que estan en el rango de ips 192.168.20.0/24 no tienen problema alguno para conectarse con el software de gestion, sin embargo los equipos en el rango 192.168.0.0/24 no pueden hacerlo.
pruebas realizadas:
1. verificar que haya una politica en el fortigate que permita la comunicacione entre las dos redes internal2<-->internal3 --> OK, la politica existe
2. verificar que la politica funcione --> OK, se puede hacer ping desde cualquier equipo de la red internal1 hacia cualquier equipo de la red internal2 y viceversa
3. comprobar que los puertos a traves de los cuales se comunica el software de administracion del antivirus esten abiertos en la mv --> OK, con netstat, el puerto que usa esta aplicacion esta abierto.
4. comprobar que los equipos en la red internal2 puedan establecer una comunicacion hacia la maquina virtual (192.168.20.3) --> FALLO, con un comando netstat, aparece la comunicacion hacia 192.168.20.3:9675 como SYN_SENT
5. comprobar que los equipos de la red internal2 puedan establecer una comunicacion hacia la maquina virtual (192.168.20.3) --> FALLO, se intento hacer telnet hacia la esta ip en el puerto 9675 y no se puede establecer la conexion.
6. verifico que politica se esta usando para el enrutamiento y ENCUENTRO que todas las conexiones que van desde internal2 hacia internal3 estan siendo atendidas por la politica con id=8, esta politica me permite navegar e intenta buscar en wan2 la direccion ip 192.168.20.3, cosa que es imposible de encontrar....
MIS INQUIETUDES, DUDAS, ETC:
1. aunque tengo una politica [internal2 <-> internal3] por encima de [internal2 -> wan2], solo me toma esta ultima, la que esta mas abajo (la mas general)
2. la politicas de enrutamiento estatico estan mal planteadas?¿
3. etc etc etc
no se si fui lo mas explicito, estare pendiente para responder cualquier pregunta, y espero me puedan ayudar con este tema...
gracias
voy a tratar de describir en primera instancia mi red:
1. fortigate 100a con dos enlaces wan (wan1 y wan2) y 2 redes internas separadas: 192.168.0.0/24 --> internal2 y 192.168.20.0/24 --> internal3
2. las politicas en el firewall son las siguientes:
id=4 -> internal2(wireless) (192.168.0.0/24) -> internal3(admon) (192.168.20.0/24) | always | ANY | ACCEPT
id=8 -> internal2(wireless) (192.168.0.0/24) -> wan2 (0.0.0.0)| always | ANY | perfil web | ACCEPT
id=5 -> internal3(admon) (192.168.20.0/24) -> internal2(wireless) (192.168.0.0/24) | always | ANY | ACCEPT
id=6 -> internal3(admon) (192.168.20.0/24)-> wan1(Adsl1) (0.0.0.0) | always | ANY | perfil web | ACCEPT
3. tengo las siguientes politicas de ruteo:
1 internal2 wan2 192.168.0.0 / 255.255.255.0 0.0.0.0 / 0.0.0.0
3 internal3 internal2 0.0.0.0 / 0.0.0.0 192.168.0.0 / 255.255.255.0
2 internal3 wan1 0.0.0.0 / 0.0.0.0 0.0.0.0 / 0.0.0.0
4 internal2 internal3 192.168.0.0 / 255.255.255.0 192.168.20.0 / 255.255.255.0
4. tengo un servidor pequeño con debian lenny, en este servidor tengo instalado vmware server, en la maquina virtual (mv) tengo instalado winxp pro, esta maquina virtual esta en modo bridged. La direccion ip del host (debian) es 192.168.20.2, la direccion ip del invitado (mv winxp) es 192.168.20.3.
5. en la mv esta instalado el software de administracion centralizada del antivirus (trustport)
6. los usuarios que estan en el rango de ips 192.168.20.0/24 no tienen problema alguno para conectarse con el software de gestion, sin embargo los equipos en el rango 192.168.0.0/24 no pueden hacerlo.
pruebas realizadas:
1. verificar que haya una politica en el fortigate que permita la comunicacione entre las dos redes internal2<-->internal3 --> OK, la politica existe
2. verificar que la politica funcione --> OK, se puede hacer ping desde cualquier equipo de la red internal1 hacia cualquier equipo de la red internal2 y viceversa
3. comprobar que los puertos a traves de los cuales se comunica el software de administracion del antivirus esten abiertos en la mv --> OK, con netstat, el puerto que usa esta aplicacion esta abierto.
4. comprobar que los equipos en la red internal2 puedan establecer una comunicacion hacia la maquina virtual (192.168.20.3) --> FALLO, con un comando netstat, aparece la comunicacion hacia 192.168.20.3:9675 como SYN_SENT
5. comprobar que los equipos de la red internal2 puedan establecer una comunicacion hacia la maquina virtual (192.168.20.3) --> FALLO, se intento hacer telnet hacia la esta ip en el puerto 9675 y no se puede establecer la conexion.
6. verifico que politica se esta usando para el enrutamiento y ENCUENTRO que todas las conexiones que van desde internal2 hacia internal3 estan siendo atendidas por la politica con id=8, esta politica me permite navegar e intenta buscar en wan2 la direccion ip 192.168.20.3, cosa que es imposible de encontrar....
MIS INQUIETUDES, DUDAS, ETC:
1. aunque tengo una politica [internal2 <-> internal3] por encima de [internal2 -> wan2], solo me toma esta ultima, la que esta mas abajo (la mas general)
2. la politicas de enrutamiento estatico estan mal planteadas?¿
3. etc etc etc
no se si fui lo mas explicito, estare pendiente para responder cualquier pregunta, y espero me puedan ayudar con este tema...
gracias