Comunidad FORTIGATE.es

Buenos días a todos,

Tengo un pequeño problema a ver si alguien me puede echar un cable.

Tengo una VPN IPsec site to site por politica que funciona correctamente excepto en un caso. Bien, la vpn levanta el tunel sin ningún problema, pero realizo SNAT a través de la política del firewall, paso de una red con con red 192.10.150.0 y máscara 255.255.255.0 a una red 102.10.13.0 y máscara 255.255.255.240, el SNAT funciona perfectamente, pero tengo un equipo que se ha "encabezonado" y el firewall le traduce la dirección por la 102.10.13.0 y claro, el otro extremo no escucha por la ip 0. He intentado cambiar la máscara del snat por 255.255.255.241 y obviamente como presuponía no me deja ponerla al ser invalida. También estoy intentando encontrar documentación para hacer el natip de la política en vez de por subred, hacerla por rango (en vez de "natip 102.10.13.0 255.255.255.240" por algo del estilo "natip 102.10.13.1 102.10.13.15") pero no he encontrado nada y ni sé si es posible. El caso es este: ¿Cómo puedo evitar la ip 0 cuando el fortigate realiza el SNAT?

Muchas gracias por adelantado!

hola, revisa por cli dentro de la policy.
lo ideal es que haicieras la vpn en modo interface.

saludos

Hola Gabyrossi,

El tema del SNAT efectivamente hay que hacerlo por CLI, pero se como hacer que evite la IP "0", no me es posible cambiar a modo interface, ya que no se por qué, pero no levanta el túnel con el proveedor (al menos no he sido capaz de hacerla funcionar, aunque lo intenté en su momento) y a día de hoy en modo túnel funciona correctamente excepto esa IP, que tengo que tratar de que no sea usada, de echo, si evito la "1" tampoco estaría mal, pero es un mal menor.

Gracias por el interés.

gabyrossi escribió: ↑15 Ene 2018, 21:35 hola, revisa por cli dentro de la policy.
lo ideal es que haicieras la vpn en modo interface.

saludos

Buenas de nuevo,

Finalmente he podido implementar el modo interface sin tener indicencias y levantándose el túnel (cosa que antes no podía, y no entiendo el motivo). El caso es que aplicando una ip pool, en el modo interface, he conseguido evitar la IP "maliciosa", y para "colmo" el rendimiento de esa conexión es mucho más rápido y eficaz que cuando iba en modo política.

Así que podemos dar por finalizada la incidencia.

Gracias!

Buenisimo, saludos.