Problema al agregar otra interfaz WAN

[aalbero]

Hola buenas, tengo un pequeño problemilla y tras varios dias de buscar leer y releer no encuentro ninguna solución, a ver si alguien me pudiese ayudar:

Trabajo para una empresa que recientemente ha comprado un fortigate y me ha tocado configurarlo.
La empresa tiene 2 conexiones adsl, y lo que pretende es, que por una salga todo el tráfico excepto la navegación web y ftp.
La primera esta correctamente configurada y en funcionamiento, el problema surge al añadir la otra:
Configuro las dos interfaces, con la misma distancia (10) y diferente prioridad (1 para la que tiene todo el tráfico (wan1) y 10 para la web y ftp (wan2))
En el momento en el que añado la plolicy route para que redirija el trafico desde Switch -> wan2, deja de funcionar. dejando en marcha en sniffer en el CLI, se puede apreciar que efectivamente el tráfico se ha redirigido a la wan2, pero son todo paquetes SYN (en el caso de redirigir el http) sin ninguna respuesta del exterior.

Por otra parte tengo otro pequeño problema completamente diferente. La empresa dispone de una pagina web alojada en uno de sus servidores (escuchando en el puerto 80)
redirijo el tráfico externo mediante politicas de grupo para que todo lo que venga por el puerto 80 se redirija al servidor web a su puerto 80. Esto no da ningun resultado. si por ejemplo añado la regla de que todo lo que venga por el puerto 81 (por poner un ejemplo, funciona con cualquiera) lo redirija al 80 del servidor web y se accede a ese puerto, la pagina se visualiza correctamente.

Bueno, gracias de antemano

[gabyrossi]

Hola, como estas? Podrias contarnos como hiciste la policy route? copianos que pusiste en protocolos y los demas campos.

Con el tema de la pagina web alojada ahi, lo que tenes que hacer es un virtual ip con port forwarding.
Luego ese virtualip se la aplicas a una politica de firewall que sea de wan a internal, donde source es all y el destino el el virtualip creado.

saludos
Gabriel

[aalbero]

Buenas gabyrossi, en primer lugar gracias por tu respuesta.
La policy route para http:

If incoming traffic matches:
Protocol 6
Incoming interface Switch
Source address / mask 0.0.0.0/0.0.0.0
Destination address / mask 0.0.0.0
Destination Ports From: 80 To: 80
Type of Service bit pattern: 00(hex) bit mask: 00(hex)
Force traffic to:
Outgoing interface wan2
Gateway Address puerta de enlace de la wan2. (también he probado 0.0.0.0)

Si en Gateway address pongo 0.0.0.0, teoricamente, deberia comprobar la conectividad y si hay sacar el tráfico por la wan2 y si no por la otra si no me equivoco no? si lo dejo a 0.0.0.0 y snifo el tráfico sale por la wan2 pero lo mismo que describo antes, solo paqueres syn sin obtener ninguna respuesta

Respecto a lo de la página web, lo tengo configurado así. tengo habilitado el acceso administrativo via http al fortigate, pero en otro puerto que no es el 80.

[gabyrossi]

hola, en el policy route no dejes el Source address / mask 0.0.0.0/0.0.0.0, pone la red interna que sea del switch.
Como gw dejale cero.


saludos
Gabriel

[aalbero]

Finalmente lo he solucionado.
Ha sido un gran despiste por mi parte, las firewall porlicy estaban ya creadas y no las revise, y no tenian activada la "Network address translation" activandolo todo solucionado.
Muchas gracias

[gabyrossi]

Hola, de nada.

suerte

Gabriel