Comunidad FORTIGATE.es

Hola tengo una duda.

El VIP sirve para natear hacia adentro de la lan...osea que si tengo tengo dos ip publicas, puedo configurar para que todo el trafico de una se dirija hacia un server de mi lan. ¿Pero como se hace al revez?..necesito que un server salga siempre con una direccion IP diferente a la asignada en la interfaz correspondiente. ¿Eso se puede hacer con un VIP?

Gracias.

Hola, si lo que necesitas hacer es que salga con otra ip que no sea la ip wan que tiene el fortigate, lo que tenes que hacer es una ippool dentro de firewall -> virtualip->ippool .

luego se lo aplicas en la politica saliente.

saludos

El static NAT no sirve?.

Con IP Pool se pueden agrupar politicas tal como se hace con los VIP?

Hola, como estas?
solo podras ir aplicando el ippool por cada politica individual.

saludos
Gabriel

Revisando en Fortigate Knowledge Center Information, encontre esto.

Mapping VIP outbound connections
Virtual IPs can affect outbound NAT, even though they are not selected in an outbound firewall policy. If no virtual IPs are configured, FortiGate units apply traditional outbound NAT to connections outbound from private network IP addresses to public network IP addresses.
However, if virtual IP configurations exist, the FortiGate unit uses the virtual IPs’ inbound NAT mappings in reverse to apply outbound NAT, causing IP address mappings for both inbound and outbound traffic to be symmetric.

For example, if a network interface’s IP address is 10.10.10.1, and its bound virtual IP’s external IP address is 10.10.10.2, mapping inbound traffic to the private network IP address 192.168.2.1, traffic outbound from 192.168.2.1 will be translated to 10.10.10.2, not 10.10.10.1.

Note that virtual IP setting with port forwarding enabled doesn't translate the source address of outbound traffic. If both virtual IP (without port forwarding) and IP Pools are enabled, IP Pools is preferred for source address translation of outbound traffic.

Aqui dice que se puede con VIP, pero hago pruebas y no funciona.

hola, Si traduces y entiendes bien ese articulo dice perfectamentte que para la salida se usa ip pool.

con el ip pool funciona perfecto.

saludos

No, te equivocas...luego de realizar pruebas si se puede hacer utilizar VIP para la salida. El articulo dice que si tienes un VIP estatico creado y utilizas la IP del interna para salir, el FG utilizara ese VIP para hacer NAT. Pero si sienes un VIP y un IP Pool, tomara este ultimo como predeterminado.

Por ejemplo: Un VIP de NAT estatico en la puerta WAN:
-External IP: 200.100.23.43 Mapped IP: 10.11.11.10

Si utilizo la IP 10.11.11.10 para salir a Internet, lo hara con la IP 200.100.23.43 y no con la direccion de la interface WAN. Esto es bueno ya que la administracion de las politicas es mas facil que con IP Pool, ya que con este ultimo solo puedes aplicar un IP Pool por regla. ¿Te imaginas que por X motivo una empresa necesita hacer un NAT de salida diferentes a 80 direcciones IP? tendrias 80 politicas!!!!

En cambio con el VIP solo los creas y en tan solo una regla aplicas NAT.

Saludos.

Hola, no te entiendo, Un vip saliente tambien tienes que aplicarlo a una politicia. si tuevieras que salir con diferentes ips, tambien tendrias diversos vip? o no?

NO ESTAMOS EN LA MISMA?

con un vip, si no haces forward de port, solo podrias usar un vip con ip publica, con una y solo una ip pivada.
si haces forward de port, podrias usar una misma ip publica para diveras ip privadas tengas con x ports.

pero si haces no haces forward de ports, solo podras aplicas una ip publica sola, osea un vip solo hacia una ip privada.
eso es una limitante.
en cambio el ip pool saliente lo aplicas a quien quien quieras cuantas veces quieras a los ports que sea !

saludos
Gabriel

No es lo mismo. Por ejemplo creas los siguientes VIP en el port WAN:

External IP: 200.65.9.10
Mapped IP: 10.11.10.10

External IP: 200.65.9.11
Mapped IP: 10.11.10.11

External IP: 200.65.9.12
Mapped IP: 10.11.10.12

External IP: 200.65.9.13
Mapped IP: 10.11.10.13


Y solamente falta que crees una regla en Lan -> Wan de la siguiente forma.

Origen: 10.11.10.0 /24
Destino: All
Servicio: Any

Y listo. A las IP que les creaste los VIP saldran con esa IP, en cambio todas las demas saldran con la IP de la interfaz WAN.

Eso no lo puedes hacer con el IP Pool ya que tendrias que crear una regla por cada IP Pool...¿Te imaginas tener que crear una regla por cada una de las IP del segmento 10.11.10.0?..

hola, y los vip no los aplicas en la politica???????
No siemrpe necesitas que ip privadas salgan con distintas ips publicas. Y muchas veces tenes pocas ip publicas.

pero es cuestion de probarlo.

saludos

No, es necesario especificar el VIP solamente cuando es de entrada.

Esto es valido para las empresas, en mi caso me ha tocado aplicar NAT a un segmento entero de mi LAN para poder ver servidores de aplicaciones de un cliente y como requisito el solicita que se efectuan NAT uno a uno de salida ya que saliendo solo por una IP hay problemas. Para estos casos esta opcion es mucho mejor que crear 254 reglas por cada IP Pool, ademas de los IP Pool correspondientes.

Saludos.

Hola, bien, entendi lo probe y es correcto. nateo uno a uno sin hacer forward el paquete entra y sale con la misma ip publica del vip.

Cabe mencionar que si o si necesita la politica entrante con el vip, o con todos los vip usados para que funcione todo esto.

muy buen aporte.

saludos

Claro, cuando es de entrada es obligacion crear la politica con el VIP.

Saludos.