FortiGate 100A
FortiGate 100A
Hola amigos, gusto en saludarlos y que bueno que encuentro un foro tan bueno como este, buenas preguntas y respuestas excelentes!
Mi Nombre es Rene Valdes vivo en Chile y soy un novato en el tema del Fortinet.
Bueno espero que la presentacion haya estado bien y ahora vamos a lo que aqui nos incumbe (espero devolver la mano en poco tiempo)
En la empresa en que trabajo nos dedicamos a dar servicio de datos y voz a empresas a las cuales no les llegan las ISP facilmente asi que les enviamos el servicio por antenas, asi que es una red un tanto grande (y aqui estoy para hacer desmanes con la red jajaja!)
Bueno el tema es que tengo un cliente el cual debe sacar el servicio de camaras ip a una de nuestras IP publicas.
Ahora explico como esta la red hasta ese cliente y las politicas que he creado en el Fortinet
Internet <------> Fortinet 100A <------> Router Cliente <----------> Camaras IP
Internet <------> IP Publica <------> En DMZ1 <----------> Puertos 8099 al 8103 por TCP
Internet <------> 190.XX.XX.12X <------> Ip int <----------> Ip int
Internet <------> 190.XX.XX.12X <------> 192.1.0.123 <----------> 192.168.10.100 al 104
--------------------------------------------------------------------------------------------------------------------
FOrtinet 100A ---- Fortigate-100A 3.00-b0574(MR5 Patch 5)
Reglas en el Firewall
Firewall -----> IPVirtual ---------> IP Pool
Nombre : IP publica cliente
Interfase : wan1
Rango IP : 190.xx.xx.12x ----> La IP publica de este cliente
Firewall -----> IPVirtual ---------> IP Virtual
Nombre : Camaras
Interfase Externa : wan1
Tipo : NAT Estático
Dir IP / Rango Ext : 190.XX.XX.12X
Mapeo de Dir IP / Rango : 192.1.0.123/255.255.255.0
Redireccionamiento de Puerto
Protocolo TCP
Puerto del Servicio Externo 8100
Mapeo al Puerto 8100
(Si no chequeo el tipo de puerto me acusa objeto duplicado, se que aqui podria existir un problema)
Firewall -----> Servicio --------> Personalizado
Nombre : Serv- Cliente
Tipo Protocolo : TCP/UDP
Protocolo : TCP Y UDP
Puerto Origen Puerto Destino
Inferior Superior Inferior Superior
8099 8103 8099 8100
Firewall -----> Direccion
Nombre : Cliente
Tipo : Subred
Rango IP : 192.1.0.123
Interfase : DMZ1
Firewall -----> Politica
WAN1 hacia DMZ1
Zona/Interfase Origen : WAN1
Dirección Origen : all
Zona/Interfase Destino : DMZ1
Dirección Destino : IP Virtual cliente ----- Sera este el paso que estoy herrando???
Horario : Always
Servicio : Any
Acción : Allow
NAT
El resto sin chequear
Se agradeceria si me pueden ayudar con esto que ya me esta volviendo loco ..
Saludos
Rene
Mi Nombre es Rene Valdes vivo en Chile y soy un novato en el tema del Fortinet.
Bueno espero que la presentacion haya estado bien y ahora vamos a lo que aqui nos incumbe (espero devolver la mano en poco tiempo)
En la empresa en que trabajo nos dedicamos a dar servicio de datos y voz a empresas a las cuales no les llegan las ISP facilmente asi que les enviamos el servicio por antenas, asi que es una red un tanto grande (y aqui estoy para hacer desmanes con la red jajaja!)
Bueno el tema es que tengo un cliente el cual debe sacar el servicio de camaras ip a una de nuestras IP publicas.
Ahora explico como esta la red hasta ese cliente y las politicas que he creado en el Fortinet
Internet <------> Fortinet 100A <------> Router Cliente <----------> Camaras IP
Internet <------> IP Publica <------> En DMZ1 <----------> Puertos 8099 al 8103 por TCP
Internet <------> 190.XX.XX.12X <------> Ip int <----------> Ip int
Internet <------> 190.XX.XX.12X <------> 192.1.0.123 <----------> 192.168.10.100 al 104
--------------------------------------------------------------------------------------------------------------------
FOrtinet 100A ---- Fortigate-100A 3.00-b0574(MR5 Patch 5)
Reglas en el Firewall
Firewall -----> IPVirtual ---------> IP Pool
Nombre : IP publica cliente
Interfase : wan1
Rango IP : 190.xx.xx.12x ----> La IP publica de este cliente
Firewall -----> IPVirtual ---------> IP Virtual
Nombre : Camaras
Interfase Externa : wan1
Tipo : NAT Estático
Dir IP / Rango Ext : 190.XX.XX.12X
Mapeo de Dir IP / Rango : 192.1.0.123/255.255.255.0
Redireccionamiento de Puerto
Protocolo TCP
Puerto del Servicio Externo 8100
Mapeo al Puerto 8100
(Si no chequeo el tipo de puerto me acusa objeto duplicado, se que aqui podria existir un problema)
Firewall -----> Servicio --------> Personalizado
Nombre : Serv- Cliente
Tipo Protocolo : TCP/UDP
Protocolo : TCP Y UDP
Puerto Origen Puerto Destino
Inferior Superior Inferior Superior
8099 8103 8099 8100
Firewall -----> Direccion
Nombre : Cliente
Tipo : Subred
Rango IP : 192.1.0.123
Interfase : DMZ1
Firewall -----> Politica
WAN1 hacia DMZ1
Zona/Interfase Origen : WAN1
Dirección Origen : all
Zona/Interfase Destino : DMZ1
Dirección Destino : IP Virtual cliente ----- Sera este el paso que estoy herrando???
Horario : Always
Servicio : Any
Acción : Allow
NAT
El resto sin chequear
Se agradeceria si me pueden ayudar con esto que ya me esta volviendo loco ..
Saludos
Rene
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
hola, como estas?
Cuando publicas servicios o tenes que ver algo de adentro desde afuera (internet) tenes que usar virtualip
con la ip publica, hacia la ip interna y usando el puerto necesario.
luego aplicas el virtual ip en la politica de wan a intern o dmz (dependiendo de donde este) y si quieres puede ajustar el puerto tambien. esto es sin nat.
saludos
Gabriel
Cuando publicas servicios o tenes que ver algo de adentro desde afuera (internet) tenes que usar virtualip
con la ip publica, hacia la ip interna y usando el puerto necesario.
luego aplicas el virtual ip en la politica de wan a intern o dmz (dependiendo de donde este) y si quieres puede ajustar el puerto tambien. esto es sin nat.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiGate 100A
Hola Gabriel buenas tardes y gracias por responder tan pronto!
Te comento un poco lo que he hecho y lo que tenemos aqui..
Tenemos 12 IP publicas llegando al WAN1
El cliente se encuentra en la DMZ1 --- IP Router cliente 192.1.0.123
Los de la oficina en el internal ---- IP de mi equipo 192.168.100.139
Hasta aqui todo bien veo las camaras (ya que "es red interna")
Realice la IP Virtual
Firewall -----> IPVirtual ---------> IP Virtual
Nombre : Camaras
Interfase Externa : wan1
Tipo : NAT Estático
Dir IP / Rango Ext : 190.XX.XX.12X
Mapeo de Dir IP / Rango : 192.1.0.123
Y la politica
Firewall -----> Politica
WAN1 hacia DMZ1
Zona/Interfase Origen : WAN1
Dirección Origen : all .------ Es aqui donde debo poner la IP Virtual por que no me aparece
Zona/Interfase Destino : DMZ1
Dirección Destino : IP Virtual cliente ----- Sera este el paso que estoy herrando???
Horario : Always
Servicio : Any
Acción : Allow
Gracias por tu ayuda y disculpa por las preguntas, pero con Fortinet nunca he trabajado y a pesar de ser bien intuitivo el manejo de este, hay otras reglas y configuraciones hechas y no quiero meter la pata jejeje
Estas politicas las estoy poniendo sobre todo lo que hay creado, asi tengo prioridad del FW
Saludos
Te comento un poco lo que he hecho y lo que tenemos aqui..
Tenemos 12 IP publicas llegando al WAN1
El cliente se encuentra en la DMZ1 --- IP Router cliente 192.1.0.123
Los de la oficina en el internal ---- IP de mi equipo 192.168.100.139
Hasta aqui todo bien veo las camaras (ya que "es red interna")
Realice la IP Virtual
Firewall -----> IPVirtual ---------> IP Virtual
Nombre : Camaras
Interfase Externa : wan1
Tipo : NAT Estático
Dir IP / Rango Ext : 190.XX.XX.12X
Mapeo de Dir IP / Rango : 192.1.0.123
Y la politica
Firewall -----> Politica
WAN1 hacia DMZ1
Zona/Interfase Origen : WAN1
Dirección Origen : all .------ Es aqui donde debo poner la IP Virtual por que no me aparece
Zona/Interfase Destino : DMZ1
Dirección Destino : IP Virtual cliente ----- Sera este el paso que estoy herrando???
Horario : Always
Servicio : Any
Acción : Allow
Gracias por tu ayuda y disculpa por las preguntas, pero con Fortinet nunca he trabajado y a pesar de ser bien intuitivo el manejo de este, hay otras reglas y configuraciones hechas y no quiero meter la pata jejeje
Estas politicas las estoy poniendo sobre todo lo que hay creado, asi tengo prioridad del FW
Saludos
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
hola, es correcto el virtual ip lo poenes en la politica de wan a dmz como destino.
en source dejas all, porque te van a acceder de distintos ip, salvo que sepas de que ips publicos van a acceder a las camaras.
saludos
en source dejas all, porque te van a acceder de distintos ip, salvo que sepas de que ips publicos van a acceder a las camaras.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiGate 100A
No me funciona .....
He hecho casi de todo y no quiero crear una VPN para esto, lo encuentro ilogico y una perdida de recursos
He hecho casi de todo y no quiero crear una VPN para esto, lo encuentro ilogico y una perdida de recursos
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
hola, haber. A la camara intentas acceder por una ip publica : puerto? ejemplo [Debes identificarte para poder ver enlaces.]
y asi no te muestra nada??????????? estas probando desde afuera?
saludos
y asi no te muestra nada??????????? estas probando desde afuera?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiGate 100A
Ya ahora si respondo como corresponde....
Cree la politica como me guiaste y no paso nada, ademas cree otra politica sobre todas desde la DMZ1 a la WAN1, la cual dice que
Zona Origen : DMZ1
Direccion: IP Router Cliente (192.1.0.123)
Zona destino : WAN1
Direccion Destino : all
Servicio: Serv Camaras (Los puertos de las camaras)
Y el NAT habilitado (ya que es una politica de salida)
Perdon por responder a la rapida recien justo entro un cliente preguntando "cosas "
Cree la politica como me guiaste y no paso nada, ademas cree otra politica sobre todas desde la DMZ1 a la WAN1, la cual dice que
Zona Origen : DMZ1
Direccion: IP Router Cliente (192.1.0.123)
Zona destino : WAN1
Direccion Destino : all
Servicio: Serv Camaras (Los puertos de las camaras)
Y el NAT habilitado (ya que es una politica de salida)
Perdon por responder a la rapida recien justo entro un cliente preguntando "cosas "
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
hola, no es necesaria esa politica saliente.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiGate 100A
Borrada......
Gabriel, gracias por tu atencion y ayuda, realmente un gran valor! si vienes a Copiapo, Chile avisa que los tragos los pongo yo! (si vas a Santiago avisa para estar por alla)
No me deja salir
Lo que he estado pensando en hacer es:
1.- Como las IPs publicas que tenemos llegan a la WAN1, lo mejor seria tratar de cambiarle el DNS al router del cliente y sacarlo por una "IP limpia", he intentar nuevamente.
2.- Empezar a ordenar bajo mi criterio las salidas y usos de las IP (ya que el antiguo adm se retiro y bueno mi especialidad no es adm de redes )
Salut!
Gabriel, gracias por tu atencion y ayuda, realmente un gran valor! si vienes a Copiapo, Chile avisa que los tragos los pongo yo! (si vas a Santiago avisa para estar por alla)
No me deja salir
Lo que he estado pensando en hacer es:
1.- Como las IPs publicas que tenemos llegan a la WAN1, lo mejor seria tratar de cambiarle el DNS al router del cliente y sacarlo por una "IP limpia", he intentar nuevamente.
2.- Empezar a ordenar bajo mi criterio las salidas y usos de las IP (ya que el antiguo adm se retiro y bueno mi especialidad no es adm de redes )
Salut!
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
Gabriel, gracias por tu valiosa ayuda, al fin logre sacar los puertos requeridos como lo hice exactamente como me dijiste, ahora bien por que no funcionaba, tengo unas teorias.
1.- El fortigate estaba mareado
2.- La version IExplorer
3.- Mozilla Firefoz 3.5
1.- Las configuraciones las habia hecho la semana pasada antes de actualizar el Fx y no salia por nada
2.- Por lo general usaba el Iexplorer V 7 para realizar los cambios
3.- Hoy en mi NB actualice firefox y despues me meti a fortinet a hacer los cambios que habia dicho, pero como soy cabeza dura hice las configuraciones sobre lo que estaba trabajando. Y todo funciono.
OBS: Cuando seleccionen una opcion que les ofresca mas opciones, aunque la opcion que quieran este marcada vuelvan a marcarla, ya que esto fue lo distinto que hice junto al navegador y ahora tengo el acceso requerido
Asi que gracias y te anotaste un poroto amigo mio!
Saludos
Rene Valdes Mena
1.- El fortigate estaba mareado
2.- La version IExplorer
3.- Mozilla Firefoz 3.5
1.- Las configuraciones las habia hecho la semana pasada antes de actualizar el Fx y no salia por nada
2.- Por lo general usaba el Iexplorer V 7 para realizar los cambios
3.- Hoy en mi NB actualice firefox y despues me meti a fortinet a hacer los cambios que habia dicho, pero como soy cabeza dura hice las configuraciones sobre lo que estaba trabajando. Y todo funciono.
OBS: Cuando seleccionen una opcion que les ofresca mas opciones, aunque la opcion que quieran este marcada vuelvan a marcarla, ya que esto fue lo distinto que hice junto al navegador y ahora tengo el acceso requerido
Asi que gracias y te anotaste un poroto amigo mio!
Saludos
Rene Valdes Mena
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
Hola, de nada. tendre en cuenta las invitaciones jejeje Ahora que estamos todos en el mundial podemos festejar tranquilos jejeje.
Con el tema de los navegador muchas veces hay que tener un poco de cuidado con los cache.
Nose que firmware tiene el 100a. podrias llevarlo y actualizarlo si es que no lo hiciste.
mucha suerte, y por aca estaremos
saludos
Gabriel
Con el tema de los navegador muchas veces hay que tener un poco de cuidado con los cache.
Nose que firmware tiene el 100a. podrias llevarlo y actualizarlo si es que no lo hiciste.
mucha suerte, y por aca estaremos
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiGate 100A
Hola.
El firmware es el siguiente y esta operando asi
Estado de HA Standalone
Versión de firmware Fortigate-100A 3.00-b0574(MR5 Patch 5)
Modo de operación NAT
Segun lo que lei en la red decian que el patch 9 es un tanto inestable, cual seria el recomendado?????
Salut!
El firmware es el siguiente y esta operando asi
Estado de HA Standalone
Versión de firmware Fortigate-100A 3.00-b0574(MR5 Patch 5)
Modo de operación NAT
Segun lo que lei en la red decian que el patch 9 es un tanto inestable, cual seria el recomendado?????
Salut!
Hoy por VI mañana por BIND..9
Re: FortiGate 100A
Hola, la version estable y que te va a mejorar varias cosas seria mr7 patch 6 .
pero tendras que tener algunos recaudos. (backups y leer el release note)
cambia mucho a partir de mr6 el IPS y algunas cositas mas.
Que si actulizas tendras que revisarlo nuevamente y re-armarlo.
pero vale la pena.
Siempre que actulices, en este caso en mr7patch siempre hay un documento en pdf que se llama release note donde te dice los pasos que tenes que hacer para actulizar de una version a otra.
vos que tenes mr5 patch5 deberias hacer un par de saltos hasta llegar al mr7 patch6.
Leelo antes de hacer algo
saludos
pero tendras que tener algunos recaudos. (backups y leer el release note)
cambia mucho a partir de mr6 el IPS y algunas cositas mas.
Que si actulizas tendras que revisarlo nuevamente y re-armarlo.
pero vale la pena.
Siempre que actulices, en este caso en mr7patch siempre hay un documento en pdf que se llama release note donde te dice los pasos que tenes que hacer para actulizar de una version a otra.
vos que tenes mr5 patch5 deberias hacer un par de saltos hasta llegar al mr7 patch6.
Leelo antes de hacer algo
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst