Conexiones entrantes por dos wan

[thenshinhan]

Que tal amigos! Como andan? bien? Bueno he aqui por un problema que tengo. Tengo un fortinet 60b, con dis interfaces de wan, una con IP fija y en la wan 2 un ADSL. He realizado conexiones entrantes por la wan 1 y sin ningun problema. El tema aparece cuando quiero generar conexiones entrantes por la wan2, cosa que no he podido resolver hasta ahora.
El forti tiene una ruta estatica default al gw del enlace con ip fija, y luego trate de configurarle una politica de ruteo para que lo entrante por la wan 2 salga por la wan2, pero no me funciono. Obviamente que en esta etapa de pruebas hice reglas de fw entrantes que permiten todo, cualquier origen, cualquier destino permitido, para descartar errores.
Quisiera saber si alguno ha podido realizar esto pa saber como habria que hacerlo.
El problema "neto" es que no puedo realizar conexiones entrantes por las diferentes wan, el destino de estas conexiones es la dmz, tanto para el caso de las conexiones entrantes de ambas wan.
Alguna idea???
Desde ya muchas gracias!

[gabyrossi]

Hola, como estas? Varias cosas

Primero chequea distancias y prioridades en la rura estatica y en la interface wan2

Te dejo un link para que lo revises:
[Debes identificarte para poder ver enlaces.]

Y sobre este tema se habla bastante en el foro. Te dejo en link de unos de los post:

viewtopic.php?f=10&t=491&p=1911&hilit=dual+links#p1911


saludos
Gabriel

[thenshinhan]

Gracias Gaby! Ya habia revisado los links que me pasaste, pero en mi caso no me interesa el balance de carga, por otro lado desde la dmz puedo salir a internet por ambas wan sin problema. El tema viene por el lado de las conexiones entrantes. Osea, te paso un ejemplo, en la wan2 tengo el adsl, le habilito el ping y la administracion por https y no puedo hacerle ping ni acceder via https, pero si puedo salir a internet por la wan2. Por lo que pude ver es lo siguiente: el router tiene una ruta default con un gw de la wan1, configuro una politica de ruteo y salgo a internet por la wan 2, esto en lo que refiere a conexiones salientes, ahora configuro unas VIPs entrantes a la wan1 y entro jamon del medio, configuro unas VIPs para la wan2 y no puedo conectarme. Espero haber sido un poco mas claro que lo anterior.
Desde ya gracias y abrazos!

[gabyrossi]

Hola, me imagino que tenes ip publica en la wan? o el adsl te da ip privada???
si tenes privada tendras que poner el modem en modo bridge y configurar el ppoe (adsl) en la interface wan.

saludos
gabriel

[thenshinhan]

Obviamente en ambas wan hay ip publicas, una es fija y la otra por pppoe.

[gabyrossi]

Hola, verifiquemos algunos datos:

firware del equipo??
distancia y prioridad de las wans?
Borra la politica que hiciste de wan a internal permitiendo todo!!!

luego hiciste virtual ip? como es? lo agregaste en la policy?

saludos

[thenshinhan]

Firmware: Fortigate-60 3.00-b0744(MR7 Patch 6), obviamente he realizado estas pruebas sin reglas en el fw, salvo para la VIP, ambas wan estan a distancia 1. Ruta default hacia el gw de la wan1, la salida de la wan 2 esta hecha por una politica de ruteo matchenando por origen. Recordemos que la wan 1 tiene ip publica estatica y la wan 2 PPPoE. Como vos bien decis primero realize las VIP (sin redireccion de puertos) y luego las inclui en una politica, sin restriccion de servicio. Las VIP creada para conexion entrante por la wan 1 funca de 10. Las VIP creada para wan 2 no me da bola. Intente sacar las VIP y habilitar la administracion remota del forti, ambas por https, en la wan1 responde en la wan2 no responde. Esto a lo que refiere a conexiones entrantes, con las conexiones salientes no tuve problemas. Mi inquietud es: si la wan2 tiene su ip publica, tiene conexion con internet desde la dmz e internal, porque no puedo hacerle un ping o acceder al forti...??????, intente crear una politica de ruteo que toto lo que entre por la wan2 salga por el gw de la wan2 pero no me dio resultado. Espero haberte orientado un poco mas, seria muy util para mi resolver este problema.
Desde ya muchas gracias gaby!

[gabyrossi]

Hola, el virtual ip, hace forwar de port, porque sino estaras enviando todos los port hacia la ip privada,. por eso no puede conectarte por esa wan al fortigate.
Haz la prueba haciendo forward de port por algun puerto.

saludos

[rferroni]

Buenas,
Quisiera continuar con la consulta aunque haya pasado algún tiempo!
Al final es posible, en simultaneo, usar dos wan publicas con trafico entrante?
El ejemplo mas común que se me ocurre, es dar redundancia a una pagina web por dns. El [Debes identificarte para poder ver enlaces.] resolvería las dos IP publicas y a través de Nat llega al servidor web de la empresa.
Desde ya gracias.
Saludos.

[gabyrossi]

hola, si claro que es posible.

saludos.

[rferroni]

Gracias por la pronta respuesta!
A penas pueda voy a probar, ya que estamos a la espera que nos entreguen los equipos

Saludos.
/rodrigo