Página 1 de 1
Duda - Ruteo Fortiga 50B
Publicado: 28 Dic 2009, 17:01
por alejo35
buenos dias,
les comento cual es mi necesidad respecto a un cliente que tiene;
La arquitectura es la siguiente;
los servers están en un datacenter con la subre 192.168.35.0/24 y el Gateway es 192.168.35.1 que corresponde al puerto lan del equipo que provee un vinculo mpls hacia la red de la empresa cuya subred es 192.168.3.0/24.
Sucede que desde internet con Fortigate-50B 3.00-b0678 (MR6 Patch 6) no se pueden conectar a los servidores, dado que el Gateway de los servidores no es la IP lan del fortigate sino 192.168.35.1 Para conectarse es por VPN SSL, donde he creado una subred fuera de la LAN 192.168.85.0/24 y luego agregue una ruta estatica y policy para permitir el trafico entre las redes.
Si cambio el Gateway funciona para acceder via internet / vpn pero se corta en la empresa que tiene el vinculo mpls contra el proveedor y datacenter.
Espero se haya entendido, porque no logro definir bien donde esta mi error para que sea dinamico.
gracias.
Re: Duda - Ruteo Fortiga 50B
Publicado: 28 Dic 2009, 18:15
por gabyrossi
Hola, como estas? SI haces un virtual ip desde el forti hacia la ip o redes deberias llegar hacia esos servers desde internet.
En los router de los mpls estan las rutas como para ir y volver, mas que nada los server tienen internet? saben llegar ?
que rutas tenes vos en el fortigate para llegar al la red de los serves?
saludos
Re: Duda - Ruteo Fortiga 50B
Publicado: 29 Dic 2009, 15:14
por alejo35
Respecto al virtual ip, no entiendo bien que poner.
en el router hay rutas para ir y volver desde la red del cliente hacia el proveedor, luego este ruteo desde sus equipos si corresponde trafico para la red 192.168.35.0/24 van por 192.168.35.1, caso que sea para internet o rutean para otro lado.
Usando tanto el GW 192.168.35.1 ó 192.168.35.253 (ip lan de Forti) salen a internet los servers. Cabe destacar que un server tiene el GW 192.168.35.1 (para que puedan accceder desde la empresa cliente y 192.168.35.253 para otro server asi podemos conectarnos via vpn desde internet por RDP.
te pego el detalle de la config del router cisco provisto por ellos;
!
interface Ethernet0/0
description "TO LAN"
ip address 192.168.3.1 255.255.255.0
half-duplex
!
interface FastEthernet0/0
description "INTERWAN TO PROV"
ip address 192.168.53.110 255.255.255.252
speed auto
!
interface Ethernet1/0
ip address 200.43.xx.130 255.255.255.240
full-duplex
!
ip route 0.0.0.0 0.0.0.0 192.168.53.109
!
saludos.
Re: Duda - Ruteo Fortiga 50B
Publicado: 29 Dic 2009, 15:38
por gabyrossi
Hola, probaste nateando la politica de el virtual ip¿¿¿¿¿¿¿¿¿¿¿????
Re: Duda - Ruteo Fortiga 50B
Publicado: 30 Dic 2009, 16:21
por alejo35
oka, las unicas VIP creadas son para forwward a ports especificos. no tengo mas nada creado en VIP
por eso te decia que hay que crear ahi.
en policy tengo como nat wan1 a ssl.root / internal a wan1
me apoye tecnicamente en esta guia FortiOS v3.0 MR7 SSL VPN User Guide para configurar la vpn ssl y las policys
se que me falta algo por temas conceptuales el uso del fortigate
saludos.
ale
Re: Duda - Ruteo Fortiga 50B
Publicado: 30 Dic 2009, 16:26
por gabyrossi
Hola, me terminaste de confundir... son 2 cosas disntintas el ssl y los virtual ip...
si podes dar mas detalles de tu red , y de la configuracion del fortigate, podremos ayudarte mejor
saludos
Re: Duda - Ruteo Fortiga 50B
Publicado: 06 Ene 2010, 22:35
por alejo35
Hola, perdona la demora.
cree la virtual ip
External Interface: internal (LAN)
type: static nat
External IP Address/Range: 192.168.35.1
Mapped IP Address/Range: 192.168.35.253
Si me conecto por vpn con forticlient solo podemos acceder al server que tiene como gateway al forti (192.168.35.253) en cambio al otro server que tiene el gateway 192.168.35.1 no llegamos. A este server llegan bien desde la red 192.168.3.0/24 que es la red del cliente donde nace el vinculo MPLS hacia el datacenter.
Como seria la policy que deberia crear para que puedan natear sin problemas no importando el gateway que use.
gracias
ale.
Re: Duda - Ruteo Fortiga 50B
Publicado: 07 Ene 2010, 03:16
por gabyrossi
Hola, haber sigo sin entender para que usas un virtual ip. Primero en el vinculo mpls no necesitas un virtual ip y tampoco para el ssl.
saludos
Re: Duda - Ruteo Fortiga 50B
Publicado: 08 Ene 2010, 03:28
por alejo35
Sinceramente no se, te entendi que era necesario para lograr que lo preciso.
como hago para que sea transparente el acceso si es por la red mpls o por vpn?
Si cambio el gateway de los servers, uno entra y el otro no.
gracias.
ale
Re: Duda - Ruteo Fortiga 50B
Publicado: 08 Ene 2010, 13:41
por gabyrossi
Hola, haber tenes algun esquena de la red? algun dibujo con las redes, mpls, y vpn? asi puedo verlo y mes es mas facil entender y resolverlo.
si tenes algo asi, enviame un privado y me lo pasas por mail.
saludos
Re: Duda - Ruteo Fortiga 50B
Publicado: 08 Ene 2010, 13:57
por alejo35
entre hoy y mañana te lo mando. puede ser un visio? eso si tengo armado, pero no tengo muchan info de la red interna del proveedor de mpls.
gracias.
Re: Duda - Ruteo Fortiga 50B
Publicado: 08 Ene 2010, 14:21
por gabyrossi
Hola, si puede. Trata de poner los mas detalles que puedas. si no quieres ip reales reemplaza por otros, pero pone redes, asi lo vemos mejor.
saludos