0
Fortinet y ruteo entre vlan's

Solved 6 Respuestas 1 Views
Buenos días

Tengo un fortinet 200e en un cliente, que estoy armando una infraestructura con vlan's

a nivel de los switch que son HP no tengo problemas, las diferentes vlan's acceden a internet queda aisladas etc.

tengo como herencia de un administrador anterior unos software switch.

los cuales se comunican con las vlan's sin problema

pero cuando hago ruteo entre vlan's, y armo las políticas de permisos,

me encuentro que me rechaza los paquetes y me los esta ruteando por una de las wan

y tube la precaución de darle una prioridad alta,

mayor que el ruteo a internet

desde ya muchas gracias

6 Respuestas

0
Mejor respuesta
Después de pelearme bastante logre resolverlo

el problema es que tenia una configuración previa con una solucion fortinet

virtual-switch. esta solución resuelve ruteo u seguridad en un paso

esto lo hace confuso

la solución termino siendo simple

definir las tablas de ruteo, darle permisos y cambiar la prioridad de las tablas de ruteo entre vlans

mayor prioridad que las default
respondido por mrix (930 puntos) Feb 2
0
Como tenes configurada las politicas y las adresses?
respondido por anónimo Dic 18, 2017
0
en address tengo dos entrada una por cada vlan

Name vlan100

Type ip/netmask

Subnet / IP Range 192.168.100.0/255.255.255.0

Interface v100-data (port18)

Show in Address List

y otra igual con vlan2 o

Name vlan2

Type ip/netmask

Subnet / IP Range 192.168.3.0/255.255.255.0

Interface v2-usuarios (port18)

Show in Address List

y en las políticas dos entradas

name vlan 100tovlan2 interface imput v100-data (port18) output interface v2-usuarios (port18) source y destinatio los datos de interfaces correspondiente
respondido por mrix (930 puntos) Dic 18, 2017
0
Por lo que entiendo, tenes que hacer una regla en el fortinet que sea srcintf = interfaz_vlan1, dstinf = interfaz_vlan2, accion aceptar y viceversa.

Es igual a 2 redes que las conectas por un router,
respondido por PanLactal Dic 18, 2017
0
es que las dos reglas existen

lo que no logro entender es por que no machean

entras por la vlan1 y sale por la dos con las ip definidas y la inversa para las respuesta
respondido por mrix (930 puntos) Dic 19, 2017
1
Por casualidad tenes PBR creadas?

Porque me paso alguna vez que esos equipos FGT, le da mas prioridad a las PBR que a las static route, es decir vos tenes esas 2 redes que mecionaste (192.168.100.x y 192.168.3.x) pero el tráfico de la 100 a la 3, se te va por la wan porque tenes una PBR que dice de 192.168.100.x a 0.0.0.0, service any, salir por WAN1. Por lo tanto, el tráfico a la red 192.168.3.x por más de ser una ruta conectada o ruta estática hace match con la PBR. Solución agregar otra PBR específica por arriba, en el ejemplo: de 192.168.100.x a 192.168.3.x, service any, salir por la interface  vlan2(port18).
Y esa PBR tiene que estar por arriba de la que se va por internet, en algunas versiones viejas de firmware, el orden de las PBR era el orden de creación y no se podían mover :S

Espero que sea eso, aunque también puede ser un bug :) porque en esos equipos pasa bastante... fíjate de tener el último firmware ;)

saludos.
respondido por BrainSop Dic 19, 2017
4Comentarios
comentado por BrainSop (110 puntos) Dic 19, 2017
Avisenme si les sirvio la respuesta :) la respondi sin crear usuario, ahora cree el usuario :)
comentado por mrix (930 puntos) Dic 21, 2017
Gracias por tu respuesta y disculpen la tardanza.
Si las tengo configurada policy routing based,
y puedo agregar que los paquetes se van por wan0incluso tiene como prioridad 1
y pareciera que no respeta priority
comentado por BrainSop (110 puntos) Dic 21, 2017
es algo que alguna vez vi, el orden que toma es el de creacion :) recomendacion borra la politica que tenes de la WAN, crea primero la explícita para la red vlan salga por la red interna y luego la de la WAN, hace muchos años cuando me paso me funciono :)
comentado por mrix (930 puntos) Dic 24, 2017
Gracias
el martes lo pruebo y les cuento
si es eso corroborare mi sospecha (el esta solución es un bodrio)
...