La idea es tener en claro que modo usar en nuestro equipo según necesitemos y conforme a la infraestructura de red, analizaremos el modo NAT vs Transparente.
La unidad de Fortinet puede funcionar en dos modos diferentes, dependiendo de la infraestructura de red y los requisitos. Se puede elegir entre modo NAT y transparente.
Ambos incluyen las mismas sólidas funciones de seguridad de red, tales como antispam, antivirus, VPN y políticas de firewall.
El modo NAT
Al igual que un router, todas sus interfaces están en subredes diferentes, lo que permite tener una única dirección IP a disposición de la Internet pública. La unidad de Fortinet realiza la traducción de direcciones de red antes de enviar el paquete a la red de destino o recepción de un paquete desde el destino de red.
Normalmente, se utiliza NAT / modo router cuando la unidad de Fortinet está funcionando como puerta de entrada entre las redes públicas y privadas. En esta configuración, se recomienda crear el modo NAT para controlar el tráfico que va entre la red interna, privada y la red externa o Internet.
Modo transparente
Funciona de modo similar a una red bridge, todos los FortiGate deben estar en la misma subred.
Normalmente, se utiliza la unidad de Fortinet en el modo transparente en una red privada detrás de un de firewall existente o detrás de un router. La unidad de Fortinet lleva a cabo funciones de firewall, IPSec, VPN, antivirus, IPS filtrado web y filtrado de correo no deseado.
Para configurar el equipo en modo NAT se debe hacer lo siguiente:
1- En la sección de System > Config > Operation se debe seleccionar modo Nat dado que por defecto viene en modo transparente.
2- Y después, en interface, ya podemos usar cada puerto del equipo de forma independiente, solo hay que configurarlo según nuestra necesidad. Por lo general con esta opción podemos configurar varias wan, en el caso de tener varias conexiones a internet, y actualmente estos equipos permiten el balanceo de carga o bien se utiliza también para configurar una DMZ. Pero para lograr que funcione correctamente hay que cambiar la opción «Switch Mode».
El modo switch es para que cada puerto del firewall funcione de forma independiente, una vez que hacemos clic en «Swtich mode» para hacer el cambio seleccionamos «Interface Mode» y le damos OK para guardar los cambios.
hola que tal Jorge, una pregunta tengo 2 servicios de internet (1 dedicado y otro domestico), quiero crear varias politicas de firewall donde le indique quienes saldran por el enlace dedicado y quienes por el domestico (previamente dados de alta en WAN1 y WAN2), para hacer eso el servicio domestico tengo que configurar el modem como modo puente? y en static routes el proveedor deberia darme el gateway? o no es necesario ponerlo como modo puente y al dar de alta el gateway coloco la opcion de recibir automaticamente el gateway?
Gracias de antemano
Cristian, si estas usando la versión de firmware 5.4 para arriba podes usar sdwan y que el equipo haga uso automático y calcule la mejor ruta, si no por lo general, los servicios dan dhcp, pones en la interface que conecten de esa forma y creas grupos para una wan y para la otra, pero estas trabajando mucho manualmente, ahora se usa sdwan y te olvidas. Saludos
Hola Estimados:
Saben cuantas subredes es lo que esta permitido en un NAT en fortigate? depende de la mascara de red?, ejemplo:
10.1.x.x/24
10.2.x.x/24
10.3.x.x/24
10.4.x.x/24
10.5.x.x/24
todas esas subredes, salen por un Nat -> x.x.x.x hacia internet.
mi pregunta es hay un limite de subred para un solo nat?
cuantas redes es lo que esta permitido salir por un NAT segun fortinet?
Gracias, quedo Atento.
Saludos.
Hola Pablo, en realidad va a funcionar como cualquier equipo tipo router, lo que te va a dar el límite es la capacidad de hardware, sobre todo de procesador y memoria, pero no veo en ningún lado que haya limites lógicos.
como puedo hace un ping entre vlan diferente (192.168.7.x (cliente) a 1920.168.2.,(servidor)) puedo ver los archivos del servidor, desde el cliente, pero no puedo hacerle un ping.
Daniel tenes habilitado el servicio de ICMP?
Alguien sabe cuantas VPn soporta un fortigate 50B
saludos
Juan, soporta bastante, pero el tema es cuantos servicios vas a usar, tener que ir viendo la cantidad de sesiones que soporta y se establecen, también ver consumo de cpu y memoria, pero calcula que 30 usuarios locales y 10 remotos vas a estar bien.
Buen aporte, solo quisiera saber cuantos enlaces wan soporta el balanceo de carga de wan en fortigate 60d yo he configurado 5 pero al quitar cualquiera funciona mejor que con los 5 posiblemente se sature el firewall o no pero esa es mi duda en general cual es el máximo número de WANs balanceados que soporta el balanceado, gracias y saludos.
Oscar, podes usar todos los puertos como balanceador, si te pasa que sacas una y anda mejor entonces o anda mal la conexión que sacaste o no tiene los umbrales para que vaya balanceando correctamente. Pero como configuración podes tener todos los puertos eso lo manejas vos, y para ver el consumo de recursos en breve publico unos comandos pero gráficamente podes ver en el dashboard un widget de procesador y memoria.
Buen dia, Mi pregunta es la siguiente tengo una red con 60 usuarios, uso un enlace dedicado como salida de internet primaria, pero 4 servicios como secundarios. Me interesa comprar un fortigate pero no se que modelo me recomiendan que pueda gestionar las 5 salidas de internet ya sea como balanceo de carga o para que en caso de fallo salgan por estos servicios.
Celina, de donde sos? Yo te recomiendo usar un 80D o un 100D por si queres usar vpn y otros servicios, dado que ese equipo funciona muy bien sobre todo teniendo en cuenta que vas a tener muchas conexiones, no sea cosa que te quedes sin recursos.
de México, El fortigate solo lo usaremos para filtrar el trafico de red, asi como para restringuir paginas web, no usamos vpn´s. A nuestra empresa le interesa que el internet este disponible todo el tiempo, por ello la cantidad de servicios.
Si, en mis clientes, les interesa la alta disponibilidad que te da el equipo y algunas personas se le aplica el web filter, o una opción es manejar el ancho de banda disponible de forma más eficiente.
Hola jorge espero que te encuentres bien, hace tiempo me ayudaron mucho con un problema que tuve con un equipo fortigate 110c, pero me enfrento a otro que no le he encontrado solución.
Por un apagón de luz se me des configuro el enlace dedicado (de echo cuando reporte reiniciaron el router de ellos), desde ese día mi fortigate no me respeta las ips virtuales, curiosamente si reviso la ip desde fuera si me la esta asignando al equipo que necesito con salida, pero no hay acceso.
Yo no modifique las directivas que ya estaban funcionando, se supone todo debería funcionar bien y no pasa así.
Varios me comentan que debo pedir que el router de mi proveedor este en modo puente que al reiniciar todo no lo dejaron de esa forma y que es por lo que mi fortigate no administra las ips virtuales, pero los técnicos de soporte de mi isp no quieren cambiarlo a modo puente, dicen que esa configuración no la realizan ellos.
Mi duda es, se debe poner en modo puente o se puede configurar el equipo y que respete las ips virtuales sin necesidad de la configuración en modo puente?.
Gracias.
Alejandro, si tenes un enlace dedicado, tenes que hacer la configuración manual, con los parámetros que ellos te dan, por lo general esto siempre esta en modo puente o bridge, entonces en system, network, interfaces, colocas los valores manualmente, pero tené en cuenta que también tenes que especificar la puerta de enlace que esta en Router, static routes, con eso queda configurada la interface dedicada, ahora te falta crear la política para que navegue por ahí.
Si vos le conectas una laptop, por ejemplo, y te da IP, entonces la ip es dinámica y tenes que usar DHCP en la interface para que tome los valores automáticamente, pero como te digo ya no sería un servicio dedicado.
En todo caso debes llamar al servicio técnico y deben poner en modo bridge el servicio en el caso de que no sea doméstico, tiene que ser, al menos en Argentina, un enlace para empresas.
Saludo
Te agradezco mucho tu respuesta, tendré que hablar con soporte técnico de mi compañía proveedora (Axtel) para que lo cambien ya que se les ha pedido pero me dan muchas excusas.
Estate seguro del tipo de servicio que tenes, porque si es conexión a empresas no va el mismo router, deben cambiarlo. Cualquier consulta avisame y te ayudo.
buen dia jorge se que este es un pos que ya lleva tiempo y me gustaría saber si puedes darme una mano con un problema que me surge al crear una vpn site to site de la siguiente forma:
Ambas sub redes tienen el mismo segmento de red 192.168.20.x
El aplicativo que requiero aceder no debe pasar a través de un nat porque no va a resolver diferentes servicios que debe levantar en el server
la situación es esta en la sede que se va a conectar a través de la vpn existe la ip del servidor asignada a otra maquina al enviar la conexión de la aplicación que debemos hacer funcionar esta busca la ip en la red local y no se va por la vpn
Jose, para que funcione la vpn tiene que estar cada lado en una subred distinta, si pones lo mismo no te va a funcionar porque tiene que haber 2 gateway que se comuniquen.
Hola Jorge, tengo un Fortinet 200B y necesito que un rango de red (172.16.7.0/24) consuman un servicio web que está publicado en una «red ajena». La «red ajena» tiene sus políticas de seguridad habilitadas y sólo dejan consumir el servicio web desde una única dirección ip de mi red (172.28.39.111).
Lo que necesito es que todas las solicitudes web que se reciban desde mi red (172.16.7.0/0) salgan «nateadas» con el dirección única 172.28.39.111 que es la dirección autorizada en la red ajena.
Te agradezco cualquier ayuda que me puedas dar.
Roberto, si están en modo nat va a salir todo nateado, lo que tenes que hacer es generar una regla que permita verse con esa IP, del rango 172.28.39.111 hay que hacer una regla también permitiendo ese servicio web.
Buenas tardes; Jorge deseo implementar un fortinet 60 C ya que poseia una 60 B pero se daño, la pregunta es la siguiente, el 60 C me hara la misma funciones del 60B, en cuanto a Vlan, restrincciones de pagina web, filtrado, dmz, habilitacion o nateo de puertos, VDOM. Lo que pasa es que no se si el 60 C es mejor que mi antiguo 60B
Charles, te hará lo mismo y más, porque con cada nueva versión de firmware se le agregan cosas siempre, tene en cuenta que a veces te cambian algunas cosas, pero siguen estando.
Hola Jorge,
Soy Administrador de red de un colegio , que entre pc de escritorio, notebook ,servidores,
telefonos celulares y tablet, hacen unos 200 equipos conectados a mi red.
Actualmente tengo un enlace de 10 Mbps y solo tengo un segmento de red,para toda mi LAN.
Para optimizar mi LAN y sacar provecho de todas las herramientas que ofroce Fortigate tengo intención de:
crear VLANS,para Aulas,Administrativos,Docentes,etc.
Consultas:
1.- Al configurar modo nat el Fortinet , el router de mi ISP , debe cambiar su configuración actual ?
( actualmente me ofrece una ip interna 192.168.1.1 + 2 DNS )
2.- Que modelo Fortigate es el más adecuado,para mi LAN ?
3.- Todas las aulas las tengo con user en mi active directory, sin embargo notebook de alumnos, celulares ,etc
navegan en internet directo , osea el Windows 2008 les asigna ip/dns/gateway ( Dhcp ) por medio de Access Points.
Puede fortigate solicitar credenciales al momento de salir a navegar, que esten asociadas a perfiles ( con diferentes restricciones – Web Filtering )
independiente que esten o no autenticados los usuarios en Active Directory ?
Agradecería tu ayuda y bien si es necesaria una asesoría me comentas.
Santiago-Chile.
Gracias.
Hola Pablo, te comento:
1- Tu ISP no debe cambiar nada, es recomendable usar NAT, y la configuración la haces en Interface.
2- Si vas a usar vlans, filtro web, vpn, vas a necesitar mínimo un 200, yo trataría de comprar un modelo más para que quedarte justo con la capacidad. Si no lo que se hace por lo general es armar todo el ruteo en un switch bueno, y solo internet el fortigate, es lo más recomendado, entonces podes comprar un modelo más chico.
3- Lo que podes hacer es, depende del controlador de access point que tengas es configurar autenticación por medio de radius, si no lo tenes, crear un usuario invitado que no tenga acceso al dominio, y le aplicas los filtros que quieras.
Yo hago este tipo de trabajos, si queres desde el punto de vista de diseño e implementación lo podemos ver.
Hola en la empresa que entre me estan pidiendo que configure un Fortigate 80C y un HP 2530 cov varias Vlan
Vlan 1 – Ruter, Swtich, AP
Vlan2, Server, printer
Vlan8, Users
Vlan20, Video conference
Vlan25 VPN
Ya cree las Vlan en el FW y en el SW pero no logro que salgan ni que se vean, es posible algun consejo rapido, he seguido esta guia de Fortinet
http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/VLANs.103.17.html
Hola Edgar, no te recomiendo usar vlan en el fortigate dado que funcionan lento y si tenes muchos usuarios el 80C va a flaquear, pero creo que lo único que te faltaría es crear las reglas para que las vlan se vean unas a otras.
Hola Jorge
Muchas gracias por tu pronta respuesta, no se si para este F80C, 50 a 80 usuarios en el proximo año sea mucho o tambien cambiarlo por el FG60D, que me sugieres.
Por otro lado de las VLAN tengo confusion, yo he creado VLAN para segmentar departamentos o la red de Guest en este caso cada VLAN esta con el siguiente segmento:
Vlan 1 – Ruter, Swtich, AP – 10.12.1.254/24
Vlan2, Server, printer – 10.12.2.254/24
Vlan8, Users – 10.12.8.254 / 24
Vlan20, Video conference 10.12.20.254 /24
Vlan25 VPN 10.12.25.254 / 24
Getawery 10.12.X.254 para cada VLAN
Es un poco confuso para mi ya que el Server esta en otra lan y debe de ser DHC para el otro segmento.
Sobre la VLAN1, para mi es la defaul del Switch y la fisica del FW, pero si cree una VLAN con el ID 1 dentro de la fisica, estas se conectan, o debo de asumir que la fisica de mi FW va a ser a VLAN1 para poder conctar FW, Switch y AP
Por tus comentarios, gracias
Mi experiencia fue con un 110C, con unos 90 usuarios, y al ponerlo a rutear se me vino a bajo, sobre todo porque las interfaces son de 100 no de giga como creía. Por eso te recomiendo manear las vlan en la lan con un switch administrable que lo soporte o router. Y el forti dejalo para internet que para eso anda muy bien. Pero si queres hacer el tema vlans acá, una vez creadas las mismas tenes que darle reglas para que se vean, convertir tu forti en el enturador o gateway. Como nunca lo configure para vlan no estoy seguro donde hacerlo, seguí la documentación y si tenes soporte pregunta, porque todo depende de la infraestructura como este configurada, hay que relevar bien todo lo que tenes para hacer un buen diseño de red.
Estimado, buenas noches.
Tengo un Forti 60D y detrás del Forti tengo dos CORE Cisco con la misma IP.
Necesito crear una redundancia entre ellos para cuando uno falle levante el otro.
Para ello debo configurar dos puertos del Forti como si fuesen uno sólo para que no me de conflicto de MAC.
Es posible esto?
Está muy bueno el foro!!.
Saludos.
Sebastian lo no creo que el forti 60 tenga tanta inteligencia, lo que si se puede hacer es configurar para que una interface quede a una distancia 0 y la otra 2 por ejemplo, entonces va a usar uno y si se cae el usa el otro vinculo, si no haces un stack con los core cisco. Esa puede ser una opción.
Jorge, muchas gracias por tu aporte.
El stack con los core lo tengo pero cuando los conecto me da problemas con las macs.
Voy a probar de configurar diferentes distancias a ver que sucede.
Muchas gracias.
Saludos.
Sebastián, una configuración es como vos decís, hacerlo con distancias así una estará activa y cuando se caiga entra la otra.
muy buenas tardes Jorge, tengo un fortigate 60c donde lo puedo cambiar a modo switch para que se puedan ver mis vlans y puedan navegar a internet.
saludos
Miguel que tal? Podes crear vlan en system > Network > interfaces, crear nuevo y en type usas vlan. Para que este en modo switch tiene que estar en nat. Y si no estaba en modo switch, te va a aparecer una leyenda arriba como se ve en la foto 2, en system > Network > interfaces.
muchismas gracias jorge por tu pronta respuesta, sabes mi forti esta en modo nat, ya meti las politicas y la direccion en objetos del firewall, pero aun asi no logro ver entre mis vlans, siempre que le doy ping desde la zona internal a una ip de vlan me responde la ip del forti y me dice que host inaccesible, por otro lado me interesaria un curso express a donde te puedo contactar para ver este ultimo punto.
Miguel mandame un correo por el formulario de contacto y veo si te puedo dar un pequeño curso a medida, calculo que podré en unos 10 días aproximadamente.
Muchisimas gracias por tu pronta respuesta Jorge, ahora bien te comento que ya tengo mi forti en modo NAT, mis vlans creadas, politicas creadas para ver la vlan100 con la interna y viceversa, ademas vi un video donde recomiendan tambien dar de alta en el firwall el objeto de red (vlan) pero sigo sin poderr ver entre mi lan y la vlan, me aparece la leyenda a la hora de hacer ping host inaccesible y me contesta con la ip del forti y no de la vlan, me faltara algun paso que este omitiendo, la version del firmware es la v5.0,build3608 (GA Patch 7), la verdad no se que mas pueda hacerle y tambien me gustaria tomar un curso exprees que me ayude a entender mas la logica de este firewall y facilitar el mejorar mi red.
Saludos cordiales y en espera de sus acertados comentarios.
Miguel en la parte del fortigate en Router > Static routes, debes colocar la puerta de enlace y colocar el rango ip, lo mismo en el equipo de red que te maneje las vlan. Así lo tengo yo y anda de maravillas.
Hola
soy nuevo en estos equipos y quería ver si me pueden ayudar con lo siguiente,necesito hacer que al momento de poner la ip publica de mi módem en el buscador me mande directamente ala pagina de administración de mi fortigate,si me pueden ayudar.
Gracias.
Hola Alex, no estoy seguro de que es lo que queres hacer, pero cuando tu fortigate tiene una IP fija y habilitas en la conexión http o https ya se va a mostrar cuando uses la ip pública, si no es fija podes entrar igual pero tenes que conocer la ip de ese momento.
Hola….leyendo este foro de ayuda, me atrevo a comentar una situación con mi fortinet y espero que alguien me pueda ayudar….mi fortinet ya esta configurado en modo NAT, al puerto Wan1 le conecto el modem que da servicio de internet…alas pc que le conecto les da direccion IP, pero no tiene salida a internet…que me falta???
agradezco su atencion!
Lili, ahora tenes que configurar una regla que permita el tráfico desde tu lan hacia tu wan, en la sección de policys.
Efectivamente como dice el maestro Jorge, debes configurar la regla en políticas donde diga que el puerto en el que está conectada tu Lan tenga salida por el puerto wan1, a su vez que el puerto wan1 tenga salida al puerto de tu red por ejemplo:
Interfaz origen: port1 (donde tienes tu red Lan)
Dirección origen: all (o rango de ips si no quieres que todos tengan salida a internet)
Interfaz destino: wan1
Horario: always (o una franja de horario si requieres que no todo el día tengan conexión)
Servicio: Any
Acción: Accept
Enable NAT seleccionado (porque necesitas nateo).
Ya con eso deben tener conexión a internet.
Alejandro, antes que nada gracias por lo de maestro, pero veo que el verdadero maestro sos vos, porque hiciste una explicación bien detallada de la política, a veces uno toma por sabida muchas cosas, pero se agradece mucho este tipo de aportes. Saludos
Gracias a usted, me ha servido en mucho su blog y solo quise compartir un poco de lo que he aprendido gracias a lo que he leído del blog y a la experiencia que he tenido con el fortigate. Recalco maestro porque ha tenido el tiempo de enseñarnos a los que no sabíamos y el postear es una forma de agradecer que en su momento sus respuestas me ayudaron.
Ha sido un placer poder colaborar con uds. Nuevamente gracias por tu comentario. Saludos
Hola Jorge, mi pregunta es la siguiente: Tenemos un fortigate 80c que funcionaba sin problema,, a partir de un corte de servicio por parte del proveedor el forti ya no dio salida a internet. Ya verificamos el servicio de internet por parte del proveedor y no tiene problema pero el forti sigue sin dar salida a internet, ya se reinicio un par de veces pero sigue sin dar el acceso que me recomiendas revisar. muchas grs
Fijate en la políticas si están bien configuradas, y chequea que los datos de tu proveedor estén bien configurados con sus respectivos DNS.
Hola,
mi duda es la siguiente, la persona de soporte se fue de la empresa y el mantenia los servidores, en este momento no tengo como acceder al fortinet 60 de la empresa (sin intervenir directamente para hacerle un reset)
segun el sujeto que trabajaba aqui la direccion para entrar al fortinet via web era http:192.168.1.1:11443
pero no hay caso…hay alguna manera de detectar que IP le configuraron a fortinet??
Francisco, por lo general depende de como este configurado claro, pero es la puerta de enlace en una red simple, si no podes ingresar por cable de consola y saber todos los datos que tiene, hasta cambiarle la IP, pero vas a tener que tener cuidado porque hay que evaluar como se configuró el equipo y la topología de tu red, si queres te puedo ayudar yo doy soporte a empresas como externo.
Hola, antes que nada gracias por como me has orientado, me ha sido de utilidad y ya logre hacer lo que necesitaba.
Mi problema ahora es:
tengo mi fortigate (110c) configurado el switch en modo inteface, donde en el puerto 1 configure y conecte mis servidores con un rango de 192.168.1.x, mediante ruteo les di salida por la wan1 (mi enlace dedicado).
El puerto 2 lo configure para la red de mi edificio, tiene rango de ip de 192.168.2.x y tiene salida por la wan2 (un enlace de 200mb).
Lo que quiero hacer ahora es que se comuniquen ambas redes ya que por lo menos el área de sistemas (ips 192.168.2.x) necesita acceder a los servidores (rango 192.168.1.x), como puedo lograr esto?.
Por tus respuestas te agradezco.
Intenta crear una política para que se vean de puerto 1 a puerto 2.
hola mi duda es quiero conectar dos enlaces a un fortines, como podría monitorear uno de ellos directo en el fortines
Su, monitoreo independiente creo que no se puede desde el equipo, lo que si podes hacer es otra cosa, ping a la ip pública pero lo tenes que habilitar en el equipo por ese tiempo que estés monitoreando, yo llegue a usar hasta el 110C, no se si los modelos más grandes lo tienen resuelto ya a ese tema.
Buen dia Jorge!
Sabes que estuve leyendote y yo necesito cambiar mi fortigate 80c demodo transparente a NAT, pero no sé como voy a configurar las IP’s Fijas que necesito ya que el router de mi ISP quedará en modo bridge.
Ojalá puedas orientarme.
Saludos.
Jassan, al pasar de transparente a modo NAT, cambia absolutamente toda la configuración del equipo, si tenes pc con ip fijas ese es el menor de los problemas, porque podes usar DHCP del fortigate y asignarles IP´s fijas a cada equipo por su mac address, el tema es que hay que cuando hagas el cambio van a volar todas las políticas y debes reconfigurar todo nuevamente para la modalidad, si no tenes experiencia te puedo ayudar, porque hago trabajos de consultoría, avisame y vemos como lo podemos hacer. Saludo
Hola, tengo un forti c110, el día de hoy me instalaron una línea mas de internet, la idea es que las maquinas del edificio tengan salida por esta nueva línea (Wan2) y que mis servidores tengan una y exclusivamente salida por la Wan1.
Como puedo hacer esto?, ya que al levantar una vlan con diferente rango de ip no me da salida por la wan2.
Gracias.
Pd. en que otra forma podría contactarte para ver el precio del soporte en línea o de un posible curso para configuración del fortigate?.
Hola Alejandro, se puede hacer la división de conexiones, pero no es aconsejable, lo que te recomiendo es hacer algo como hice yo, para garantizar disponibilidad y buen servicio, dado que los servidores no usan mucho internet, es hacer políticas por cada conexión, si tenes un dominio configuras grupos de usuarios de AD, y le asignas max de ancho de banda por conexión, por ejemplo, grupo básico, grupo intermedio, grupo con prioridad, en grupo de prioridad colocas el usuario que usen tus servidores y le garantizas el 50% de la conexión si queres, 35% para intermedio y el resto para básicos, esto en cada conexión wan1 y wan2, así vas a tener más calidad de servicio.
Con respecto al curso ya varios me preguntaron pero la verdad es que no tengo nada armado, tendría que hacerlo y reunir a varios usuarios que les interese, pero si tal vez darte asistencia técnica si te interesa lo podemos ver, contactame por el formulario de contacto y lo vemos mejor por correo o chat, de que país sos?
Hola de nuevo, gracias por tu pronta respuesta.
Puedo mandar un rango de ips que tengan salida única y exclusivamente por la WAN2?, es que termine según yo de configurar el forti, pero las maquinas de la red se conectan algunas por un enlace y otras por otro.
En mi caso como te comente tengo 2 enlaces uno es dedicado a 8mbs, en el me dan 4 ips estáticas, el otro enlace es a 200mb no es dedicado y no tengo ips estáticas.
Los servidores los quiero meter única y exclusivamente por la WAN1 porque de allí toman las ips de acceso.
A los equipos de computo de la red los quiero meter por la WAN2 que es el enlace con 200 mbs.
Como puedo hacer esto asignando ancho de banda?, soy completamente nuevo en esto del fortigate y en verdad me ha costado aprender, pero a pesar que queda funcionando bien de repente algo falla y tengo que volver a configurar, podrías recomendarme que hacer y alguna documentación para poder hacerla?.
Gracias.
PD. de los cursos que te comente anteriormente, podrías darnos unos en línea para la administración de este fortigate a el grupo de sistemas que labora conmigo (somos solo 3 personas), algo básico solamente (aunque sea de un solo día) para poder configurar cosas como lo que te comento y saber como reaccionar en caso de problemas. Cual seria el Costo?, espero puedas. Gracias.
Alejandro, se puede hacer no es lo mejor pero se puede, lo ideal es restringir anchos de banda, lo del curso creo que lo podríamos llegar a ver por algún sistema de video conferencia y explicarte algunos conceptos básicos, en que país estas?
Hola gracias a tu ayuda creo que he logrado lo que necesitaba.
Ahora tengo otro problema.
Configure mi forti en modo interfaz, con ello en el puerto 1 deje los servidores con rango de ip 192.168.1.x, estos tienen salida a Internet por la wan1. En el puerto 2 metí la red interna del edificio, con rango 192.168.2.x, esos equipos tienen salida por el puerto wan2 a Internet.
Mi pregunta es, como puedo haber que se miren entre las redes internas, ya que necesito que algunas ip tengan acceso a los servidores.
Gracias.
Pd. Soy de México, como puedo contactarte?.
Alejandro tenes que hacer una politica para que los puertos se vean, o podes crear Ip virtuales para que que interactuen con el puerto que quieras, yo soy de Argentina, hice una capacitación hace unos años de fortigate y analyzer también, podemos armar algo si te parece un sábado.
Jorge,
Estoy negociando la compra de un fortigate 200b, y tengo una red con 700 usuarios promedio que navegan concurrentemente de un total de 1200. ademas deseo aplicar reglas de navegacion y filtros. Serà este el equipo conveniente ya que dice entres sus caracteristicas tècnicas que soporta 500000 conexiones concurrentes.?
Agradecido
Que tal? Si lo vas a usar solo para internet y filtro de contenido vas a estar un poco ajustado, si bien el equipo va a responder averigua el 300c, que te va a dar la posibilidad de escalar servicios configurando vpn entre otras cosas, pensa en que debe quedarte al menos un 20% de recursos por si la infraestructura crece, tene en cuenta también que aparte de los usuarios los servidores y otros equipos que requieran internet cuentan. También depende de la administración que hagas, yo apostaría por un fortigate 300. Saludo
hola, estoy pensando adquirir un fortigate 200B pero no estoy seguro si es lo que requiero, tengo 3 enlaces a internet con 2 direcciones fijas, dudas:
1.- si hago un balanceo de carga significa que mis usuarios internos navegaran por las 3 salidas de internet? 2.-Los clientes que se conectan a una ip determinada hacia mis servicios no se ven impactados por este balanceo? 3.-Se puede configurar grupos de ips internas y asignarles anchos de banda? 4.-Que tipos de reportes maneja el software de admon?
Saludos y gracias de antemano
Hola, si vas a adquirir un fortigate 200 se ve que tenes entre 150 y 200 usuarios no?
Por otro lado el balanceo se hace de forma «inteligente» te recomiendo configurar topes para cada conexión para no saturar una, si tenes IP no afecta para nada, podes crear grupos y asignarles ancho de banda con «Trafic Shaper». Admon no lo conosco yo uso fortianalyzer para hacer reportes y podes usar los que vienen como consumo de ancho de banda, uso de servicios, etc, o podes crear los que necesites. Saludos
Hola! tengo varias dudas ya que estoy por adquirir un fortigate. Estoy entre el 300c y el 200B para una oficina remota.
1) deseo crear una DMZ donde ubicare un servidor de video conferencia.
2) Tendré dos acceso a internet por diferentes proveedores.
3) Deseo implementar todas las políticas de seguridad que ofrece el equipo.
Tienes alguna recomendacion del equipo que mejor me conviene? y del modo de funcionamiento? gracias de antemano
Hola si vas a usar un 200 o 300, entiendo que también vas a administrar el acceso para esa cantidad de usuarios también, por lo que estaría bien, ya a partir del 100c dispones de una gran cantidad de configuraciones y la posibilidad de sumar varias conexiones y hacer balanceo de carga.
En cuanto al funcionamiento te recomiendo NAT, así vas a disponer de todas las herramientas y mayor seguridad.
Oye muchísimas gracias! otra duda, hay varios fortigare que tienen un puerto que especificamente dice «DMZ», y otros no. Hay alguna diferencia sustancial? Puedo crear DMZ así no traigan el puerto que lo indique?
Gracias de antemano!
Jorge, todos los puertos pueden ser wan, lan o dmz. Entendiendo que la DMZ es un puerto que tiene una configuración específica para darle mayor seguridad a tu lan, en equipos chicos como el 50b viene un solo puerto dmz, pero equipos grandes se pueden configurar a gusto.
Saludo
Gracias nicklabs!!!
Saludo!!
tengo un 40c, pero no veo la opcopn de mantenimiento, saben si se puede activar?
A que te referís con mantenimiento?
Hola que tal disculpa espero me puedas ayudar, tengo un Cisco PIX con una VPN y por donde viaja trafico de VOZ, para filtrar a mis usuarios colocare un fortgate en modo transparente solo quisiera saber si para conectarlo solo utilizaría los puertos Internal.?
de antemano gracias
Saludos…!
Hola Maria, te recomiendo que lo uses en modo NAT porque tiene muchas más opciones y va a poder interactuar mejor con el Cisco. Ahí vas a poder usar puertos internal de forma correcta. Saludo
Espero me pueda dar una mano con esto.
Tengo mi equipo Fortigate 100D el cual esta operando en modo NAT. pregunta ¿puedo trabajar con vlan en este modo?
Tengo un Sw el cual tiene 2 vlan (vlan10, vlan20) y las mismas las he declarado en el fortigate pero no logro pinear desde cualquier equipo de la vlan10 a la IP de la vlan10 en el fortigate.
saludos y gracias por la respuesta
Hola Jorge, claro que podes hacer que tu fortigate maneje las vlan, recorda que debe estar en modo switch para que funcione, para que funcione el ping en las interfaces debes habilitarlo, y no te olvides de crear una política para que las vlan se vean. Saludo
Muchas gracias Nicklabs, me sirvio mucho cambiar a modo transparente ya que no encontraba como.
De nada! Saludos