Reemplazo fortigate por pfsense
-
Estimada comunidad
tengo que reemplazar un fortigate por pfsense (en la imagen indicada como pfsense), pero aun no puedo encontrar en la configuracion el policy route que maneja fortigate.
bueno el pfsense tiene dos interfaces wan y lan
wan 172.20.1.2
lan 192.168.2.1
el dafault gateway es 172.20.1.1
la wan esta conectado a un router que va a una vpn
no tengo ningun problema en alcanzar (ping) a la red 192.168.1.0/
ni tampoco recibir uan respuesta (ping) a 192.168.1.1, 172.10.1.2, 192.168.5.1
pero no puedo alcanzar a la red 192.168.100.0/24
antes de reemplazar el fortigate si podia alcanzar la red 192.168.100.0/24, este reemplazo se respeto las mismas direcciones wan y lan,
y para efectos de implementacion y pruebas realizadas en firewall ->rules -> floating
coloque
que podria estar mal -
Si haces un tracert a la red que quieres alcazar que muestra la salida del comando.
-
si hago un tracert desde 192.168.2.2
192.168.2.1
172.20.1.1
.
.
172.10.1.2
y ahi se quedapero antes el tracert era
192.168.2.1
172.10.1.2
192.168.5.100
..
.
.
192.168.100.1 -
revisando la configuracion del fortigate esta en modo NAT
como puedo lograr que pfsense este en modo NAT? -
Si le llegan los pings a esa red?
Creo que te falta la ruta hacia esa red…
Saludos. -
revisando la configuracion del fortigate esta en modo NAT
como puedo lograr que pfsense este en modo NAT?La configuración básica hace NAT Outbound automático.
O sea que todo lo que sale de pfSense se ve con la IP 172.20.1.2.
La excepción son los túneles (VPN), que van de LAN-local a LAN-remota.
O una configuración especial de NAT Outbound.
Prueba a desactivar la opción Block Private Networks en Interfaces: WAN
En principio pfSense supone que no hay redes locales más allá de WAN.
-
ya estaba desactivado
como puedo lograr que todo lo que salga por pfsense no tenga la direccion de la wan (172.20.1.2) si no que tenga la direccion de la LAN 192.168.2.X
-
A ver, si dices que el Fortigate hacía NAT no tiene sentido esto. A mi entender sería tener ahí un Bridge (puente) y no un Router (enrutador).
La verdad es que el problema que tienes es raro. Más bien parece depender de qué hace el cortafuegos de la izquierda, el de las tres redes.
Eso, ¿qué es?
¿Estás seguro que tal como tienes AHORA la instalación si está puesto el FortiGate funciona y con el pfSense, no?
Parece bastante extraño.
-
El hecho de que tenga nat tiene sentido por que forma parte de la red que pasa por el túnel ipsec.
Si lo pone como bridge sería necesario revisar la fase 2 del túnel para que pase la red atrás del pfsense.Como dicen , es un problema de como esta configurado el ruteador que tiene las 3 interfaces.
Sí mandas un Ping desde el router que hace la VPN el tráfico llega hasta la red 100.x/24.?
Puedes pegar copia de las pantallas del fortinet ?
Puedes verificar en el router de las 3 interfaces cual es la ip que recibes como source cuando mandas un Ping a ese router?
Saludos
-
si estimados gracias por las recomendaciones.
ya se soluciono.
¿como se soluciono?
al parecer la red 192.168.100.X tenia algún filtro a través de mac, (según el administrador de esa red) :-X le dicte la mac del equipo y se soluciono
muchas gracias por la ayuda.
me ha servido un montón esta experiencia para revisar información sobre el pfsense. ;D
gracias
