Reemplazo fortigate por pfsense



  • Estimada comunidad
    tengo que reemplazar un fortigate por pfsense (en la imagen indicada como pfsense), pero aun no puedo encontrar en la configuracion el policy route que maneja fortigate.


    bueno  el pfsense tiene dos interfaces wan y lan
    wan 172.20.1.2
    lan 192.168.2.1
    el dafault gateway es 172.20.1.1
    la wan esta conectado a un router que va a una vpn
    no tengo ningun problema en alcanzar  (ping) a la red 192.168.1.0/
    ni tampoco recibir uan respuesta (ping) a 192.168.1.1, 172.10.1.2, 192.168.5.1
    pero no puedo alcanzar a la red 192.168.100.0/24
    antes de reemplazar el fortigate si podia alcanzar la red 192.168.100.0/24, este reemplazo se respeto las mismas direcciones wan y lan,
    y para efectos de implementacion y pruebas realizadas en firewall ->rules -> floating
    coloque

    que podria estar mal



  • Si haces un tracert a la red que quieres alcazar que muestra la salida del comando.



  • si hago un tracert desde 192.168.2.2

    192.168.2.1
    172.20.1.1
    .
    .
    172.10.1.2
    y ahi se queda

    pero antes el tracert era
    192.168.2.1
    172.10.1.2
    192.168.5.100
    ..
    .
    .
    192.168.100.1



  • revisando la configuracion del fortigate esta en modo NAT

    como puedo lograr que pfsense este en modo NAT?



  • Si le llegan los pings a esa red?
    Creo que te falta la ruta hacia esa red…
    Saludos.



  • @renzoaqp:

    revisando la configuracion del fortigate esta en modo NAT

    como puedo lograr que pfsense este en modo NAT?

    La configuración básica hace NAT Outbound automático.

    O sea que todo lo que sale de pfSense se ve con la IP 172.20.1.2.

    La excepción son los túneles (VPN), que van de LAN-local a LAN-remota.

    O una configuración especial de NAT Outbound.

    Prueba a desactivar la opción Block Private Networks en Interfaces: WAN

    En principio pfSense supone que no hay redes locales más allá de WAN.



  • ya estaba desactivado

    como puedo lograr que todo lo que salga por pfsense no tenga la direccion de la wan (172.20.1.2) si no que tenga la direccion de la LAN 192.168.2.X



  • A ver, si dices que el Fortigate hacía NAT no tiene sentido esto. A mi entender sería tener ahí un Bridge (puente) y no un Router (enrutador).

    La verdad es que el problema que tienes es raro. Más bien parece depender de qué hace el cortafuegos de la izquierda, el de las tres redes.

    Eso, ¿qué es?

    ¿Estás seguro que tal como tienes AHORA la instalación si está puesto el FortiGate funciona y con el pfSense, no?

    Parece bastante extraño.



  • El hecho de que tenga nat tiene sentido por que forma parte de la red que pasa por el túnel ipsec.
    Si lo pone como bridge sería necesario revisar la fase 2 del túnel para que pase la red atrás del pfsense.

    Como dicen , es un problema de como esta configurado el ruteador que tiene las 3 interfaces.

    Sí mandas un Ping desde el router que hace la VPN el tráfico llega hasta la red 100.x/24.?

    Puedes pegar copia de las pantallas del fortinet ?

    Puedes verificar en el router de las 3 interfaces cual es la ip que recibes como source cuando mandas un Ping a ese router?

    Saludos



  • si estimados gracias por las recomendaciones.
    ya se soluciono.
    ¿como se soluciono?
    al parecer la red 192.168.100.X tenia algún filtro  a través de mac, (según el administrador de esa red) :-X le dicte la mac del equipo y se soluciono
    muchas gracias por la ayuda.
    me ha servido un montón esta experiencia para revisar  información sobre el pfsense. ;D
    gracias


Log in to reply