2

Configuración Fortigate – Políticas de enrutamiento

Hola a tod@s.

En este post vamos a ver como configurar las políticas de enrutamiento en un firewall Fortigate 50E.

  • Antes de comenzar vamos a aclarar que sólo tenemos configurada una salida hacia Internet a través de la WAN1, dónde tenemos configurada una ruta estática como salida por defecto:

  • Toda mi infraestructura de red la tengo diseñada con una SuperRed 192.168.0.0/16, y a partir de esta red voy haciendo subnetting.
  • Las primeras políticas de enrutamiento que vamos a crear van a ser para evitar la salida por Internet cuando la red sea de rango privado (192.168.0.0/16, 172.16.0.0/12 y 10.0.0.0/8), es decir, que no enrute hacia internet las redes de rango privado y corte la conexión, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 10.0.0.0/8:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 172.16.0.0/12:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 192.168.0.0/16:

  • Con estas tres políticas evitamos que se enrute hacia Internet desde la red origen 192.168.0.0/16 hasta las tres redes de clase privada A, B y C.
  • Ahora haremos lo mismo, pero tomando como origen la red privada de clase B 172.16.0.0/12 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Y también haremos lo mismo, pero tomando como origen la red privada de clase A 10.0.0.0/8 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Ahora vamos a generar otras políticas de enrutamiento para indicarle a cada una de las redes que tenemos configurada en nuestro firewall, cuál va a ser su salida hacia Internet, en mi caso, sólo tenemos una salida hacia Internet por la WAN1 que está conectada a un router FTTH con dirección IP 192.168.1.1, por lo tanto, todas las redes van a salir por el mismo sitio, pero si en un futuro tenemos otra salida hacia Internet por la WAN2 o incluso por la WAN1 pero a otro router distinto (por ejemplo con la IP 192.168.1.2), el tener configuradas estas políticas nos va a venir bien para que cada red salga a Internet por dónde nos interese, voy a mostrar sólo la política de enrutamiento para una de nuestras redes (DMZ) ya que para las demás será exactamente igual, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • Para las demás redes hacemos lo mismo, quedando por tanto de la siguiente manera:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

2 comentarios

  1. Buenas noches, que gran contenido, tengo el mismo firewall y me esta viniendo super bien estas guias, tengo una duda, aqui en la ultima parte, estas configurando el GW para salir a internet de cada red, pero en este post, configuras una ruta estatica para la salida tambien a internet en el inicio.
    ¿cual seria la diferencia?
    Tambien dentro de poco pondre en modo bridge el router de la operadora y configurare el PPOE en el FW y asumira toda la carga el mismo.
    Respecto a todas tus guias de configuracion ¿que deberia cambiar cuando lo ponga en modo bridge?
    Gracias un Saludo

  2. Hola José Ramón.
    Tengo un FortiGate F40 , y tiene la misma interface y mismas opciones.
    Quiero conectar por putty desde un ordenador con la siguiente configuración:
    ip 192.168.153.169
    mask 255.255.255.0
    puerta 192.168.153.153
    al equipo blackberry pi llamado Roscon
    192.168.10.112
    255.255.255.0
    192.168.10.1
    que se encuentra en la lan1 del FortiGate
    he creado esta política de enrutamiento:
    https://i.ibb.co/9WWY4dg/Enrutamiento.png
    Pero no conecta.
    ¿Me podrías ayudar? Gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.