3

Configuración Fortigate – Políticas de enrutamiento

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s.

En este post vamos a ver como configurar las políticas de enrutamiento en un firewall Fortigate 50E.

  • Antes de comenzar vamos a aclarar que sólo tenemos configurada una salida hacia Internet a través de la WAN1, dónde tenemos configurada una ruta estática como salida por defecto:

  • Toda mi infraestructura de red la tengo diseñada con una SuperRed 192.168.0.0/16, y a partir de esta red voy haciendo subnetting.
  • Las primeras políticas de enrutamiento que vamos a crear van a ser para evitar la salida por Internet cuando la red sea de rango privado (192.168.0.0/16, 172.16.0.0/12 y 10.0.0.0/8), es decir, que no enrute hacia internet las redes de rango privado y corte la conexión, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 10.0.0.0/8:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 172.16.0.0/12:

  • En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 192.168.0.0/16:

  • Con estas tres políticas evitamos que se enrute hacia Internet desde la red origen 192.168.0.0/16 hasta las tres redes de clase privada A, B y C.
  • Ahora haremos lo mismo, pero tomando como origen la red privada de clase B 172.16.0.0/12 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Y también haremos lo mismo, pero tomando como origen la red privada de clase A 10.0.0.0/8 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

  • Ahora vamos a generar otras políticas de enrutamiento para indicarle a cada una de las redes que tenemos configurada en nuestro firewall, cuál va a ser su salida hacia Internet, en mi caso, sólo tenemos una salida hacia Internet por la WAN1 que está conectada a un router FTTH con dirección IP 192.168.1.1, por lo tanto, todas las redes van a salir por el mismo sitio, pero si en un futuro tenemos otra salida hacia Internet por la WAN2 o incluso por la WAN1 pero a otro router distinto (por ejemplo con la IP 192.168.1.2), el tener configuradas estas políticas nos va a venir bien para que cada red salga a Internet por dónde nos interese, voy a mostrar sólo la política de enrutamiento para una de nuestras redes (DMZ) ya que para las demás será exactamente igual, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

  • Para las demás redes hacemos lo mismo, quedando por tanto de la siguiente manera:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

3 comentarios

  1. Buenas noches, que gran contenido, tengo el mismo firewall y me esta viniendo super bien estas guias, tengo una duda, aqui en la ultima parte, estas configurando el GW para salir a internet de cada red, pero en este post, configuras una ruta estatica para la salida tambien a internet en el inicio.
    ¿cual seria la diferencia?
    Tambien dentro de poco pondre en modo bridge el router de la operadora y configurare el PPOE en el FW y asumira toda la carga el mismo.
    Respecto a todas tus guias de configuracion ¿que deberia cambiar cuando lo ponga en modo bridge?
    Gracias un Saludo

  2. Hola José Ramón.
    Tengo un FortiGate F40 , y tiene la misma interface y mismas opciones.
    Quiero conectar por putty desde un ordenador con la siguiente configuración:
    ip 192.168.153.169
    mask 255.255.255.0
    puerta 192.168.153.153
    al equipo blackberry pi llamado Roscon
    192.168.10.112
    255.255.255.0
    192.168.10.1
    que se encuentra en la lan1 del FortiGate
    he creado esta política de enrutamiento:
    https://i.ibb.co/9WWY4dg/Enrutamiento.png
    Pero no conecta.
    ¿Me podrías ayudar? Gracias

  3. les comento el detalle que tenemos es que nuestra pagina de facturación no se visualiza en internet, el modelo de nuestros equipos son los siguientes FG-60F y FS-124F-POE, comentar que quien nos proporciona el interne es el modem Telmex en el cual antes de poner los equipos firewall solo bastaba con abrir el puerto por donde salía nuestra página, agregar que el firewall está abierto no tiene algún tipo de bloqueo o configuración alguna, quedo al pendiente de cualquier duda o comentario, saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.