Origen NATing Fortigate escenario típico


7

ingrese la descripción de la imagen aquí

Tengo una pequeña consulta con respecto a NATing en Fortigate. Me sorprende especialmente un escenario en el que la red remota permite a los usuarios con un rango de IP específico con un puerto específico para RDP a través de un conjunto diferente de enlaces físicos.

El usuario (192.168.60.0/24) en LAN debe conectarse a 10.48.1.3 en la red remota que está conectada a los puertos internos en Fortigate (ni WAN ya que se usa para Internet).

Se ha establecido un enlace entre el firewall de la red remota y Fortigate (10.189.254.17-10.189.254.18). Puedo hacer ping al firewall remoto interace 10.189.254.17.

El administrador quiere que accedamos a 10.48.1.3 a través del puerto 3389 a través de 10.189.1.8-10.189.1.15 (IP permitidas en el firewall remoto).

Básicamente, el usuario (ej .: Fuente: 192.168.60.15 necesita acceder al Destino 10.48.1.4 a través de IP permitidas (10.189.1.8-10.189.1.15) a través del enlace físico entre Fortigate y el firewall remoto (10.189.254.18-18.189.254.17).

He intentado el reenvío de puertos VIP (NAT estático) (NAT de origen), grupo de IP (NAT de destino), pero no he recibido ayuda.

Por favor, consejos sobre cómo proceder. Es un escenario típico, ¿podemos lograrlo?


¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:


1

En virtud de su Norma de política para permitir el acceso de 192.168.60.15 a 10.48.1.4.

Simplemente seleccione NAT, luego cree un Pool y coloque el rango de IP de 10.189.1.8-10.189.1.15.

Lo clave para que esto funcione es que tienes una ruta en tu fortigate apuntando 10.48.1.4 a 10.189.254.17 y finalmente 10.189.254.17 sabe que 10.189.1.8-10.189.1.15 vive a través de 10.189.254.18.

Esa es una regla bastante estándar y parece factible. Algunas capturas de paquetes pueden ayudarlo a depurar el problema.


Hola Smith, cuando se usan grupos de IP para NATing, hay una limitación que se debe tener en cuenta al configurar el grupo. Si las direcciones IP dentro del grupo son diferentes de las direcciones IP asignadas a las comunicaciones de interfaz basadas en esas direcciones IP fallarán. Por ejemplo, si las direcciones IP asignadas a una interfaz son 172.16.100.1 -172.16.100.14, no puede elegir 10.11.12.50 - 10.11.12.59 para el grupo de IP.
Faizan Nizam

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.