Reti locali
 

Problema su Firewall Fortigate

Skywalker Senior 3 Lug 2017 13:40
Ho ereditato un cliente che monta un Fortigate 60D come firewall
interno, configurato per accettare traffico FTP, HTTPS e dirottarlo
verso un server.
Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
traffico sull'IP WAN del Fortigate. Ho testato che funzionasse
collegando un server FTP con quell'IP direttamente al router e cercando
di raggiungerlo da un pc remoto tramite l'IP pubblico del cliente:
tutto ok.
Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo
dalla WAN. Anche qui tutto ok.
Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet
non raggiungo più il server FTP.

Schema esplicativo:

INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
Server FTP (192.168.1.10) = funziona

PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
(ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona

IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
192.168.10.1) --- server ftp (192.168.10.10) = NON funziona

Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
niente.
Sulla regola in ingresso del fortigate c'è uno "switch" denominato NAT.
Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.

Suggerimenti?
meddix on UbuWIN 3 Lug 2017 14:44
Il 03/07/2017 13:40, Skywalker Senior ha scritto:
> Ho ereditato un cliente che monta un Fortigate 60D come firewall
> interno, configurato per accettare traffico FTP, HTTPS e dirottarlo
> verso un server.
> Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
> incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
> traffico sull'IP WAN del Fortigate. Ho testato che funzionasse
> collegando un server FTP con quell'IP direttamente al router e cercando
> di raggiungerlo da un pc remoto tramite l'IP pubblico del cliente: tutto
> ok.
> Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
> server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo
> dalla WAN. Anche qui tutto ok.
> Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet
> non raggiungo più il server FTP.
[cut]
> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
[cut]
> Suggerimenti?

dovresti verificare sul router perimetrale, oltre che la regola già
fatta sul fortigate se, come sembra, il fortigate sia a valle di altro
router e configurato sulla rete 192.168.1.0/24 lato wan e
192.168.10.0/24 lato lan

ma perchè non fai in modo che la wan del fortigate ottenga direttamente
l'ip pubblico, utilizzando il router come semplice modem (bridge?),
semplificandoti la vita e le connessioni...
Mirko Borsari 3 Lug 2017 15:02
Il Mon, 03 Jul 2017 13:40:32 +0200, Skywalker Senior ha scritto:


> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
> Server FTP (192.168.1.10) = funziona

OK

> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona

ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?

> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona

il gioco sembra corretto. Io sul router preferisco sempre dirottare
tutte le porte verso la wan del firewall, così ti elimini un
passaggio.

> Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
> niente.
> Sulla regola in ingresso del fortigate c'è uno "switch" denominato NAT.
> Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.

lo switch ce l'avrai come interfaccia di uscita immagino... Non che
cambi molto ma di solito lo switch si usa come LAN.
Comunque sul fortigate devi avere una regola di virtualIP e una
policy. Occhio a non avere sulla policy wan to ******* un ip che
limiti l'accesso (puoi mettere un bel ALL per toglierti il dubbio).
Sulla policy il NAT lascialo disabilitato, così vedi l'ip del router
come sorgente sul server ftp.
al limite posta il risultato di:
show firewall vip e
show firewall policy



--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Skywalker Senior 3 Lug 2017 18:42
Il 03/07/2017, Mirko Borsari ha detto :
> Il Mon, 03 Jul 2017 13:40:32 +0200, Skywalker Senior ha scritto:
>
>
>> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
>> Server FTP (192.168.1.10) = funziona
>
> OK
>
>> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
>> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
>
> ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?

Giusto

>
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> il gioco sembra corretto. Io sul router preferisco sempre dirottare
> tutte le porte verso la wan del firewall, così ti elimini un
> passaggio.
>

E infatti ho provato (DMZ) ma non cambia niente...

>> Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
>> niente.
>> Sulla regola in ingresso del fortigate c'è uno "switch" denominato NAT.
>> Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.
>
> lo switch ce l'avrai come interfaccia di uscita immagino... Non che
> cambi molto ma di solito lo switch si usa come LAN.
> Comunque sul fortigate devi avere una regola di virtualIP e una
> policy. Occhio a non avere sulla policy wan to ******* un ip che
> limiti l'accesso (puoi mettere un bel ALL per toglierti il dubbio).
> Sulla policy il NAT lascialo disabilitato, così vedi l'ip del router
> come sorgente sul server ftp.

VIP creato e policy creata come indicato (ALL sulla WAN, il VIP come
destinazione)

> al limite posta il risultato di:
> show firewall vip e
> show firewall policy

Domani dovrei essere dal cliente... aggiornerovvi

Grazie
Skywalker Senior 3 Lug 2017 18:44
Scriveva meddix on UbuWIN lunedì, 03/07/2017:
> Il 03/07/2017 13:40, Skywalker Senior ha scritto:
>> Ho ereditato un cliente che monta un Fortigate 60D come firewall interno,
>> configurato per accettare traffico FTP, HTTPS e dirottarlo verso un server.
>> Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
>> incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
>> traffico sull'IP WAN del Fortigate. Ho testato che funzionasse collegando
>> un server FTP con quell'IP direttamente al router e cercando di
>> raggiungerlo da un pc remoto tramite l'IP pubblico del cliente: tutto ok.
>> Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
>> server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo dalla
>> WAN. Anche qui tutto ok.
>> Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet non
>> raggiungo più il server FTP.
> [cut]
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>>
> [cut]
>> Suggerimenti?
>
> dovresti verificare sul router perimetrale, oltre che la regola già fatta sul

> fortigate se, come sembra, il fortigate sia a valle di altro router e
> configurato sulla rete 192.168.1.0/24 lato wan e 192.168.10.0/24 lato lan
>

Si, è così

> ma perchè non fai in modo che la wan del fortigate ottenga direttamente l'ip
> pubblico, utilizzando il router come semplice modem (bridge?),
> semplificandoti la vita e le connessioni...

A mali estremi farò quello, se possibile (devo sentire il gestore)
Skywalker Senior 4 Lug 2017 20:21
Dopo dura riflessione, Mirko Borsari ha scritto :
> Il Mon, 03 Jul 2017 13:40:32 +0200, Skywalker Senior ha scritto:
>
>
>> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
>> Server FTP (192.168.1.10) = funziona
>
> OK
>
>> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
>> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
>
> ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?
>
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> il gioco sembra corretto. Io sul router preferisco sempre dirottare
> tutte le porte verso la wan del firewall, così ti elimini un
> passaggio.
>

Non chiedetemi come, ma oggi ho ricreato le regole e le impostazioni da
zero e ha funzionato tutto.
L'unica differenza è stata il fatto che ho accorpato le due WAN per
gestire il failover e quindi ho creato Virtual IP e policy di
conseguenza (i VIP vanno creati comunque per ogni singola WAN), ma sono
convinto di averle fatte esattamente uguali a prima.
Funziona tutto, il traffico in ingresso passa da entrambe le linee (una
è nattata, l'altra no, eppure la regola è una sola per entrambe)

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.