Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Problema su Firewall Fortigate
154 views
Skip to first unread message
Skywalker Senior
Jul 3, 2017, 7:40:33 AM7/3/17
to
Ho ereditato un cliente che monta un Fortigate 60D come firewall
interno, configurato per accettare traffico FTP, HTTPS e dirottarlo
verso un server.
Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
traffico sull'IP WAN del Fortigate. Ho testato che funzionasse
collegando un server FTP con quell'IP direttamente al router e cercando
di raggiungerlo da un pc remoto tramite l'IP pubblico del cliente:
tutto ok.
Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo
dalla WAN. Anche qui tutto ok.
Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet
non raggiungo più il server FTP.
Schema esplicativo:
INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
Server FTP (192.168.1.10) = funziona
PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
(ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
niente.
Sulla regola in ingresso del fortigate c'è uno "switch" denominato NAT.
Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.
Suggerimenti?
interno, configurato per accettare traffico FTP, HTTPS e dirottarlo
verso un server.
Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
traffico sull'IP WAN del Fortigate. Ho testato che funzionasse
collegando un server FTP con quell'IP direttamente al router e cercando
di raggiungerlo da un pc remoto tramite l'IP pubblico del cliente:
tutto ok.
Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo
dalla WAN. Anche qui tutto ok.
Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet
non raggiungo più il server FTP.
Schema esplicativo:
INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
Server FTP (192.168.1.10) = funziona
PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
(ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
niente.
Sulla regola in ingresso del fortigate c'è uno "switch" denominato NAT.
Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.
Suggerimenti?
meddix on UbuWIN
Jul 3, 2017, 8:44:33 AM7/3/17
to
Il 03/07/2017 13:40, Skywalker Senior ha scritto:
> Ho ereditato un cliente che monta un Fortigate 60D come firewall
> interno, configurato per accettare traffico FTP, HTTPS e dirottarlo
> verso un server.
> Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
> incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
> traffico sull'IP WAN del Fortigate. Ho testato che funzionasse
> collegando un server FTP con quell'IP direttamente al router e cercando
> di raggiungerlo da un pc remoto tramite l'IP pubblico del cliente: tutto
> ok.
> Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
> server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo
> dalla WAN. Anche qui tutto ok.
> Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet
> non raggiungo più il server FTP.
[cut]
> Ho ereditato un cliente che monta un Fortigate 60D come firewall
> interno, configurato per accettare traffico FTP, HTTPS e dirottarlo
> verso un server.
> Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
> incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
> traffico sull'IP WAN del Fortigate. Ho testato che funzionasse
> collegando un server FTP con quell'IP direttamente al router e cercando
> di raggiungerlo da un pc remoto tramite l'IP pubblico del cliente: tutto
> ok.
> Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
> server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo
> dalla WAN. Anche qui tutto ok.
> Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet
> non raggiungo più il server FTP.
> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
[cut]
> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> Suggerimenti?
dovresti verificare sul router perimetrale, oltre che la regola già
fatta sul fortigate se, come sembra, il fortigate sia a valle di altro
router e configurato sulla rete 192.168.1.0/24 lato wan e
192.168.10.0/24 lato lan
ma perchè non fai in modo che la wan del fortigate ottenga direttamente
l'ip pubblico, utilizzando il router come semplice modem (bridge?),
semplificandoti la vita e le connessioni...
Mirko Borsari
Jul 3, 2017, 9:02:47 AM7/3/17
to
Il Mon, 03 Jul 2017 13:40:32 +0200, Skywalker Senior ha scritto:
> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
> Server FTP (192.168.1.10) = funziona
OK
> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
> Server FTP (192.168.1.10) = funziona
> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
tutte le porte verso la wan del firewall, cosě ti elimini un
passaggio.
> Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
> niente.
> Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.
lo switch ce l'avrai come interfaccia di uscita immagino... Non che
cambi molto ma di solito lo switch si usa come LAN.
Comunque sul fortigate devi avere una regola di virtualIP e una
policy. Occhio a non avere sulla policy wan to internal un ip che
limiti l'accesso (puoi mettere un bel ALL per toglierti il dubbio).
Sulla policy il NAT lascialo disabilitato, cosě vedi l'ip del router
come sorgente sul server ftp.
al limite posta il risultato di:
show firewall vip e
show firewall policy
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey
L'indirizzo ema@il non č da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Skywalker Senior
Jul 3, 2017, 12:42:51 PM7/3/17
to
Il 03/07/2017, Mirko Borsari ha detto :
>
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> il gioco sembra corretto. Io sul router preferisco sempre dirottare
> tutte le porte verso la wan del firewall, così ti elimini un
> passaggio.
>
E infatti ho provato (DMZ) ma non cambia niente...
>> Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
>> niente.
>> Sulla regola in ingresso del fortigate c'è uno "switch" denominato NAT.
destinazione)
> al limite posta il risultato di:
> show firewall vip e
> show firewall policy
Domani dovrei essere dal cliente... aggiornerovvi
Grazie
> Il Mon, 03 Jul 2017 13:40:32 +0200, Skywalker Senior ha scritto:
>
>
>> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
>> Server FTP (192.168.1.10) = funziona
>
> OK
>
>> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
>> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
>
> ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?
Giusto
>
>
>> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
>> Server FTP (192.168.1.10) = funziona
>
> OK
>
>> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
>> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
>
> ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?
>
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> il gioco sembra corretto. Io sul router preferisco sempre dirottare
> passaggio.
>
E infatti ho provato (DMZ) ma non cambia niente...
>> Ho provato anche a mettere il Fortigate in DMZ sul router, non cambia
>> niente.
>> Ho provato sia ad attivarlo che a disattivarlo, non cambia niente.
>
> lo switch ce l'avrai come interfaccia di uscita immagino... Non che
> cambi molto ma di solito lo switch si usa come LAN.
> Comunque sul fortigate devi avere una regola di virtualIP e una
> policy. Occhio a non avere sulla policy wan to internal un ip che
> limiti l'accesso (puoi mettere un bel ALL per toglierti il dubbio).
> Sulla policy il NAT lascialo disabilitato, così vedi l'ip del router
>
> lo switch ce l'avrai come interfaccia di uscita immagino... Non che
> cambi molto ma di solito lo switch si usa come LAN.
> Comunque sul fortigate devi avere una regola di virtualIP e una
> policy. Occhio a non avere sulla policy wan to internal un ip che
> limiti l'accesso (puoi mettere un bel ALL per toglierti il dubbio).
> come sorgente sul server ftp.
VIP creato e policy creata come indicato (ALL sulla WAN, il VIP come
destinazione)
> al limite posta il risultato di:
> show firewall vip e
> show firewall policy
Grazie
Skywalker Senior
Jul 3, 2017, 12:44:07 PM7/3/17
to
Scriveva meddix on UbuWIN lunedì, 03/07/2017:
> ma perchè non fai in modo che la wan del fortigate ottenga direttamente l'ip
> pubblico, utilizzando il router come semplice modem (bridge?),
> semplificandoti la vita e le connessioni...
A mali estremi farò quello, se possibile (devo sentire il gestore)
> Il 03/07/2017 13:40, Skywalker Senior ha scritto:
>> Ho ereditato un cliente che monta un Fortigate 60D come firewall interno,
>> configurato per accettare traffico FTP, HTTPS e dirottarlo verso un server.
>> Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
>> incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
>> traffico sull'IP WAN del Fortigate. Ho testato che funzionasse collegando
>> un server FTP con quell'IP direttamente al router e cercando di
>> raggiungerlo da un pc remoto tramite l'IP pubblico del cliente: tutto ok.
>> Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
>> server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo dalla
>> WAN. Anche qui tutto ok.
>> Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet non
>> raggiungo più il server FTP.
> [cut]
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>>
> [cut]
>> Suggerimenti?
>
> dovresti verificare sul router perimetrale, oltre che la regola già fatta sul
> fortigate se, come sembra, il fortigate sia a valle di altro router e
> configurato sulla rete 192.168.1.0/24 lato wan e 192.168.10.0/24 lato lan
>
Si, è così
>> Ho ereditato un cliente che monta un Fortigate 60D come firewall interno,
>> configurato per accettare traffico FTP, HTTPS e dirottarlo verso un server.
>> Ora devo aprire un accesso FTP e mi trovo davanti ad un ostacolo
>> incomprensibile: ho aperto la porta 21 sul router, indirizzando tale
>> traffico sull'IP WAN del Fortigate. Ho testato che funzionasse collegando
>> un server FTP con quell'IP direttamente al router e cercando di
>> raggiungerlo da un pc remoto tramite l'IP pubblico del cliente: tutto ok.
>> Ho quindi configurato il fortigate per lo stesso scopo, ho collegato il
>> server ftp alla LAN col suo iP definitivo e ho provato a raggiungerlo dalla
>> WAN. Anche qui tutto ok.
>> Ho unito il tutto, fiducioso che funzionasse ma, sorpresa, da internet non
>> raggiungo più il server FTP.
> [cut]
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>>
> [cut]
>> Suggerimenti?
>
> dovresti verificare sul router perimetrale, oltre che la regola già fatta sul
> fortigate se, come sembra, il fortigate sia a valle di altro router e
> configurato sulla rete 192.168.1.0/24 lato wan e 192.168.10.0/24 lato lan
>
> ma perchè non fai in modo che la wan del fortigate ottenga direttamente l'ip
> pubblico, utilizzando il router come semplice modem (bridge?),
> semplificandoti la vita e le connessioni...
Skywalker Senior
Jul 4, 2017, 2:21:22 PM7/4/17
to
Dopo dura riflessione, Mirko Borsari ha scritto :
zero e ha funzionato tutto.
L'unica differenza è stata il fatto che ho accorpato le due WAN per
gestire il failover e quindi ho creato Virtual IP e policy di
conseguenza (i VIP vanno creati comunque per ogni singola WAN), ma sono
convinto di averle fatte esattamente uguali a prima.
Funziona tutto, il traffico in ingresso passa da entrambe le linee (una
è nattata, l'altra no, eppure la regola è una sola per entrambe)
> Il Mon, 03 Jul 2017 13:40:32 +0200, Skywalker Senior ha scritto:
>
>
>> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
>> Server FTP (192.168.1.10) = funziona
>
> OK
>
>> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
>> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
>
> ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?
>
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> il gioco sembra corretto. Io sul router preferisco sempre dirottare
>
>
>> INTERNET --- (IP Pubblico x.y.z.k) router (ip interno 192.168.1.1) ---
>> Server FTP (192.168.1.10) = funziona
>
> OK
>
>> PC connesso alla wan (192.168.1.20) --- (IP WAN 192.168.1.10) fortigate
>> (ip interno 192.168.10.1) --- Server FTP (192.168.10.10) = funziona
>
> ovviamente puntando all'1.10 funziona, non puntanto al 10.10. giusto?
>
>> IP pubblico (x.y.z.k) --- router --- wan (192.168.1.10) fortigate (lan
>> 192.168.10.1) --- server ftp (192.168.10.10) = NON funziona
>
> il gioco sembra corretto. Io sul router preferisco sempre dirottare
> tutte le porte verso la wan del firewall, così ti elimini un
> passaggio.
>
Non chiedetemi come, ma oggi ho ricreato le regole e le impostazioni da
> passaggio.
>
zero e ha funzionato tutto.
L'unica differenza è stata il fatto che ho accorpato le due WAN per
gestire il failover e quindi ho creato Virtual IP e policy di
conseguenza (i VIP vanno creati comunque per ogni singola WAN), ma sono
convinto di averle fatte esattamente uguali a prima.
Funziona tutto, il traffico in ingresso passa da entrambe le linee (una
è nattata, l'altra no, eppure la regola è una sola per entrambe)
0 new messages