Implementación Básica de Fortigate para dar Salida a Internet a 3 redes locales - Básico - Caso 1

» » Implementación Básica de Fortigate para dar Salida a Internet a 3 redes locales - Básico - Caso 1

domingo, 19 de septiembre de 2021

Implementación Básica de Fortigate para dar Salida a Internet a 3 redes locales - Básico - Caso 1

   septiembre 19, 2021       Moderador

Fortigate en GNS3 Básico - Caso 1

La empresa Solution SA quiere la implementación de un Fortigate para administrar los 3 oficinas, IT, VENTAS y RRHH.  La empresa cuenta con un pequeño router que les da salida a Internet instalado por la empresa que les brinda el servicio y cada oficina con su propio SW no administrable.

Requerimientos de la Empresa.

1.- Salida de Internet de las 3 Oficinas; IT, VENTAS y RRHH

2.- Conectividad entre las oficinas de VENTAS y RRHH y estas no pueden ver a IT.

3.- Todo debe ser por DHCP.

Conexiones:

Fortigate 

Port 1: Internet (192.168.74.131/24) IP que me da el NAT para salir a internet en GNS3

Port 8: SW Port 1 IT

Port 9: SW Port 1 VENTAS

Port 10: SW Port 1 RRHH

Distribución IP

IT - 192.168.10.1/24

VENTAS - 192.168.20.1/24

RRHH - 192.168.30.1/24

Topología


1.- Ingresar por consola para configurar las IP de administración del Fortigate.


FortiGate-VM64-KVM # config system interface

FortiGate-VM64-KVM (interface) # edit port1

FortiGate-VM64-KVM (port1) # set ip192.168.74.131 255.255.255.0

FortiGate-VM64-KVM #

(Esto lo hago para poner conectarme al fortigate desde el navegador desde mi laptop y poder salir a internet)

Para ingresar al Fortigate de una manera real se debe conectar nuestra laptop al puerto 1, nuestra laptop debe tener una IP del rango 192.168.74.x/24. Desde cualquier navegador ingresamos.

Credenciales por defecto: 
usuario: admin
clave: (en blanco)



2.- Definimos nuestras interfaces, lo hacemos desde NETWORK - Interfaces

Podemos darnos cuentas los puertos 1, 8, 9 y 10 están en verde. Físicamente se encuentran conectados. 

Seleccionamos el puerto 1 y le damos editar.


ALIAS: INTERNET
Role: WAN
IP/Netowork Mask: 192.168.10.1/24
Administrative Access: Https, PING, FMG Access, SSH
OK


Seleccionamos el puerto 8 y le damos editar.


ALIAS: IT
Role: LAN
IP/Netowork Mask: 192.168.10.1/24
Administrative Access: Https, PING, FMG Access, SSH
Habilitamos el DHCP.
DNS Server - Specify 8.8.8.8
OK

Seleccionamos el puerto 9 y le damos editar.



ALIAS: VENTAS
Role: LAN
IP/Netowork Mask: 192.168.20.1/24
Administrative Access: Https, PING, FMG Access, SSH
Habilitamos el DHCP.
DNS Server - Specify 8.8.8.8
OK


Seleccionamos el puerto 10 y le damos editar.



ALIAS: RRHH
Role: LAN
IP/Netowork Mask: 192.168.30.1/24
Administrative Access: Https, PING, FMG Access, SSH
Habilitamos el DHCP.
DNS Server - Specify 8.8.8.8
OK

hasta ahora debemos tener algo así:



Ahora debemos validar que los dispositivos de las 3 oficinas, IT, VENTAS y RRHH reciben IP por DHCP.

PC2 - VENTAS




PC1 - RRHH



IT


Se puede verificar que el direccionamiento DHCP esta funcionando correctamente, todavía no tenemos acceso a internet ni comunicación entre las oficinas.


Acceso a Internet

Fortigate:

Ejecutamos un ping para validar la salida a internet.


Para esto debemos configurar ruta estática.


Ingresamos a NETWORK - Static Routes - Create new

Device: Puerto que esta conectado a la salida de internet en este caso Port 1 (192.168.74.131/24)
Gateway: 192.168.74.2 (Gateway de la red que nos da salida a internet)
OK



Procedemos con la prueba de ping.


Ping correcto. Ahora procedemos a dar acceso a internet a las oficinas de IT, Ventas y RRHH.

INTERNET A IT

Ingresamos a Policy & Objects - IPV4 Policy - Create New

Name: INTERNET A IT
INCOMING INTERFACE: IT PORT8
OUTGOING INTERFACE: INTERNET PORT1
SOURCE: ALL
DESTINATION: ALL
SERVICE: ALL
OK
   



INTERNET A VENTAS

Ingresamos a Policy & Objects - IPV4 Policy - Create New

Name: INTERNET A VENTAS
INCOMING INTERFACE: VENTAS PORT9
OUTGOING INTERFACE: INTERNET PORT1
SOURCE: ALL
DESTINATION: ALL
SERVICE: ALL
OK





INTERNET A RRHH

Ingresamos a Policy & Objects - IPV4 Policy - Create New

Name: INTERNET A RRHH
INCOMING INTERFACE: RRHH PORT10
OUTGOING INTERFACE: INTERNET PORT1
SOURCE: ALL
DESTINATION: ALL
SERVICE: ALL
OK




Debemos tener todas estas políticas y las 3 oficinas deben tener acceso a internet:


VENTAS


RRHH


IT



Como requerimiento tenemos que la oficina VENTAS y RRHH deben tener comunicación entre si pero NO con IT.

CREAMOS POLITICAS ENTRE VENTAS Y RRHH

Ingresamos a Policy & Objects - IPV4 Policy - Create New

Name: VENTAS A RRHH
INCOMING INTERFACE: VENTAS PORT9
OUTGOING INTERFACE: RRHH PORT10
SOURCE: ALL
DESTINATION: ALL
SERVICE: ALL
(NO ES NECESARIO EL NAT)
OK



Ingresamos a Policy & Objects - IPV4 Policy - Create New

Name: RRHH A VENTAS
INCOMING INTERFACE: RRHH PORT10
OUTGOING INTERFACE: VENTAS PORT9
SOURCE: ALL
DESTINATION: ALL
SERVICE: ALL
(NO ES NECESARIO EL NAT)
OK



Debemos tener todas estas políticas:



PC RRHH


PC VENTAS



VENTAS con RRHH tienen comunicación entre si, pero no con IT. Cuentan todas con salida a internet.

   / / /

   No Comments

0 comments :

Publicar un comentario

Gracias por su comentario

Suscribirse a: Enviar comentarios ( Atom )