Hi everybody,
i'm a really not expert network administrator, with no experience at all on Fortigate. I've been asked to study and try to understand how to achieve this behaviour:
we have a forti wifi 60e, with forti OS 5.4, i think equivalent to fortigate 60e, already configured with wan1 using an ISP1 (TELECOM) with static IP and various vpn (ipsec..) that I wish I don't have to touch at all, a software switch has been defined that provides IPs to devices via DHCP, both on wired and wifi connections, serving a range between 192.168.0.130 to 192.168.0.254, the software switch has ip address 192.168.0.99.
We have another ISP2 (FASTWEB) and the requirement is to have a set, under the 192.168.0.130, of IPs that we can configure statically and then let them use ISP2.
As far as I can go, it seems we have to deal with addresses range and policies related to them but i'm not able to put the pieces together.
I know maybe this can be not so clear, having both lacks in english and in the network stack, but hopefully some folks can read my mind.. :)
Any help will be appreciate.
Regards,
Davide
Nominating a forum post submits a request to create a new Knowledge Article based on the forum post topic. Please ensure your nomination includes a solution within the reply.
Ciao Davide,
Se riesci a spiegarlo in italiano riesco a capirlo meglio
e se non ti so aiutare magari avendo più esperienza in networking spiegare meglio ad altri utenti in inglese.
Ciao,
ci provo, vediamo se so spiegarmi almeno in italiano.. :)
Allo stato attuale il Forti WiFi 60E è configurato e funzionante con l'interfaccia wan1 che sfrutta la connettività data da Telecom, diciamo ISP1, fisicamente al dispositivo è poi collegato solo un cavo, sulla porta 4 e questo porta poi ad uno switch da cui derivano i collegamenti fisici ai vari client della rete.
Oltre a wan1 interfaccia è definita un'altra interfaccia chiamata lan configurata come Software Switch, che ha ip 192.168.0.99, che funge da server DHCP e che eroga la connettività WI-FI, le interfacce fisiche (Physical Interface Members) che ne fanno parte sono 'internal' e 'wifi'.
Il DCHP eroga un set di indirizzi ip, da 192.168.0.130 a 192.168.0.254.
Il routing statico di default (0.0.0.0/0.0.0.0) è configurato per utilizzare la wan1.
Sono poi definite una serie di policies IPv4, relative anche a VPN (quelle che non vorrei toccare..) ma quella che credo garantisca attualmente la connettività è quella che ha come incoming la lan e come outgoing wan1.
Al netto di altre configurazioni, su indirizzi, gruppi di indirizzi, virtual ips che ci sono ma non penso siano essenziali, l'as-is dovrebbe essere quanto detto, se serve altro basta chiedere.
La desiderata, avendo a disposizione un ulteriore ISP, fastweb, ISP2 sarebbe quella di realizzare una configurazione per la quale se i client ottengono IP dal DHCP allora tutto resta come ora mentre se, ad esempio un portatile, si presenta con un IP statico che configuriamo manualmente, magari in un range 192.168.0.70-80, allora venga sfruttata la connessione su wan2 con ISP2.
Cercando in rete ho trovato qualcosa di simile, qualcuno che parla di cose più o meno in questo ambito e mi sembra si vada a parare su policy legate a range di indirizzi ma fatico a mettere insieme i tasselli.
Spero si sia capito qualcosa in più,
grazie comunque per il tentativo.
Saluti, Davide
I believe what you are saying you want is two internet connections, one being used by default, and the second one only by a specific IP range.
If so, you need to configure both WAN default routes as the same distance but different priority. The one you want as default will be the lower numerical priority. This way both routes will be usable but one will take priority. You will also need to create firewall policies to allow traffic out WAN2 if you haven't already.
Then, create a policy route to send traffic from the IP range you want out WAN2 instead of the default WAN1
The problem here is the DHCP provided gateway the priority will not be set. You would need a fixup script to set or modify that default route entry.
Ken Felix
PCNSE
NSE
StrongSwan
ITA:
Allora se ho capito bene:
Tutto quello che c'è va tenuto.
Volete incominciare ad utilizzare un secondo ISP (Fastweb) solo dagli indirizzi 192.168.1.70-192.168.1.80 (esempio).
ENG: He wants that this address range 192.168.1.70-80 use a second ISP. the others IP the ISP1 (No change needed cause now it works all with ISP1)
ITA:
Per me fai prima a creare una IPv4 Policy che abilita l'utilizzo dell'altra connettività (che devi configurare, se guardi l'altra risulta molto semplice). Poi creare una Static routes nuova per la seconda ISP con administrative distance 20 (per evitare conflitti con quella principale), poi crei un address range di quello che vuoi in address. Infine va in Policy Routes e lo configuri in modo che tutto quello che arriva dalla LAN (protocol ANY) source address il range appena creato(o inseriscilo manualmente), destination ALL e forward traffic e poi outgoing interface la seconda WAN e gateway address quello che hai messo come gateway nella rotta statica
ENG SIMPLIFIED:
IPv$ Policy to enable traffic, configure WAN2 and create static routes (AD 20) then create policy routes using WAN2(ISP2)
Nel caso quello che dico sia sbagliato ho messo anche l'inglese per gli altri.
If someone has something better in mind, we are listening
Select Forum Responses to become Knowledge Articles!
Select the “Nominate to Knowledge Base” button to recommend a forum post to become a knowledge article.
User | Count |
---|---|
1714 | |
1093 | |
752 | |
447 | |
232 |
The Fortinet Security Fabric brings together the concepts of convergence and consolidation to provide comprehensive cybersecurity protection for all users, devices, and applications and across all network edges.
Copyright 2024 Fortinet, Inc. All Rights Reserved.