Tengo una pequeña consulta con respecto a NATing en Fortigate. Me sorprende especialmente un escenario en el que la red remota permite a los usuarios con un rango de IP específico con un puerto específico para RDP a través de un conjunto diferente de enlaces físicos.
El usuario (192.168.60.0/24) en LAN debe conectarse a 10.48.1.3 en la red remota que está conectada a los puertos internos en Fortigate (ni WAN ya que se usa para Internet).
Se ha establecido un enlace entre el firewall de la red remota y Fortigate (10.189.254.17-10.189.254.18). Puedo hacer ping al firewall remoto interace 10.189.254.17.
El administrador quiere que accedamos a 10.48.1.3 a través del puerto 3389 a través de 10.189.1.8-10.189.1.15 (IP permitidas en el firewall remoto).
Básicamente, el usuario (ej .: Fuente: 192.168.60.15 necesita acceder al Destino 10.48.1.4 a través de IP permitidas (10.189.1.8-10.189.1.15) a través del enlace físico entre Fortigate y el firewall remoto (10.189.254.18-18.189.254.17).
He intentado el reenvío de puertos VIP (NAT estático) (NAT de origen), grupo de IP (NAT de destino), pero no he recibido ayuda.
Por favor, consejos sobre cómo proceder. Es un escenario típico, ¿podemos lograrlo?
Respuestas:
En virtud de su Norma de política para permitir el acceso de 192.168.60.15 a 10.48.1.4.
Simplemente seleccione NAT, luego cree un Pool y coloque el rango de IP de 10.189.1.8-10.189.1.15.
Lo clave para que esto funcione es que tienes una ruta en tu fortigate apuntando 10.48.1.4 a 10.189.254.17 y finalmente 10.189.254.17 sabe que 10.189.1.8-10.189.1.15 vive a través de 10.189.254.18.
Esa es una regla bastante estándar y parece factible. Algunas capturas de paquetes pueden ayudarlo a depurar el problema.
fuente