FortiGateGuías técnicas

Asociar IPPools en NAT a SD-WAN

Sabemos que la funcionalidad de SD-WAN permite a Fortigate seleccionar la mejor salida wan hacia una aplicación, aplicando entre otras QoS y seguridad. Además a nivel de políticas de seguridad, su administración es muy simple ya que como interface destino solo hace falta poner “SD-WAN”, la cual ya incluiría todas las interfaces WAN que la componen (a efectos prácticos trabaja como si fuera una zona).

Es común que estas políticas de seguridad con destino SD-WAN activemos el NAT de salida, y es aquí donde Fortigate nos da la opción de salir con la ip de la propia interface wan de salida o una IP Pool, es decir con otra ip que nosotros asignemos de un rango. Se encontrarán con que al activar la opción “IP Pool” deja de seleccionar los perfiles IPPool creados pero si no asociamos cada IPPool a una interface, habrán fallos en conexiones ya que Fortigate asignara estos IPPools de forma desordenada.

La forma de solucionarlo es tan simple como asociar los objetos IP Pools a una interface wan, de esta forma Fortigate sabe cual tiene que utilizar en cada momento y para cada interface wan de SD-WAN. Esta configuración esta disponible vía CLI. Ejemplo de script:

config firewall ippool

    edit “IPPOOL-WAN1”

        set startip 1.1.1.1

        set endip 1.1.1.1

        set arp-intf “wan1”

        set associated-interface “wan1”

    next

    edit “IPPOOL-WAN2”

        set startip 2.2.2.2

        set endip 2.2.2.2

        set arp-intf “wan2”

        set associated-interface “wan2”

    next

end

 

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *