Laboratorio configuracin ISP Dual en firewall FORTINET

100D

Documento preparado por: Eduardo Saa Ruiz.

Santiago, Octubre 2016

 Contenido

1. Introduccin ........................................................................................................................................ 3
2. Escenario ............................................................................................................................................. 3
3. Tareas para realizar en el laboratorio ................................................................................................. 4
3.1 Administracin del Firewall ............................................................................................................. 4
3.2 Definir y configurar las interfaces que utilizaremos como Lan1 y Lan2.......................................... 4
3.3 Configurar Interfaces WAN1 y WAN2 ............................................................................................. 7
3.4 Configurar rutas por defecto para cada red LAN a travs de polticas de ruteo (Policy Routing) .. 8
3.5 Crear los objetos que se utilizaran luego en las polticas del firewall, para Lan1 y Lan2.............. 10
3.6 Crear una poltica de salida a internet (Nat overload o Source Nat) tanto para Lan1 y Lan2 ...... 12
1. Introduccin

Este documento describe la ejecucin de un laboratorio para implementar un equipo Firewall marca
Fortinet modelo 100D, en el escenario donde existan 2 proveedores de servicio de internet (ISP). La idea
de esta demostracin es que cada red LAN utilice un enlace de salida a internet independiente, para lo
cual configuraremos dos rutas por defecto basado en polticas de enrutamiento.

2. Escenario

En el siguiente diagrama (Fig-1) presentado a continuacin, se observan 2 redes LAN cada una con
direccionamiento privado del rango 172.16.10.0/24(LAN1) y 172.16.20.0/24(LAN2), las cuales se
interconectan con el Firewall Fortinet 100D empleado para la demostracin.
Fig-1 Diagrama Laboratorio
3. Tareas para realizar en el laboratorio

1. Tomar la administracin del Firewall Fortinet

2. Definir y configurar las interfaces que utilizaremos como Lan1 y Lan2
3. Configurar Interfaces WAN1 y WAN2
4. Configurar rutas por defecto para cada red LAN a travs de polticas de ruteo (Policy Routes)
5. Crear los objetos que se utilizaran luego en las polticas del firewall, para Lan1 y Lan2
6. Crear una poltica de salida a internet (Nat overload o Source Nat) tanto para Lan1 y Lan2
7. Configurar PCs de escritorio con el direccionamiento correspondiente, dependiendo a cul
interfaz se conectarn LAN1 y LAN2

3.1 Administracin del Firewall

Para conectarse al dispositivo, debemos abrir una ventana de nuestro browser de Internet (Chrome,
Firefox, Safari, etc.) y en la barra de direcciones escribir la siguiente URL http://192.168.1.99 para lo cual
deberemos configurar el adaptador de red de nuestro laptop con alguna ip del rango 192.168.1.0/24.
Como se puede apreciar, luego de escribir la URL se despliega la interfaz grfica de inicio de sesin, en
donde se solicitan las credenciales de acceso, ver Fig-2.

Fig-2 Pantalla de Login

3.2 Definir y configurar las interfaces que utilizaremos como Lan1 y

Lan2
Primero procederemos a configurar la interfaz correspondiente al Puerto 5 del dispositivo con la IP
172.16.10.1/24(LAN1) segn el diagrama descrito al inicio de este documento, para eso debemos ir al
men ubicado en el costado izquierdo de las opciones de administracin y seleccionar el submen
NETWORK, seguidamente pinchar la opcin INTERFACES, en donde aparecer la siguiente pantalla, ver fig-
3.
Fig-3 Interfaces

Seleccionamos con doble click el puerto que utilizaremos en la implementacin para editar la interfaz, en
este caso vamos a usar el port5 para configurar la red LAN1, luego en las opciones de edicin nos
aparecen los campos necesarios para configurar como: IP/Mascara/Rol. Ver fig-4. Luego le damos OK para
guardar los cambios.
 Fig-4 Edicin de la Interfaz PORT 5

Luego realizamos la misma accin para configurar la interfaz Port10 la cual se utilizar para la red LAN2
segn el diagrama descrito al inicio de este documento. Ver fig-5

Fig-5 Edicin de la Interfaz PORT 10

3.3 Configurar Interfaces WAN1 y WAN2

Basados en la misma metodologa descrita en el paso anterior de las Interfaces LAN, procederemos a
configurar las interfaces WAN1 y WAN2 ver Fig-6

Fig-6 Interfaces WAN

Configuracin Interfaz WAN1 (Fig-7)

Fig-7 Edicin Interface WAN1
 Configuracin Interfaz WAN2 (Fig-8)
Fig-8 Edicin Interface WAN2

3.4 Configurar rutas por defecto para cada red LAN a travs de
polticas de ruteo (Policy Routes)

A continuacin, explicaremos la creacin de las rutas por defecto. Dado que son dos redes LAN
diferentes, las cuales utilizaran cada una un enlace a internet independiente, debemos crear una
poltica de enrutamiento para cada red (LAN1 y 2). Por consiguiente, debemos ir al men NETWORK
luego hacer click en el submen POLICY ROUTES, para agregar una poltica debemos hacer click en
el botn CREATE NEW.
Fig-9 Policy Routes
Primero crearemos la poltica para la red LAN1, en donde indicamos los siguientes parmetros:
Protocol (ANY), Interfaz por donde ingresa el trfico(port5(LAN1)), el segmento de red de origen
(172.16.10.0/255.255.255.0), red de destino (0.0.0.0.0/0.0.0.0), la interfaz de salida(WAN1) y por
ltimo la direccin ip del default Gateway del ISP1(10.100.5.254), por ultimo le damos OK para
terminar de crearla. Ver fig-10
Fig-10 Edit Routing Policy

Dado el ejemplo anterior, hacemos el mismo mtodo para la ruta de la red LAN2ISP2 ver fig-12
Fig-12 Edit Routing Policy
 Como se observa en la fig-13, las 2 rutas fueron creadas correctamente.

Fig-13 Policy Routes

3.5 Crear los objetos que se utilizaran luego en las polticas del
firewall para Lan1 y Lan2

Antes de crear las polticas que nos darn la salida hacia internet, debemos crear los objetos con los
cuales se conformarn dichas polticas, para ello debemos ir al men POLICY & OBJECTS, luego
hacemos click en la opcin ADDRESSES ver fig-14, luego para crear un objeto pinchamos CREATE
NEW
Fig-14 Addresses
Crearemos un objeto para la red LAN1 en donde declaramos, nombre del
objeto(Lan_172.16.10.0), red/mascara (172.16.10.0/255.255.255.0) y la interfaz(port5(LAN1)),
adems podemos agregar un comentario referente al Objeto(LAN_1). Luego de escribir todos los
parmetros, le damos OK para crearlo. Ver fig-15

Fig-15 Edit Address

Dado el ejemplo anterior, creamos un objeto para LAN2 de la misma forma. Ver fig-16
Fig.- 16 Edit Address
3.6 Crear una poltica de salida a internet (Nat overload o Source Nat)
tanto para Lan1 y Lan2

Para crear una poltica debemos ir al men POLICY & OBJECTS luego pinchamos la opcin IPv4
POLICY y hacemos click en el botn CREATE NEW, ver fig-17

Fig-17 IPv4 Policy

Para la poltica referente a LAN1, debemos ir completando los siguientes campos que se
describen en la siguiente figura, en donde declaramos: Nombre de la Poltica, Interfaz de
entrada, interfaz de salida, direccin de origen(objeto), direccin de destino(objeto) y los
servicios (puerto tcp/udp) que sern permitidos, adems debemos habilitar la opcin de NAT e
indicar en IP POOL CONFIGURATION que los equipos de la red LAN1 se presentarn con la
misma direccin de la interfaz de salida, por lo cual dejamos al opcin por defecto USE
OUTGOING INTERFACE ADDRESS, para terminar le damos OK ver fig-18.
 Fig-18 Edit Policy (LAN1)

Dado el ejemplo de la poltica para la red LAN1, utilizamos el mismo mtodo para crear la poltica
correspondiente a LAN2, ver fig-19

Fig-19 Edit Policy (LAN2)

Por ultimo como se puede apreciar en la siguiente imagen(fig-20), se observan las 2 polticas
creadas
Fig-20 IPv4 Policy