2 Gateways [RESOLVIDO]

GuilhermeBR
(usa CentOS)

Enviado em 26/08/2010 - 09:58h

Setei o ip do Gateway 2, sendo o ip LAN do Gateway 1 e não deu certo. Depois, tentei com o ip WAN, e tb não funcionou.

rogerio_gentil
(usa Ubuntu)

Enviado em 26/08/2010 - 10:41h

O Gateway 2 tem que ter duas configurações: WAN e LAN.

WAN: O IP Gateway 2 deve ter o IP 192.168.0.253 mesmo. Mas o IP de gateway do Gateway 2 tem que ser o IP do Gateway 1, assim como nas máquinas da LAN1. Isto tudo é configurado nas opções de WAN do roteador (IP, Gateway e DNS primário e secundário), pois suponho que este roteador/gateway seja um hardware tipo D-Link, Linksys, Cisco, etc. certo?

LAN: Nas opções de LAN, o Gateway 2 deve ter um IP da LAN2 (192.168.1.x).

GuilhermeBR
(usa CentOS)

Enviado em 26/08/2010 - 12:55h

Isso.. configurei o WAN e LAN no Gateway 2, da mesma forma que vc falou, mas não vai. Desabilitei o firewall, e deixei passar todo o tráfego e também não funciona.

Acessei o LOG do firewall, e a chamada do Gateway 1, está chegando até o Gateway 2, mas não acessa. Lembrando que na LAN, acessa normal.

Uma coisa estranha, é que o servidor de aplicativos, que fica embaixo do Gateway 2, não está acessando a internet.

O firewall em questão, é um Fortigate 50b.

rogerio_gentil
(usa Ubuntu)

Enviado em 26/08/2010 - 16:19h

Ok. Depois de ter configurado do modo como expliquei você criou uma regra NAT para a porta 80 no Fortigate 50B?

Se a internet não está funcionando no servidor de aplicativos é porque a configuração ainda não está certa.

Configure novamente e tente dar um ping no Gateway 1 a partir do servidor de aplicativos. Se responder, é sinal que os 2 gateways se enxergam.

GuilhermeBR
(usa CentOS)

Enviado em 26/08/2010 - 18:49h

Não criei essa regra NAT para porta 80. Procurei no Fortigate, mas não tem. Estou começando a desconfiar, que esse Fortigate, não tem tais funções. Nas opções de rede, configurei da seguinte forma:

- Interface - IP

Internal - 192.168.1.201/255.255.255.0
Wan1 - 192.168.0.253/255.255.255.0

O servidor de app, está com IP 192.168.1.111. Na mesma faixa de ip, da interface internal. E o Gateway 2, está com o IP 192.168.0.254, na mesma faixa de ip da interface WAN1.

Nas opções de firewall. Criei 2 regras, que está permitindo todo o tráfego, de qualquer serviço. Tanto interno pra fora, quanto de fora pra dentro.

A minha dúvida agora, é em relação às opções de rota. Sem nenhuma rota criada, consigo acessar na LAN. Mas na WAN não. E os 2 Gateways, já se enxergam, pois no servidor de aplicativos, consigo acessar o Apache do Gateway 1.

rogerio_gentil
(usa Ubuntu)

Enviado em 26/08/2010 - 22:57h

As configurações que você postou estão corretas. Mas deve haver alguma forma de "canalizar" a porta 80 para o IP 192.168.1.111 neste FortiGate 50B. Pense comigo: se não houver uma regra NAT dizendo para qual IP o gateway 2 deve direcionar as informações requeridas, ele vai ficar perdido.

Imagine que você está tentando acessar seu server app a partir de sua casa. Você terá que digitar o IP da WAN (fornecido pela sua operadora de net) no browser. Ex: http://IP. O Gateway 1 com a regra NAT configurada vai receber uma requisição na porta 80 e que precisa repassar a informação para o IP 192.168.0.253 através da placa configurada com o IP 192.168.0.254. Caso esta regra não existisse o Gateway 1 entenderia que ele deveria responder a requisição, gerando uma falha de acesso.

Prosseguindo, quando a requisição chegar ao Gateway 2 deve haver uma regra similar, onde o IP 192.168.1.201 recebe uma requisição do IP 192.168.0.253 e deve passar para o IP do server app (192.168.1.111).

IP_WAN -> 192.168.0.254 -> 192.168.0.253 -> 192.168.1.201 -> 192.168.1.111

Quando você adicionou a rota
# route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.253
você permitou que todos hosts da rede 192.168.1/24 acessassem a rede 192.168.0/24 através do IP 192.168.0.253.

Ainda acho que falta uma regra NAT "canalizando" a porta 80 para seu server app no Gateway 2.

rogerio_gentil
(usa Ubuntu)

Enviado em 26/08/2010 - 23:01h

Cara, este equipamento faz NAT sim. Dê uma olhada neste documento oficial:

http://docs.fortinet.com/fgt/qsg/FortiGate-50B_QuickStart_Guide_01-30003-0361-20070419.pdf

GuilhermeBR
(usa CentOS)

Enviado em 26/08/2010 - 23:14h

Estou acessando o servidor de app, dentro da minha rede mesmo. Eu acesso o meu pc de casa, via TS e à partir dele, faço a conexão. O outro servidor de app, da LAN1 responde normal. Só o da LAN2, que dá pau.

Vou dar uma olhada na documentação.

GuilhermeBR
(usa CentOS)

Enviado em 26/08/2010 - 23:35h

Dei um print, nas 2 regras de NAT que criei. Creio estarem certas:

http://img840.imageshack.us/img840/5356/38509310.jpg
http://img801.imageshack.us/img801/2370/69789169.jpg

rogerio_gentil
(usa Ubuntu)

Enviado em 27/08/2010 - 00:09h

Acho que nos endereços de origem e destino você deve colocar os IP dos endereços:
Internal: 192.168.1.111
Wan1: 192.168.0.253
Pelas imagens você está colocou os endereços de rede (terminados em 0).

Na opção serviço não tem algo como HTTP, WEB, etc?

Outro detalhe é que me parece que você criou duas regras para fazer a ida e a volta do pacote. Entretanto é preciso ver se há algum documento do equipamento dizendo se é realmente necessário fazer isso mesmo, pois, por exemplo, o Iptables só precisa da regra de ida. Ele é inteligente para saber a rota de volta do pacote. =)

GuilhermeBR
(usa CentOS)

Enviado em 27/08/2010 - 08:06h

Quando coloca o IP, o próprio firewall, muda para o endereço de rede (terminados em 0). Na opção de serviço, tem opção de HTTP, mas eu deixo a opção "ANY". Ou seja, libera qualquer tipo de serviço.

As regras, eu criei de tudo quanto é jeito. Somente ida, somente volta, ida e volta, sem regra, etc.. já até liberei para todos os IPs (0.0.0.0). E não funciona!

Tá complicado, viu?! xD

GuilhermeBR
(usa CentOS)

Enviado em 27/08/2010 - 09:28h

Descobri uma coisa estranha.

Havia perdido, o acesso LAN também. E só voltou a funcionar, após desmarcar a opção NAT. Será que é necessário NAT? Pois pelo que entendo, NAT (Address Network Translation), ele transforma um IP válido em inválido.

O NAT, já foi feito no Gateway 1. Ou seja, transformou o ip WAN em LAN e redirecionou pra dentro da LAN.

Creio que o problema, esteja na criação de rota. Aqui no firewall, tem 2 opções de rota. Estática e dinamica. Qual delas, seria a ideal no meu caso?

Outra coisa, é que esse firewall, tem 2 modos de operação, NAT e Transparent, qual seria o ideal no meu caso?