Cómo resolver problemas de SNAT entre subredes con IP Pool y puerto fijo en Fortinet

En este artículo, abordaremos cómo configurar NAT entre subredes en dispositivos FortiGate. El problema de la configuración incorrecta de NAT puede provocar que la comunicación entre diferentes segmentos de red falle, afectando la conectividad y el rendimiento general de la red. Proporcionaremos una guía paso a paso sobre cómo solucionar este problema y asegurarnos de que las configuraciones de NAT funcionen de manera eficiente.

Descripción del problema

El problema común que se presenta al configurar NAT (Traducción de Direcciones de Red) entre subredes es la falta de coincidencia en las direcciones IP o las máscaras de subred. En un entorno típico de FortiGate, es esencial que las configuraciones correspondan correctamente para que los datos se dirijan correctamente entre las redes internas y las externas.

Alcance

Aplicable a dispositivos FortiGate que utilizan SNAT (NAT de origen) para traducir direcciones IP al salir de una red local a otra.

Diagnóstico paso a paso

Antes de realizar la configuración, es crucial identificar las subredes involucradas. Por ejemplo:

  • Red original: 10.20.30.0/24
  • Red traducida a SNAT: 172.16.25.0/24

Ambas redes deben tener la misma máscara de subred (/24) y el cuarto octeto debe coincidir, lo que permite la correcta natación de las direcciones. A continuación, configuraremos un grupo de direcciones IP con un rango de puerto fijo para facilitar esta traducción.

Solución recomendada

Para configurar un grupo de direcciones IP con un rango de puerto fijo, siga los siguientes pasos:

config firewall ippool
edit "10.20.30-SNAT-172.16.25"
set type fixed-port-range
set startip 172.16.25.1
set endip 172.16.25.254
set source-startip 10.20.30.1
set source-endip 10.20.30.254
next
end

Después de crear el grupo de IP, aplíquelo en una política de firewall de salida para activar la traducción de direcciones.

Artículos relacionados  Cómo resolver el error de inicio de sesión SSO SAML iniciado por IdP/Proxy en FortiGate

SNAT01.png

Comandos CLI utilizados

Los comandos CLI utilizados para la configuración incluyen:

  • config firewall ippool: Inicia la configuración del grupo de direcciones IP.
  • edit "nombre del grupo": Edita un grupo de IP específico.
  • set type fixed-port-range: Define el tipo de grupo de IP como rango fijo.
  • set startip...: Define la dirección IP inicial del rango.
  • set endip...: Establece la dirección IP final del rango.
  • set source-startip...: Especifica el inicio del rango de IP de origen.
  • set source-endip...: Establece el final del rango de IP de origen.
  • next: Guarda los cambios y permite continuar con la configuración.
  • end: Finaliza la configuración.

Resultados

Después de aplicar la configuración, puede realizar pruebas usando el comando de sniffer para ver si la traducción de direcciones está funcionando como se esperaba.

Sniffer a destino con SNAT:

diag sniffer packet any 'host 192.168.200.1 and icmp' 4

Ejemplo de salida:

2.222869 SW in 10.20.30.1 -> 192.168.200.1: icmp: echo request
2.222875 to-VPN out 172.16.25.1 -> 192.168.200.1: icmp: echo request
2.246761 to-VPN in 192.168.200.1 -> 172.16.25.1: icmp: echo reply

Sniffer a destino sin SNAT:

diag sniffer packet any 'host 192.168.200.1 and icmp' 4

Ejemplo de salida:

9.333162 SW in 10.20.30.1 -> 192.168.200.1: icmp: echo request
9.333209 to-VPN out 10.20.30.1 -> 192.168.200.1: icmp: echo request
9.358343 to-VPN in 192.168.200.1 -> 10.20.30.1: icmp: echo reply

Buenas prácticas y recomendaciones

Al implementar configuraciones de NAT, es esencial seguir ciertas buenas prácticas:

  • Asegúrese de que las direcciones IP y las máscaras de subred sean coherentes en toda la configuración.
  • Realice pruebas exhaustivas para confirmar que la traducción de direcciones funciona correctamente.
  • Documente todas las configuraciones realizadas para futuras referencias y auditorías.
  • Considere la implementación de políticas de seguridad adicional si expone las redes internas hacia el exterior.
Artículos relacionados  Cómo solucionar el error 'Por favor, verifique los cables de red o la configuración del dispositivo de conmutación SEND/RECV por debajo del umbral' en dispositivos Fortinet.

Notas adicionales

Recuerde que la correcta implementación de SNAT puede ser crítica para el rendimiento y la seguridad de la red. Mantenga toda la documentación relacionada actualizada y revise las configuraciones de forma regular para asegurarse de que sigan siendo efectivas ante cambios en la infraestructura de red.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *