Fortigate 60D: cómo configurar la

conmutación por error de SD-WAN y

WAN
Introducción:
En los entornos en los que desea garantizar el mayor tiempo de actividad,
querrá tener dos ISP separados para garantizar que su red nunca enfrente
ningún tiempo de inactividad. Aunque podría argumentar que querría hardware
así como redundancia de SP (Proveedor de servicios), esta configuración le
llevará al 80% de su camino. El Fortinet Fortigate 60Dtiene dos enlaces WAN
específicamente para este propósito.

Requisitos previos:
Para poder realizar los siguientes pasos, debe estar en posesión de un
FortiGate 60D con suscripciones activas a la base de datos de firmas de
Fortinet.

Advertencias:
Según Fortinet:
"No podrá agregar ninguna interfaz a la interfaz SD-WAN que ya se usa en la
configuración de FortiGate. Por lo tanto, en este escenario, debe eliminar
cualquier política de seguridad que use WAN1 o WAN2, como la política de
acceso a Internet predeterminada. El tráfico no podrá llegar a WAN1 o WAN2 a
través de FortiGate después de eliminar las políticas existentes ".

Sugerencia rápida: si tiene alguna política de seguridad establecida que haga

referencia a WAN1 y / o WAN2, querrá redirigir esas políticas a puertos no
utilizados para no eliminarlas.

Paso 1: Conexión física

Conecte cada ISP respectivo a uno de los enlaces WAN en la parte posterior
de Fortigate 60D etiquetados WAN1 y WAN2.

Paso 2: Creando la interfaz SD-WAN

Diríjase a la página de configuración y haga clic en Red y luego en SD-

WAN. Establezca el estado de la interfaz en "Habilitar" (se coloreará en verde).
Asegúrese de agregar las dos interfaces WAN para que aparezcan debajo del
estado SD-WAN

Paso 3: habilitar el algoritmo de equilibrio de carga

Vaya al algoritmo de equilibrio de carga y seleccione la pestaña de

volumen. Luego puede cambiar la métrica de peso para modificar la cantidad
de tráfico que desea que pase por cada enlace WAN. El peso es un porcentaje
que equivale a 100, por lo que puede decidir cuánto tráfico es el adecuado para
su red para atravesar cada enlace.

Paso 4: Configurar SD-WAN Health Check

Para garantizar que la conmutación por error de WAN se realice correctamente,

deberá configurar una comprobación de estado que conecte un host remoto a
la conectividad. Si cualquiera de los enlaces WAN descarta un número
determinado de solicitudes ICMP, entonces Fortigate revertirá todo el tráfico al
enlace WAN en funcionamiento sin problemas. Sus usuarios o CTO nunca
sospecharán nada.
Para hacerlo, haga clic en Red y luego en Editar comprobación de estado de
SD-WAN y configúrelo para hacer ping a un host remoto.

Sugerencia rápida:

generalmente se recomienda no usar un servidor DNS (como el 8.8.8.8 de

Google) para hacer ping, ya que limitan las solicitudes de ICMP y eso puede
provocar una conmutación por error falsa

Paso 5: configurar todo el tráfico local para enrutarlo a la interfaz

SD-WAN.

Diríjase a Política y objetos y al IPv4 y haga clic en "Crear nueva política".

Establezca la Interfaz entrante en la interfaz física que usa para su LAN y
configure la Interfaz saliente en la interfaz SD-WAN que creó.
Asegúrese de habilitar NAT y aplique los perfiles de seguridad necesarios.
Para asegurarse de que las cosas funcionen correctamente, habilite Log
Permitido para todas las sesiones. Ahora puede volver a habilitar cualquier
política de seguridad que haya apuntado a otras interfaces desde el principio.
Ahora que todo es Hunky-Dorey, puede ver las estadísticas de SD-WAN yendo
a Uso de red, SD-WAN y SD-WAN.Si tiene algún tiempo de inactividad, puede
probar que la conmutación por error funciona desconectando uno de los
traspasos de ISP que van al enlace WAN para ver cómo cambia
automáticamente. Una vez que lo vuelva a enchufar, se volverá a conectar
automáticamente.
Fortigate 60D: cómo restaurar la
configuración predeterminada de
fábrica.
Introducción:
¿Tiene problemas con su enrutador y no puede averiguar qué está causando el
problema? ¿Quizás perdió su contraseña o quiere fortalecer la configuración de
seguridad desde cero? De cualquier manera, restaurar el equipo a la
configuración predeterminada de fábrica es un buen paso para la solución de
problemas. Cualquier configuración personalizada se perderá, por lo que es
una forma efectiva de limpiar la pizarra y personalizar la red interna que su
oficina necesita.

Requisitos previos:
Para poder realizar los siguientes pasos, debe estar en posesión de
un FortiGate 60D con suscripciones activas a la base de datos de firmas de
Fortinet.

Paso 1
Conéctese al FortiGate 60D mediante un cable de consola.

Paso 2
Terminal abierta

Paso 3
Conecte el FortiGate 60D al adaptador de corriente y espere a que el
dispositivo se inicie.

FortiGate-60D (15:09-08.12.2013)
Ver:04000022
Serial number: FGT60D1111111111
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display
configuration menu......

Booting OS...
Reading boot image... 1242703 bytes.
Initializing firewall...

System is starting...

FGT60D1111111111 login:
Step 4
Within 20 seconds of the device booting up, press and hold the RESET button.
Once you see System is resetting to factory default..., you can release the
button.

Step 5
The default login username is admin and the default password is blank.

Limitación de ancho de banda con

Traffic Shaping de equipos Fortigate
 En este manual, aprenderás a usar Traffic Shaping en el equipo
FortiGate para limitar el ancho de banda de una dirección IP específica en
equipos Fortigate. También explicaremos como configurar el tráfico para un
límite máximo de ancho de banda para cargas o descargas de 200 kbps.

Habilitando Traffic Shaping

 Paso 1. Vamos a System > Feature Visibility y habilitar Traffic Shaping

 Creación de una dirección de Firewall


 Paso 2. Vamos a Policy & Objects > Addresses > Create New para
definir la dirección que limitaremos. Escribimos un nombre en este caso es
Limited_bandwidth y en Subnet / IP Range seleccionamos la IP que queremos
limitar.
 Configuración de Traffic Shaper para limitar el ancho de banda

 Paso 3. Vamos a Policy & Objects > Traffic Shapers > Create New
y definimos un nombre, en Traffic Priority seleccionamos Medium, en Max
Bandwidth escribimos 200 kb/s y en Guaranteed Bandwidth escribimos 100
kb/s.Después de crear hacemos click derecho en Limited_Bandwidth y
editamos en el CLI.

Escribimos los siguientes comandos:

#set per-policy enable
#end
 Creación de dos políticas de modelado de tráfico.

 Paso 4. Vamos a Policy & Objects > Traffic Shaping Policy > Create
New. Crearemos una política de configuración que establecerá el tráfico regular
como de alta prioridad.En Source , Destination y Service seleccionamos All , en
outgoing Interface seleccionamos Wan , en Shared Shaper y Reverse Shaper
seleccionamos high-priority. Los Shared Shaper afectan las velocidades de
carga y los Reverse Shaper afectan la velocidad de descarga.

Paso 5. Seleccionamos Create New para crear una segunda política de Traffic
Shaping que afectará a la dirección IP que se desea limitar. En Source
agregamos Limited_Bandwidth , en Destination y Service seleccionamos All. En
outgoing seleccionamos Wan y en Shared Shaper y Reverse Shaper
seleccionamos Limited_Bandwidth.
 Paso 6. Ordenamos las políticas para la configuración de tráfico para que la
política Limited_bandwidth esté por encima de la política All.

Resultados
 Cuando una computadora con la IP con la que hemos creado el tráfico
navega por internet su ancho de banda estará restringido por la cantidad que
configuramos en Trafic Shaper. Vamos a Forti View > Traffic Shaping y
podremos ver el uso actual del ancho de banda.

Instalando un FortiGate en
modo NAT
En este ejemplo, usted conecta y configura un nuevo FortiGate
en NAT modo , para conectar de forma segura una red privada a
Internet.

En el modo NAT, instala un FortiGate como puerta de enlace o

enrutador entre dos redes. Por lo general, se configura FortiGate
entre una red privada e Internet, lo que permite a FortiGate ocultar
las direcciones IP de la red privada mediante NAT.

1. Conectar los dispositivos de red e

iniciar sesión en FortiGate
Conecte el FortiGate a su equipo provisto por el ISP mediante
la interfaz orientada a Internet . Esto suele ser WAN o WAN1,
dependiendo de su modelo.

2. Configurando las interfaces de

FortiGate.

Para editar la interfaz de Internet (en el ejemplo, wan1 ), vaya

a Red > Interfaces.
Para determinar qué modo de direccionamiento usar, verifique si su ISP
le proporciona una dirección IP para usar o si el equipo del ISP
usa DHCP para asignar direcciones IP.
Si su ISP proporciona una dirección IP, configure el modo de
direccionamiento en Manual y configure la máscara de red / IP en esa
dirección IP.
Si su equipo ISP usa DHCP, configure el modo de
direccionamiento en DHCP para permitir que el equipo asigne una
dirección IP a WAN1
Edite la interfaz lan , que se llama interna en algunos modelos de
FortiGate.
Establecer el rol en LAN
Establezca el modo de direccionamiento en Manual y establezca
la máscara IP / red en la dirección IP privada que desea usar para
FortiGate.
Si necesita asignar direcciones IP a dispositivos en su red interna,
habilite el servidor DHCP
3. Agregando una ruta por defecto

Para crear una nueva ruta predeterminada, vaya a Red > Rutas
estáticas . Normalmente, solo tiene una ruta predeterminada. Si la ruta
estática .
Establezca Destino en subred * y deje la dirección IP de destino
establecida en 0.0.0.0/0.0.0.0
Establezca la puerta de enlace en la dirección IP proporcionada por su
ISP y la interfaz en la interfaz de Internet.

Crear una política para permitir el

tráfico desde la red interna a Internet
Para crear una nueva política, vaya a Política y objetos > Política
de IPv4 . Asigne un nombre a la política que indique que la política será
para el tráfico a Internet (en el ejemplo, Internet ).
Establezca la Interfaz entrante en lan y la Interfaz
saliente en wan1 . Establecer origen , dirección de
destino , horario y servicios.}
Asegúrese de que la acción esté configurada en ACEPTAR.
Active NAT y seleccione Usar dirección de interfaz salient
Desplácese hacia abajo para ver las Opciones de registro . Para ver los
resultados más adelante, habilite el Tráfico de registro permitido y
seleccione Todas las sesiones .

Resultados
Navega por Internet usando la PC en la red interna.
 Hacer un full factory reset
en un Fortigate

Comenzamos una nueva serie de publicaciones relacionadas a los

equipos de Fortinet, esta vez utilizando 2 equipos que estarán en HA, y
veremos configuraciones de todo tipo tratando de explicar como hacerlo
de la forma correcta y más simple posible. Mi idea, es mostrar como se
hace cada cosa paso a paso dado que las utilizo bastante, y sobre todo
explicarlo en español, dado que en este último tiempo los equipos
Fortigate han ganado mercado por sus funcionalidades, calidad y sobre
todo su relación costo beneficio que es ideal para pymes.

Hoy veremos como volver a fábrica los valores de un fortigate,

básicamente hay 2 comandos para ejecutar, pero previamente debemos
conectarnos por el clásico cable consola, que viene con el equipo.

Paso 1

Una vez por ssh con putty o hyperterminal, lanzamos:

# execute formatlogdisk

Una vez finalizado se hará solo, un reset y volveremos a la consola. Esto

elimina todo lo que es log y vuelve a hacer todo para que no quede
basura.
Paso 2

# execute factoryreset

Este comando volverá completamente a fábrica el equipo, y

posteriormente el usuario y clave por defecto para volver a ingresar son:

 Usuario: admin

 Clave: sin contraseña, lo dejamos en blanco y le damos enter.

Paso 3

Podemos configurar además un password para el usuario admin dado

que viene en blanco haciendo:

conf system admin

edit admin

set password XXXX

next

end
Recorda reemplazar XXXX por tu pass. Así que ahora estamos listos para
ingresar por medio del navegador con autenticación y seguir
configurando cosas.