Configuración Hair-pinning de equipos Fortigate

Home / Configuración Hair-pinning de equipos Fortigate
  1. Topologíaconfiguracion hair pinning 1 
    • En este manual aprenderemos sobre Hair-pinning, también conocido como NAT loopback, es la técnica donde una máquina accede a otra máquina en la LAN a través de una red externa. La forma en que funciona, es que un paquete viaja a través de una interfaz interna y hacia Internet. Luego, el paquete «hair – pins » vuelve a la misma interfaz y se conecta a su IP externa. Luego es enviado por el equipo Fortigate a través de una dirección IP virtual al destino deseado. 
    • Como una conveniencia, si se usa un VIP simultáneamente con hair-pinning, se puede usar la misma dirección ya sea que esté dentro o fuera del firewall. Un VIP, también conocido como reenvío de puertos, está configurado para permitir que los usuarios externos accedan a un servidor interno. El VIP tomará el tráfico enviado a una dirección IP pública y lo reenviará a una dirección IP interna, como la IP privada del servidor.
    • El siguiente escenario de hair-pinning utiliza la situación en la que el VIP está asociado a «any» interfaz.
    • Escenario:
      • Una empresa tiene un servidor en su LAN interna en la dirección IP 192.168.1.98/24.
      • El nombre de dominio completo para el sitio web es test1.fortidoc.info, que se resuelve en 172.20.121.41.
      • SSH se ejecuta en el servidor y se usará para fines de prueba. El servidor escucha el tráfico SSH en el puerto 22, pero debido a que hay varios servidores que usan SSH y solo algunas direcciones IP externas; el reenvío de puertos se configurará desde el puerto 12345.
      • Al ver que las palabras son más fáciles de recordar que los números, la mayoría de las personas marcan esta conexión en lugar de tratar de recordarla. Para evitar confusiones, se le ha pedido al departamento de TI que se asegure de que el mismo marcador funcione si la computadora del usuario está conectada a la LAN interna o en cualquier lugar de Internet.
      • Como prueba, los paquetes intentarán conectarse al servidor desde una IP en la misma subred , 172.20.121.41.
  2. Creando VIP
    • Paso 1. Antes de crear una política para hair – pinning, asegúrese de que exista una política que administre el tráfico desde el exterior al interno a través del VIP.Vamos a Policy & Objects > Virtual IPs > Create New > Virtual IP. Ingrese un nombre para el VIP en el cuadro de nombre. En interfaz seleccionar any. Introduzca la External IP Address / Rango y la dirección IP / rango correlacionados. Habilite el reenvío de puertos y especifique el puerto de servicio externo y el mapa en el puerto.configuracion hair pinning 2
    • Paso 2.  Verificamos si hay algún problema, probamos la conexión externa conectando al servidor externo a través de IP y VIP externos desde una computadora en el lado externo del firewall. La conexión es exitosa.configuracion hair pinning 3
    • Paso 3. Probamos la conexión internamente, intentamos conectarnos al servidor interno a través de IP y VIP desde una computadora en el lado interno del firewall. La conexión no tuvo éxito. configuracion hair pinning 4
  3. Creando una Política
    • Paso 4. Creamos una política es importante usar la interfaz interna como la Incoming Interface, a pesar de que el tráfico golpeará la interfaz externa del VIP. En este caso, la Incoming Interface y la Outgoing Interface serán la misma interfaz. Vamos a Policy & Objects > IPv4 Policy > Create New. Ingrese un nombre para la política en el cuadro de nombre. Use la configuración que se muestra en el gráfico para crear la política. Asegúrese de que NAT esté deshabilitado.configuracion hair pinning 5
    • Paso 5. EN CLI, habilitamos la configuración de match-vip. configuracion hair pinning 6
  4. Resultados
    • Probando la conexión internamente, intentamos establecer una conexión SSH con el servidor interno desde el lado interno de FortiGate. Aquí se puede ver la tecninca hair – pinning que fue exitosa.configuracion hair pinning 7configuracion hair pinning 8

Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en Contactarnos.

Dejar un comentario