Configurar VIP en FortiGate

En esta entrada vamos a tratar las VIPs (IPs Virtuales) en FortiGate para configurar el reenvío de puertos y así acceder a un equipo al que en un principio no tenemos acceso.

En este ejemplo, queremos acceder desde un PC a la IP 192.168.200.20, sin embargo, desde ese PC solo alcanzamos la IP del firewall 192.168.1.246:

Para configurar una VIP deberemos dirigirnos a la sección «Policy & Objects»>»Virtual IPs»:

Creamos una nueva indicando los siguientes campos:

  • External IP address: la IP a la que si llegamos desde nuestro PC
  • Map to: la IP de la máquina destino
  • External service port: puerto que alcanzamos desde nuestro PC
  • Map to IPv4 port: puerto que queremos alcanzar en la máquina destino

En este caso, queremos que cuando ataquemos a la IP 192.168.1.246 por el puerto 3389 (RDP) se reenvíe al mismo puerto pero a la máquina con IP 192.168.200.20 que anteriormente no alcanzábamos.

Nota: El puerto externo se podría modificar por cualquier otro, pero si quisiéramos llegar por RDP el «Map to IPv4 port» tendría que seguir teniendo el 3389.

Una vez creada la VIP toca aplicarla a la regla que nos permita acceder a dicho equipo, en este caso, el tráfico viene de la interfaz WAN y sale por la interfaz VLAN200:

En estos momentos ya deberíamos poder acceder al equipo Linux Mint por RDP:

Como se puede apreciar, el equipo se conecta sin problema:

Por último, podéis revisar los logs en el firewall para obtener mas detalle del acceso: