📌 Información del firewall principal FortiGate, políticas de seguridad, rutas, NAT, VPNs y la conectividad con los sites remotos del municipio a través de MPLS y enlaces de radio multipunto.
⬅ Volver al Índice del Cliente · 🌐 Red · 💾 Backups
⚠️ Nota: Nunca coloques credenciales aquí. Para contraseñas, usar Vaultwarden/Bitwarden.
| Parámetro | Detalle |
|---|---|
| Modelo | FortiGate 101F |
| Ubicación | HQ – Alcaldía |
| Modo | NAT/Route |
| Admin | GUI/CLI desde 10.10.10.0/24 |
| Licencias | UTM, IPS, Web Filter, Application Control, SSL Basic |
| Interfaz | ISP | Dirección | Rol | Notas |
|---|---|---|---|---|
| wan2 | PRITS | 64.185.208.33 | Primaria | Salida principal |
| wan1 | Liberty/AT&T | 208.54.183.29 | Secundaria | Failover automático |
| virtual-wan-link | SD-WAN | N/A | Balanceo | Health-check y SLA DoradoSLA |
SLA DoradoSLA mide:
208.67.220.220 (DNS OpenDNS) – latencia, jitter y packet loss.
| VLAN | Nombre | Subred | Gateway | Descripción |
|---|---|---|---|---|
| 10 | Servers | 10.10.10.0/24 | 10.10.10.1 | Datacenter HQ |
| 20 | Users | 192.168.10.0/24 | 192.168.10.1 | Usuarios HQ |
| 30 | Voice | 192.168.30.0/24 | 192.168.30.1 | Telefonía municipal |
| 230 | Printers | 10.200.230.0/24 | 10.200.230.1 | Impresoras HQ |
Extendida – Remodelación:
VLAN 20 y 30 extendidas por antena (switch tronqueado).
Cada puerto del FortiGate 101F gestiona un conjunto de antenas.
El diseño se reorganizó en subredes dedicadas por puerto, para administración clara y evitar conflictos.
| Puerto | Nombre | Tipo | Subred | IP FortiGate | Uso |
|---|---|---|---|---|---|
| port1 | Antena-1 MP1 | Multipunto | 10.100.200.0/24 | 10.100.200.1 | MP1 original + radios principales |
| port2 | Antena-2 MP2 | Multipunto | 10.100.201.0/24 | 10.100.201.1 | Nuevo MP2 + sites 220/221 |
| port3 | Antena-3 PtP | Punto a punto | 10.100.202.0/24 | 10.100.202.1 | Dos enlaces PtP independientes |
| port4 | Antena-4 PtP | Punto a punto | 10.100.203.0/24 | 10.100.203.1 | Dos enlaces PtP independientes |
Notas:
• Todas las antenas deben migrarse a su subred correspondiente.
• El IP del FortiGate actúa como gateway de gestión.
• No se utiliza VLAN tagging para antenas — diseño simple y robusto.
Cada site remoto sigue el mismo estándar:
• 10.200.X.X → Data
• 10.201.X.X → Voice
• Gateway MPLS → 10.200.99.200
• Gateway RF → 10.250.1.1
| Site | VLAN Data | VLAN Voice | MPLS IP (FGT) | RF /29 | Gateways |
|---|---|---|---|---|---|
| Escuela Amiga | 10.200.31.0/24 | 10.201.31.0/24 | 10.200.99.x | 10.250.1.x | MPLS 10.200.99.200 / RF 10.250.1.1 |
| HeadStart | 10.200.41.0/24 | 10.201.41.0/24 | 10.200.99.x | 10.250.1.x | Igual |
| Policía | 10.200.51.0/24 | 10.201.51.0/24 | 10.200.99.x | 10.250.1.x | Igual |
| Juan Boria | 10.200.81.0/24 | 10.201.81.0/24 | 10.200.99.x | 10.250.1.x | Igual |
| Casa del Artesano | 10.200.101.0/24 | 10.201.101.0/24 | 10.200.99.x | 10.250.1.5 | Igual |
| Site | IP FGT | Data | Voice | RF /29 | Gateway |
|---|---|---|---|---|---|
| MP2 Central | 10.250.2.1 | — | — | /29 | — |
| Site 10.250.2.2 | 10.250.2.2 | 10.200.220.0/24 | 10.201.220.0/24 | /29 | 10.250.2.1 |
| Site 10.250.2.3 | 10.250.2.3 | 10.200.221.0/24 | 10.201.221.0/24 | /29 | 10.250.2.1 |
| Subred | Puerto | Radios Locales | Radios Remotas | Uso |
|---|---|---|---|---|
| 10.100.200.0/24 | port1 | .2–.30 | CPE MP1 | Administración MP1 |
| 10.100.201.0/24 | port2 | .2 | Sites 220/221 | MP2 completo |
| 10.100.202.0/24 | port3 | .2/.3 | PtP remotos | Dos enlaces PtP |
| 10.100.203.0/24 | port4 | .2/.3 | PtP remotos | Dos enlaces PtP |
• Área backbone 0.0.0.0
• MPLS = broadcast/non-broadcast según proveedor
• RF = non-broadcast, vecinos configurados manualmente
• Prioridades ajustadas según preferencia (MPLS o RF)
Comandos útiles:
get router info ospf neighbor
get router info routing-table all
diagnose router ospf status
Miembros:
• PRITS – Primario
• Liberty – Secundario
SLA DoradoSLA monitorea latencia, jitter y pérdida de paquetes.
Regla principal:
Todo tráfico de Internet sale por virtual-wan-link.
Perfil: Dorado-IPS-New
Incluye:
• Bloqueo de severidad High/Critical
• Bloqueo de ataques Windows/Linux Medium+
• Botnet Connections → Block
• Malicious URL → Block
Perfil principal: Internet-Basico / MUNDORADO
Características:
• HTTP/SMTP/POP3/IMAP = Block
• External Blocklist → Enabled
• Outbreak scan → Disabled
Perfil principal: Internet-Basico
Incluye:
• SafeSearch forzado
• Bloqueo de categorías de alto riesgo
• Overrides permitidos solo para SSL-Group
Perfil: Dorado-AppCtrl-Standard
Categorías bloqueadas:
• Proxy Avoidance (8)
• P2P (17)
• C2/Malware (26)
• Botnet (29)
Permitidas con log:
• Social Media (2)
• Printing (14)
• Remote Access Tools (9)
Nombre: Admin-Antenas
srcintf: Data-Alcaldia
dstintf: TRANSPORT-RF (o portX correspondiente)
srcaddr: all
dstaddr: Dorado-Antenas
Servicios: PING, HTTP, HTTPS, SSH
NAT: No
Log: Yes
Pendiente completar:
• Ubicación de backups
• Procedimiento para restauración rápida
• Historial de versiones
• Hash opcional
execute router clear ospf process
get router info ospf neighbor
diagnose sys virtual-wan-link health-check
get router info routing-table all
Ping típicos:
10.100.X.1 → FortiGate
10.100.X.2–.50 → Radios
get system interface
get system arp
diagnose debug application ike -1
get router info ospf interface