Configuración de Fortigate & Sonos

Uno de mis clientes recientemente me pidió que le configurará su FortiWiFi 60CM con las siguientes características:

2 SSID:
* Red Privada (wifi)
* Red de Invitados (guest)

Internal
* Red Privada

La parte del SSID de Invitados fue sencillo, le asignamos un segmento de Red diferente al esquema de la Red Privada y en cuanto a políticas solo le dimos acceso a Internet.

Para el SSID de la Red Privada, debido a la forma de trabajo del FortiWiFi, asignamos un segmento de Red distinto al asignado en la Red Internal, es decir:

SSID: WIFI – 10.1.2.0/24

Internal: 10.1.1.0/24

Enseguida aplicamos políticas para permitir tráfico del Wifi a la LAN y viceversa. Todo parecía OK, pero… al probar mi cliente su sistema de audio Sonos ubicado en la LAN y el conectado a través de la Wifi, no pudo conectarse y/o encontrarlo para poder manipularlo.

Para corregirlo, revisamos que este activado el reenvío multicast en el FortiWiFi, para esto entramos a “config system settings” y ejecutamos “get” para obtener los valores asignados al sistema, debemos encontrar algo similar a:

multicast-forward: enable

Nota: Cabe mencionar que esta opción esta desde la versión 5.x, versiones anteriores no tienen esta opción.

Una vez que verificamos que se tiene la opción habilitada, procedemos a crear políticas multicast. En nuestro caso decidimos poner una política tipo All – All entre la Red Privada en Wifi y la Red Privada en Internal:

config firewall multicast-policy
edit 0
set srcintf "wifi"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
next
end
config firewall multicast-policy
edit 0
set srcintf "internal"
set dstintf "wifi"
set srcaddr "all"
set dstaddr "all"
next
end

Al asignar esta configuración, inmediatamente el cliente de Sonos se pudo comunicar con el dispositivo y así todas las funciones necesarias.

Aquí les dejo un comando que puede ayudar a depurar tráfico multicast y broadcast en los Fortigate:

diag sniffer packet wifi 'broadcast or multicast' 4

Gracias

Leave a Reply

Your email address will not be published. Required fields are marked *