Configuración de Fortigate & Sonos

Uno de mis clientes recientemente me pidió que le configurará su FortiWiFi 60CM con las siguientes características:

2 SSID:
* Red Privada (wifi)
* Red de Invitados (guest)

Internal
* Red Privada

La parte del SSID de Invitados fue sencillo, le asignamos un segmento de Red diferente al esquema de la Red Privada y en cuanto a políticas solo le dimos acceso a Internet.

Para el SSID de la Red Privada, debido a la forma de trabajo del FortiWiFi, asignamos un segmento de Red distinto al asignado en la Red Internal, es decir:

SSID: WIFI – 10.1.2.0/24

Internal: 10.1.1.0/24

Enseguida aplicamos políticas para permitir tráfico del Wifi a la LAN y viceversa. Todo parecía OK, pero… al probar mi cliente su sistema de audio Sonos ubicado en la LAN y el conectado a través de la Wifi, no pudo conectarse y/o encontrarlo para poder manipularlo.

Para corregirlo, revisamos que este activado el reenvío multicast en el FortiWiFi, para esto entramos a “config system settings” y ejecutamos “get” para obtener los valores asignados al sistema, debemos encontrar algo similar a:

multicast-forward: enable

Nota: Cabe mencionar que esta opción esta desde la versión 5.x, versiones anteriores no tienen esta opción.

Una vez que verificamos que se tiene la opción habilitada, procedemos a crear políticas multicast. En nuestro caso decidimos poner una política tipo All – All entre la Red Privada en Wifi y la Red Privada en Internal:

config firewall multicast-policy
edit 0
set srcintf "wifi"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
next
end
config firewall multicast-policy
edit 0
set srcintf "internal"
set dstintf "wifi"
set srcaddr "all"
set dstaddr "all"
next
end

Al asignar esta configuración, inmediatamente el cliente de Sonos se pudo comunicar con el dispositivo y así todas las funciones necesarias.

Aquí les dejo un comando que puede ayudar a depurar tráfico multicast y broadcast en los Fortigate:

diag sniffer packet wifi 'broadcast or multicast' 4

Gracias

Alejandro M.

Ingeniero Mexicano especialista en Seguridad Informática. Conocimientos en Cisco con la certificación Cisco Certified Network Professional - Security, Fortinet con ahora NSE-4, Certified Ethical Hacker. Trabajo con sistema operativos Linux para servidores de servicios web, dns, balanceo de carga, etc... Fanático de los MMORPG

Leave a comment

Your email address will not be published. Required fields are marked *