Roteando o tráfego entre duas sub-redes

7

Atualmente, administro uma rede pequena, ela possui dois sites separados (site1 site2). Cada site possui internet independente e um firewall Sonic NSA 220. Atualmente, existe uma VPN conectando os dois firewalls da Sonic, para que os sites possam se comunicar sem problemas.

Nosso ISP acabou de instalar um 'roteador' em cada site (ISP Router 1 & 2), por isso agora apresenta duas portas ... Porta da Internet (ISP-WAN) e uma porta entre sites (ISP-LAN). Isso é para que possamos eliminar a VPN e rotear o tráfego diretamente através da nuvem do ISP (ISP-LAN)

Estou querendo saber como configurar o roteamento de portas, para que eu possa dizer ao firewall para rotear o tráfego interno através dessa nova porta ISP-LAN.

Cada site possui um controlador de domínio (mesmo domínio) e um DHCP separado (os sites têm intervalos de IP diferentes).

Eu estava pensando em conectar a porta X6 em cada firewall à porta ISP-LAN, isso conectaria os dois sites (Linha Azul), mas não sabia como configurar as regras / roteamento. Tudo tem a porta Sonic WAN como gateway padrão. Eu não quero o tráfego DHCP etc transmitindo entre sites. insira a descrição da imagem aqui

Ansiosos por qualquer ajuda sobre este.

obrigado

Imagine isso
fonte

Respostas:

2

Você está correto, se você possui uma interface gratuita (por exemplo, X6) em cada roteador, conecte o ISP-LAN em cada site a essa interface. Não sei se os SonicWALLs suportam VRRP, mas não é necessário. O DHCP não cruzará sub-redes, a menos que você ative um Auxiliar de IP.

A conexão ISP-LAN substitui sua VPN, mas você precisará adicionar algumas rotas (que teriam sido implícitas ou criadas anteriormente devido à VPN). Suponho que o seu ISP irá se referir a isso como uma VPN gerenciada, uma MPLS ou uma rede VLAN.

No entanto, você precisará saber quais IPs / rede seu ISP atribuiu a cada ISP-LAN (onde você tem "???" na sua imagem).

Primeiro caso: se o seu provedor de serviços de Internet forneceu IPs em suas sub-redes em cada site (por exemplo, 10.10.1.254 no site 1 e 192.168.1.254 no site 2), você pode rotear por esses IPs. Atribua (ou deixe) o X6 na LAN (o mesmo que o X2 / X3 / etc). Então vá para Rede | Encaminhamento. Você precisará criar uma rota em cada site (ou poderá usar o RIP, mas não é necessário para 2 sites).

No site 1, sua rota será algo como:

Source: Any
Destination: Site2 Subnet (192.168.1.0 / 255.255.255.0)
Service: Any
Gateway: ISP-LAN IP (10.10.1.254)
Interface: LAN/X0  (since it's on the LAN)
Metric: 20 (should be fine)

Crie uma rota semelhante no site 2 (mas o destino da rede do site 1 usando o gateway da ISP-LAN no site 2 [192.168.1.254]). Eu fiz isso para clientes quando foi assim que o ISP configurou as coisas (IPs usados ​​na LAN local para fornecer acesso via "a nuvem").

Segundo caso: NO ENTANTO, se o ISP tiver usado uma sub-rede DIFERENTE para a conexão LAN do ISP (como 172.16.1.x ou algo assim), você precisará configurar o X6 para estar nessa sub-rede, não precisará do NAT. Eu também fiz isso para clientes (onde o ISP fornece uma 3ª sub-rede para ingressar em 2 sites) - nesse caso, o X6 estará nessa 3ª sub-rede e as rotas serão criadas automaticamente [apenas permita o acesso com regras de firewall].

Então, uma PERGUNTA para você: Qual é o IP / sub-rede do ISP-LAN em cada site? É como você tem na sua foto (os IPs X6 / ???) ou é outra coisa?

EDIT: (desde que não consigo adicionar um comentário)

Estou feliz que ajudou. Você teria o DHCP atravessando se o ISP configurasse o link como um link da Camada 2 (essencialmente uma VLAN) entre os 2 roteadores do ISP - o DHCP não cruzaria a Camada 3 sem assistência, mas passaria a Camada 2 (como em um switch). Agora que você adicionou uma sub-rede diferente ao link (sua sub-rede 10.0.0.1/30), você deve ficar bem (os roteadores não passarão o tráfego de difusão DHCP além da sub-rede).

Você pode configurar as rotas com probes para desativá-las se algo falhar. Se você converter sua VPN de uma VPN de política IPsec para uma VPN baseada em túnel (que usa rotas para a VPN), poderá fazer o failover, se desejar. MAS, como a VLAN do ISP e a VPN baseada na Internet estão executando o mesmo roteador, a chance de apenas UM falhar é pequena. (se você tivesse um ISP de backup diferente, seria uma boa ideia ter uma VPN de backup)

Quanto à questão da velocidade, eu verificaria se o BWM está ativado em qualquer um dos roteadores, que não contate o seu ISP.

PSaul
fonte
0

Não tenho muita certeza, mas acho que posso ajudar.

Portanto, se eu entendi corretamente, você deseja usar as linhas azuis (ISP-LAN) em vez das linhas vermelhas (VPN).

Você deve configurar os firewalls para que eles estejam no VRRP (protocolo de redundância de roteamento virtual) entre si. Em seguida, faça com que seu equipamento aponte para o IP virtual do VRRP, você também gostaria de entrar em contato com o ISP e também configurá-los para o gateway virtual.

Você provavelmente terá que configurar 2 grupos vrrp diferentes se quiser fazer o balanceamento de carga: digamos vrrp group1 e vrrp group2. Onde vrrp group1 é mestre para site1 e tem site2 como backup. e o vrrp group2 é mestre para o site2 e backup para o site1. Nesse caso, o balanceamento de carga pode ser feito.

Antes de usar a nova conexão, desligue a VPN.

para ler mais sobre isso, leia vrrp.

PraiaSamurai
fonte
0

Obrigado por sua ajuda com isso. Eu implementei o seguinte e está funcionando, pelo menos com as máquinas de teste que estou usando. Configurei praticamente o que acho que você descreveu @PSaul. Eu configurei a porta X6 em cada firewall para uma nova zona (Interoffice, Confiável) e dei a eles um IP estático, 10.0.0.1/30 e 10.0.0.2/30. Em seguida, configurei uma rota (como você descreveu @PSaul) em cada firewall que envia qualquer tráfego que vá para a outra sub-rede para o endereço IP do X6 no firewall do extremo oposto e o envio pela porta X6 local. O ISP havia definido o link entre escritórios (entre os dois roteadores como uma conexão de Camada 2, então estava enviando tudo. Descobri que estava recebendo tráfego DHCP pelas redes, por isso não tenho certeza do que tenho na rede que está ajudando a atravessar o sub-redes.

Ainda não desabilitei a VPN e acabei de configurá-lo para máquinas de teste com uma métrica muito baixa; portanto, eles estão usando esse link antes da VPN (eu gosto disso).

Ainda não enviei todo o tráfego pelo link, pois tenho uma coisa estranha, mas talvez uma pergunta diferente. Recebo um tráfego rápido e agradável em uma direção, mas o tráfego na direção oposta é cerca de 1/3 da velocidade de maneira consistente. Não parece exatamente como modelagem de tráfego, mas algo estranho está acontecendo.

Bem, eu aprendi mais, então isso é bom. Obrigado pela ajuda. Só preciso descobrir o problema com a velocidade em uma direção. insira a descrição da imagem aqui

Imagine isso
fonte
Por favor, considere aceitar esta resposta para que o sistema não bata perpetuamente a pergunta em busca de uma resposta melhor.
Mike Pennington