Ponto a ponto LAN usando duas paredes sonoras em locais separados

7

Temos uma empresa de dois locais com sede em Arlington e um escritório remoto em Dallas. Atualmente, os nossos dois escritórios estão executando um sonicwall NSA 2600 e mantêm um túnel VPN entre si (usando os sonicwalls). Recentemente, adquirimos uma conexão ponto a ponto de nosso ISP entre os dois locais. Essencialmente, cada modem possui uma porta que é um link direto para o outro com um canal dedicado de 100mb.

Estou querendo substituir o túnel VPN pelo que suponho que seria uma interface LAN adicional em cada parede sonora apontando para a outra sub-rede de redes. Arlington: 10.74.1.1/24 Dallas: 10.74.2.1/24

Aqui está um exemplo:

               +-----------+ X0 ---- LAN 10.74.1.1/24
               |           |
WAN_IP ---- X1 | SonicWall |
               | Arlington |
               +-----------+ X2 -------- X2  +-----------+ X0 ---- 10.74.2.1/24
                                    ^        |           |
                                    |        | Sonicwall | X1 ---- WAN_IP
                                    |        |  Dallas   |
                                    |        +-----------+
                                    |
                           This X2 would traverse
                           the point-to-point connection
                           between each of my ISP's modems 

Minha pergunta seria: como configurar cada interface X2? Meu pensamento seria, por exemplo:

Configurando a interface X2 na parede sonic de Arlington como: LAN, endereço 10.74.2.1, máscara 255.255.255.0. E configurando a interface X2 no Dallas sonicwall como: LAN, endereço 10.74.1.1, máscara 255.255.255.0. Além disso, posso testar as interfaces de rede local configuradas dessa maneira ENQUANTO o túnel da VPN ainda está ativo? Ou isso causaria alguns problemas com o roteamento entre as duas redes?

Precisamos que essas redes se comuniquem da mesma maneira que no túnel da VPN no momento.

Qualquer conselho seria apreciado!

Eme
fonte
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

1

Isso não funcionará, porque ambos 10.74.1.0/24 e 10.74.2.0/24 estão em uso. Além disso, uma conexão PtP requer um prefixo mútuo.

Use um intervalo de IP diferente e um menor. Coloque 10.75.0.1/30 (255.255.255.252) no Arlington X2 e 10.75.0.2/30 (255.255.255.252) no Dallas X2.

Em Arlington, adicione uma rota: 10.74.2.0/24 -> 10.75.0.2 e em Dallas: 10.74.1.0/24 -> 10.75.0.1.

Eu nunca usei um SonicWall antes, então não sei se a VPN terá precedência sobre as rotas recém-instaladas ou não. Como eu testaria isso é pegar um único IP da LAN de cada lado e direcioná-los pelo novo PtP.

Portanto, em um laptop definido como 10.74.2.10 de um lado e 10.74.1.10 do outro, em Arlington, rota 10.74.2.10/32 -> 10.75.0.2 e, em Dallas, rota 10.74.1.10 -> 10.75.0.1. Novamente, não sei se os Sonicwalls desviarão da criptografia para direcioná-los pelo ptp, mas pode valer a pena tentar. Você também pode configurar um novo prefixo temporário em cada lado e encaminhá-lo antes de entrar no ar.

Por fim, após o EOB, configure as rotas, veja o que acontece, desative a VPN e veja o que acontece. Se funcionar, você está pronto. Caso contrário, você tem uma lista ordenada documentada do que foi feito. Volte até que o status-quo original volte a funcionar e siga a partir daí.

stevieb
fonte
1

Se você não gerenciar seus dispositivos de roteamento diretamente, precisará classificar isso com seu ISP e configurar roteamento e interfaces adicionais, não apenas no Sonicwalls, mas também nos roteadores.

Defina mais duas redes:

172.16.100.0/30 de Dallas para Arlington 172.16.101.0/30 de Arlington para Dallas Atribuir:

Dallas X2: 172.16.100.1/30 Dallas Router Fe (0/1): 172.16.100.2/30 Arlington X2: 172.16.101.1/30 Arlington Router Fe (0/1): 172.16.101.2/30

No seu Dallas Router: rota 10.74.2.0/24 gateway 172.16.100.1 (tráfego de A. para D. roteado para Sonicwall) rota 10.74.1.0/24 gateway seu MPLS

No gateway da rota 10.74.1.0/24 de Arlington, 172.16.101.1 (tráfego de D. para A. roteado para Sonicwall), na rota 10.74.2.0/24, gateway do MPLS

No sonicwall, você também precisa desativar o NAT de destino.

Como sempre, backup, backup, backup! :)

RobertoP
fonte
1

Como outros já disseram, você não pode usar IPs que já estão em uso. Você deve usar uma sub-rede separada pela qual possa rotear (para a outra rede).

Eu sugeriria usar algo maior que um bloco / 30 (caso você adicione locais adicionais) - um / 29 permitiria a expansão para 6 locais, por exemplo.

Eu usaria algo separado das suas redes existentes (para que se destaque), mas não adjacente (no caso de você expandir). Eu sugeriria algo como 10.99.9.0/29 .

Para poder testar, você deve primeiro converter sua VPN existente em VPN baseada em túnel: https://support.software.dell.com/kb/sw7902 OU: https://support.software.dell.com/ kb / sw11606

Isso tem a vantagem de poder fazer rotas de teste com mais facilidade do que as VPNs IPsec baseadas em políticas. Faça isso durante um período de inatividade, pois a VPN ficará inativa enquanto você alterna para uma interface de túnel na VPN e cria as rotas.

Em seguida, configure o X2 em cada roteador com 1 IP do seu intervalo ponto a ponto:

Arlington X2 = 10.99.9.1 /29
Dallas X2 = 10.99.9.2 /29

Ambos na zona da LAN, ambos no modo IP estático. Conecte o X2 às interfaces PtP do dispositivo do seu ISP (por exemplo, o MPLS). Isso pressupõe que o link é apenas um link da Camada 2, e nenhum roteamento está sendo feito pelo ISP.

Você deve poder usar os comandos Diagnostic Ping (ou CLI ping) de cada roteador para executar ping na interface X2 do outro roteador (por exemplo, o Arlington deve executar o ping 10.99.9.2.

Se tudo estiver funcionando, você poderá criar uma política de roteamento para testar: no roteador Arlington:

Source: Some 10.74.1.x test IP in Arlington
Destination: Some 10.74.2.x test IP in Dallas
Service: Any
Gateway: 10.99.9.2 (Dallas' X2 IP -- the other side)
Interface: X2 (the interface Arlington needs to use)
Metric: make lower than whatever you used for your Tunnel VPN metric.

Faça uma rota semelhante no roteador Dallas (mas troque todos os IPs; portanto, de um IP Dallas para o IP Arlington, o Gateway será 10.99.9.1 dessa vez).

Sugiro usar algo como o LAN Speed ​​Test (mesmo a versão gratuita): http://www.totusoft.com/lanspeed.html

Para testar a velocidade de / para suas máquinas de teste pela VPN primeiro e depois novamente após inserir as rotas. Você deve ver uma diferença de velocidade à medida que o tráfego passa pelo MPLS.

Se isso funcionar, altere as rotas para que: Source seja: Any E o destino seja: A rede do outro lado (em vez de apenas um IP) - então, a partir de Arlington, o destino seria: 10.74.2.0/24. Métrica: ainda mais baixa que a rota do túnel da VPN.

Todo o tráfego passará pelo MPLS para todos. Isso pode ser feito na hora do almoço, pois a interrupção é muito mínima.

Desde que as Zonas para X2 sejam iguais às suas redes X0, nenhuma regra de firewall será necessária se você tiver o Interface Trust ativado para a zona da LAN. Não acredito que você precisará fazer alterações no NAT, pois tudo será roteado (com relação às redes internas).

Em seguida, você pode desativar a VPN ou deixá-la e configurar os probes nas rotas, para que as rotas do MPLS sejam desativadas se o probe falhar (permitindo que ele volte à VPN. Menos útil se for o mesmo ISP nos dois casos. ..)

E sim: faça backup de suas configurações PRIMEIRO e depois depois :)

PSaul
fonte