Enrutamiento de tráfico entre dos subredes

7

Actualmente administro una red pequeña, tiene dos sitios separados (sitio1 sitio2). Cada sitio tiene internet independiente y un cortafuegos Sonic NSA 220. Actualmente hay una VPN que conecta los dos cortafuegos de Sonic, por lo que los sitios pueden comunicarse sin problemas.

Nuestro ISP acaba de instalar un 'enrutador' en cada sitio (ISP Router 1 y 2), por lo que ahora presenta dos puertos ... Puerto de Internet (ISP-WAN) y un puerto entre sitios (ISP-LAN). Esto es para que podamos eliminar la VPN y enrutar el tráfico directamente a través de la nube ISP (ISP-LAN)

Quiero saber cómo configurar el enrutamiento de puertos, para poder decirle al firewall que enrute el tráfico interno a través de este nuevo puerto ISP-LAN.

Cada sitio tiene un DC (mismo dominio) y un DHCP separado (los sitios tienen diferentes rangos de IP).

Estaba pensando que podría conectar el puerto X6 en cada firewall al puerto ISP-LAN, esto conectaría los dos sitios (Blue Line), pero no estoy seguro de cómo configurar el enrutamiento / reglas. Todo tiene el puerto WAN de Sonic como su puerta de enlace predeterminada. No quiero que se transmita el tráfico DHCP, etc., entre sitios. ingrese la descripción de la imagen aquí

Esperamos cualquier ayuda en este caso.

Gracias

Imagina eso
fuente

Respuestas:

2

Tiene razón, si tiene una interfaz libre (por ejemplo, X6) en cada enrutador, conecte ISP-LAN en cada sitio a esa interfaz. No sé si SonicWALLs admite VRRP, pero no es necesario. DHCP no cruzará subredes a menos que habilite un IP Helper.

La conexión ISP-LAN reemplaza su VPN, pero deberá agregar algunas rutas (que habrían sido implícitas o creadas previamente debido a la VPN). Supongo que su ISP se referirá a esto tiene una VPN administrada, una red MPLS o VLAN.

Sin embargo, necesitará saber qué IP / red ha asignado su ISP a cada ISP-LAN (donde tiene "???" en su imagen).

Primer caso: SI su ISP le ha proporcionado IP en sus subredes en cada sitio (por ejemplo, 10.10.1.254 en el sitio 1 y 192.168.1.254 en el sitio 2), puede enrutar a través de estas IP. Asigne (o deje) X6 en la LAN (igual que X2 / X3 / etc). Luego ve a Red | Enrutamiento Deberá crear una ruta en cada sitio (o podría usar RIP, pero no es necesario para 2 sitios).

En el sitio 1, su ruta será algo así como:

Source: Any
Destination: Site2 Subnet (192.168.1.0 / 255.255.255.0)
Service: Any
Gateway: ISP-LAN IP (10.10.1.254)
Interface: LAN/X0  (since it's on the LAN)
Metric: 20 (should be fine)

Cree una ruta similar en el sitio 2 (pero el destino de la red del sitio 1 utilizando la puerta de enlace de ISP-LAN en el sitio 2 [192.168.1.254]). He hecho esto para los clientes cuando así es como el ISP ha configurado las cosas (usó IP en la LAN local para proporcionar acceso a través de "la nube").

Segundo caso: SIN EMBARGO, si el ISP ha utilizado una subred DIFERENTE para la conexión ISP-LAN (como 172.16.1.xo algo así), deberá configurar X6 para estar en esa subred, no necesitará NAT. También hice esto para clientes (donde el ISP proporciona una tercera subred para unirse a 2 sitios); en este caso, X6 estará en esa tercera subred y las rutas se crearán automáticamente [solo permita el acceso con reglas de firewall].

Entonces, una PREGUNTA para usted: ¿Cuál es la IP / subred de la ISP-LAN en cada sitio? ¿Es como lo tiene en su imagen (las IP X6 / ???) o es algo más?

EDITAR: (ya que no puedo agregar un comentario)

Me alegro de que eso haya ayudado. Tendría que atravesar DHCP si el ISP configurara el enlace como un enlace de Capa 2 (esencialmente una VLAN) entre los 2 enrutadores de ISP: DHCP no cruzaría la Capa 3 sin ayuda, pero sí la Capa 2 (como en un conmutador). Ahora que ha agregado una subred diferente al enlace (su subred 10.0.0.1/30) debería estar bien (los enrutadores no pasarán el tráfico de difusión DHCP más allá de la subred).

Puede configurar las rutas con las sondas para que se desactiven si algo falla, si convierte su VPN de una VPN de política IPsec a una VPN basada en túnel (que usa rutas para la VPN) puede hacer que falle si lo desea. PERO dado que la VLAN del ISP y la VPN basada en Internet se ejecutan a través del mismo enrutador del ISP, la posibilidad de que UN solo error sea escasa. (si tuviera un ISP de respaldo diferente, entonces sería una buena idea tener una VPN de respaldo)

En cuanto al problema de la velocidad, comprobaría si tiene BWM habilitado en cualquiera de los enrutadores, aparte de eso, póngase en contacto con su ISP.

PSaul
fuente
0

No estoy muy seguro, pero creo que puedo ayudar.

Entonces, si entiendo correctamente, desea usar las líneas azules (ISP-LAN) en lugar de las líneas rojas (VPN).

Debe configurar los firewalls para que estén en VRRP (protocolo de redundancia de enrutamiento virtual) entre sí. Luego, haga que su equipo apunte a la IP virtual del VRRP, también querrá contactar al ISP y que también configuren su punto de enrutador a la puerta de enlace virtual.

Probablemente tendrá que configurar 2 grupos vrrp diferentes si desea hacer un equilibrio de carga: digamos vrrp group1 y vrrp group2. Donde vrrp group1 es maestro para site1 y tiene site2 como respaldo. y vrrp group2 es maestro para el sitio2 y copia de seguridad para el sitio1. En este caso se puede hacer el equilibrio de carga.

Antes de usar la nueva conexión, apague el vpn.

Para leer más sobre esto, lea vrrp.

PlayaSamurai
fuente
0

Gracias por ayudarme con esto. He implementado lo siguiente, y está funcionando, al menos con las máquinas de prueba que estoy usando. He configurado más o menos lo que creo que describiste @PSaul. He configurado el puerto X6 en cada firewall en una nueva zona (Interoffice, Trusted) y les he dado una IP estática, 10.0.0.1/30 y 10.0.0.2/30. Luego configuré una ruta (como describió @PSaul) en cada firewall que envía el tráfico que va a la otra subred a la dirección IP X6 en el firewall del extremo más alejado, y lo envío a través del puerto X6 local. El ISP había establecido el enlace entre oficinas (entre sus dos enrutadores como una conexión de Capa 2, por lo que estaba enviando todo a través. Descubrí que estaba recibiendo tráfico DHCP a través de las redes, así que no estoy seguro de lo que tengo en la red que lo ayuda a atravesar el subredes

Todavía no he desactivado la VPN, y acabo de configurar esto para máquinas de prueba con una métrica muy baja, por lo que están usando este enlace antes de la VPN (me gusta).

Todavía no he enviado todo el tráfico a través del enlace, ya que tengo una cosa extraña, pero tal vez una pregunta diferente. Obtengo un buen tráfico rápido en una dirección, pero el tráfico en la dirección opuesta es aproximadamente 1/3 de la velocidad de manera bastante consistente. No se parece a la conformación del tráfico, pero sucede algo extraño.

Bueno, aprendí más, así que eso es bueno. Gracias por tu ayuda. Solo necesito resolver el problema con la velocidad en una dirección. ingrese la descripción de la imagen aquí

Imagina eso
fuente
Considere aceptar esta respuesta para que el sistema no perpetúe la pregunta en busca de una mejor respuesta.
Mike Pennington