Tenemos un negocio de dos ubicaciones con nuestras oficinas centrales en Arlington y una oficina remota en Dallas. Actualmente, nuestras dos oficinas están ejecutando un sonicwall NSA 2600 y mantienen un túnel VPN entre sí (utilizando los sonicwalls). Recientemente compramos una conexión punto a punto de nuestro ISP entre las dos ubicaciones. Esencialmente, cada módem tiene un puerto que es un enlace directo al otro con una tubería dedicada de 100mb.
Quiero reemplazar el túnel VPN con lo que supongo que sería una interfaz LAN adicional en cada sonicwall que apunta hacia la subred de otras redes. Arlington: 10.74.1.1/24 Dallas: 10.74.2.1/24
Aquí hay un ejemplo:
+-----------+ X0 ---- LAN 10.74.1.1/24
| |
WAN_IP ---- X1 | SonicWall |
| Arlington |
+-----------+ X2 -------- X2 +-----------+ X0 ---- 10.74.2.1/24
^ | |
| | Sonicwall | X1 ---- WAN_IP
| | Dallas |
| +-----------+
|
This X2 would traverse
the point-to-point connection
between each of my ISP's modems
Mi pregunta sería, ¿cómo configuro cada interfaz X2? Mi pensamiento sería por ejemplo:
Configuración de la interfaz X2 en el sonicwall de Arlington como: LAN, dirección de 10.74.2.1, máscara de 255.255.255.0. Y configurar la interfaz X2 en el sonicwall de Dallas como: LAN, dirección de 10.74.1.1, máscara de 255.255.255.0. Además, ¿puedo probar las interfaces LAN configuradas de esta manera MIENTRAS el túnel VPN todavía está vivo? ¿O eso causaría algunos problemas con el enrutamiento entre las dos redes?
Necesitamos que estas redes se comuniquen de la misma manera que en el túnel VPN en este momento.
Cualquier consejo sería apreciado!
Respuestas:
Eso no funcionará, ya que ambos 10.74.1.0/24 y 10.74.2.0/24 están en uso. No solo eso, una conexión PtP requiere un prefijo mutuo.
Use un rango de IP diferente y uno más pequeño. Ponga 10.75.0.1/30 (255.255.255.252) en Arlington X2 y 10.75.0.2/30 (255.255.255.252) en Dallas X2.
Luego, en Arlington, agregue una ruta: 10.74.2.0/24 -> 10.75.0.2 y en Dallas: 10.74.1.0/24 -> 10.75.0.1.
Nunca he usado un SonicWall antes, así que no sé si la VPN tendrá prioridad sobre las rutas recién instaladas o no. Cómo probaría esto es tomar una sola IP de la LAN de cada lado y enrutarlas sobre el nuevo PtP.
Entonces, en una computadora portátil configurada como 10.74.2.10 en un lado, y 10.74.1.10 en el otro, en Arlington, ruta 10.74.2.10/32 -> 10.75.0.2 y en Dallas, ruta 10.74.1.10 -> 10.75.0.1. Nuevamente, no sé si Sonicwalls omitirá la criptografía para enrutarlos a través del ptp, pero podría valer la pena intentarlo. También puede configurar un nuevo prefijo temporal a cada lado y enrutarlo antes de ponerlo en funcionamiento.
Por último, después de EOB, configure las rutas, vea qué sucede, desactive la VPN y vea qué sucede. Si funciona, ya está. Si no, tiene una lista ordenada documentada de lo que se hizo. Retroceda hasta que vuelva a funcionar el statu quo original, y vaya desde allí.
fuente
Si no administra sus dispositivos de enrutamiento directamente, debe ordenar esto con su ISP y configurar enrutamiento e interfaces adicionales no solo en sus Sonicwalls sino también en los enrutadores.
Defina dos redes más:
172.16.100.0/30 Dallas-a-Arlington 172.16.101.0/30 Arlington-a-Dallas Asignar:
Dallas X2: 172.16.100.1/30 Dallas Router Fe (0/1): 172.16.100.2/30 Arlington X2: 172.16.101.1/30 Arlington Router Fe (0/1): 172.16.101.2/30
En su enrutador Dallas: ruta 10.74.2.0/24 gateway 172.16.100.1 (tráfico de A. a D. enrutado a Sonicwall) ruta 10.74.1.0/24 gateway su MPLS
En Arlington ruta 10.74.1.0/24 gateway 172.16.101.1 (tráfico de D. a A. enrutado a Sonicwall) ruta 10.74.2.0/24 gateway su MPLS
En sonicwall también necesita deshabilitar NAT de destino.
Como siempre, copia de seguridad, copia de seguridad, copia de seguridad! :)
fuente
Como otros han dicho, no puede usar IP que ya están en uso. Debe usar una subred separada a través de la cual pueda enrutar (a la otra red).
Sugeriría usar algo más grande que un bloque / 30 (en caso de que alguna vez agregue ubicaciones adicionales): un / 29 le permitiría expandirse a 6 ubicaciones, por ejemplo.
Usaría algo separado de sus redes existentes (por lo que se destaca) pero no adyacente (en caso de que se expanda). Sugeriría algo como 10.99.9.0/29 .
Si desea poder probar, primero debe convertir su VPN existente a VPN basadas en túnel: https://support.software.dell.com/kb/sw7902 O: https://support.software.dell.com/ kb / sw11606
Esto tiene la ventaja de que puede hacer rutas más fácilmente para probar que las VPN IPsec basadas en políticas. Haga esto durante un período de inactividad ya que la VPN estará inactiva mientras cambia a una interfaz de túnel en la VPN y luego crea las rutas.
Luego configure X2 en cada enrutador con 1 IP de su rango punto a punto:
Ambos en la zona LAN, ambos en modo IP estático. Conecte X2 a las interfaces PtP del dispositivo de su ISP (por ejemplo, el MPLS). Esto supone que el enlace es solo un enlace de Capa 2, el ISP no está realizando ningún enrutamiento.
Debería poder utilizar los comandos de diagnóstico de ping (o ping de CLI) de cada enrutador para hacer ping a la interfaz X2 del otro enrutador (por ejemplo, Arlington debería poder hacer ping a 10.99.9.2.
Si las cosas funcionan, puede crear una política de Enrutamiento para probar: Entonces, en el enrutador Arlington:
Haga una ruta similar en el enrutador Dallas (pero cambie todas las IP, por lo que desde una IP de Dallas a la Arlington IP, la puerta de enlace será 10.99.9.1 esta vez).
Sugeriría usar algo como LAN Speed Test (incluso la versión gratuita): http://www.totusoft.com/lanspeed.html
Para probar la velocidad hacia / desde sus máquinas de prueba a través de la VPN primero y luego nuevamente después de colocar las rutas. Debería ver una diferencia de velocidad a medida que el tráfico pasa por el MPLS.
Si eso funciona, cambie las rutas para que: El origen sea: Cualquiera y el Destino sea: La red en el otro lado (en lugar de solo una IP), por lo que desde Arlington el Destino sería: 10.74.2.0/24. Métrica: aún más baja que la ruta del túnel VPN.
Todo el tráfico pasará por el MPLS para todos. Esto se puede hacer a la hora del almuerzo ya que la interrupción es muy mínima.
Siempre que las Zonas para X2 sean las mismas que sus redes X0, no se necesitarán reglas de Firewall si tiene Interface Trust habilitada para la Zona LAN. No creo que deba realizar ningún cambio en NAT, ya que todo se enrutará (con respecto a las redes internas).
Luego, puede deshabilitar la VPN, o dejarla y configurar las sondas en las rutas, de modo que las rutas de MPLS se deshabiliten si la sonda falla (permitiendo que recurra a la VPN. Menos útil si es el mismo ISP en ambos casos. ..)
Y sí: haga una copia de seguridad de sus configuraciones PRIMERO, y nuevamente después :)
fuente