Weiterleiten des Datenverkehrs zwischen zwei Subnetzen

7

Ich verwalte derzeit ein kleines Netzwerk, es hat zwei separate Sites (Site1 Site2). Jede Site verfügt über ein unabhängiges Internet und eine Sonic NSA 220-Firewall. Derzeit besteht ein VPN, das die beiden Sonic-Firewalls verbindet, sodass die Standorte problemlos kommunizieren können.

Unser ISP hat gerade an jedem Standort einen "Router" installiert (ISP Router 1 & 2), sodass jetzt zwei Ports angezeigt werden: Internet-Port (ISP-WAN) und Inter-Site-Port (ISP-LAN). Auf diese Weise können wir das VPN entfernen und den Datenverkehr direkt über die ISP-Cloud (ISP-LAN) weiterleiten.

Ich möchte wissen, wie das Routing der Ports eingerichtet wird, damit ich die Firewall anweisen kann, den internen Datenverkehr über diesen neuen ISP-LAN-Port weiterzuleiten.

Jeder Standort verfügt über einen DC (dieselbe Domäne) und einen separaten DHCP (Standorte haben unterschiedliche IP-Bereiche).

Ich dachte, ich könnte Port X6 an jeder Firewall mit dem ISP-LAN-Port verbinden, dies würde die beiden Standorte verbinden (blaue Linie), war mir aber nicht sicher, wie das Routing / die Regeln konfiguriert werden sollen. Alles hat den Sonic WAN-Port als Standard-Gateway. Ich möchte nicht, dass der DHCP-Verkehr usw. zwischen Standorten gesendet wird. Geben Sie hier die Bildbeschreibung ein

Freuen Sie sich auf jede Hilfe in diesem Fall.

Vielen Dank

Stell dir das vor
quelle

Antworten:

2

Sie haben Recht, wenn Sie auf jedem Router eine freie Schnittstelle (z. B. X6) haben, verbinden Sie das ISP-LAN an jedem Standort mit dieser Schnittstelle. Ich weiß nicht, ob die SonicWALLs VRRP unterstützen, aber es wird nicht benötigt. DHCP kreuzt keine Subnetze, es sei denn, Sie aktivieren einen IP-Helper.

Die ISP-LAN-Verbindung ersetzt Ihr VPN, Sie müssen jedoch einige Routen hinzufügen (die aufgrund des VPN zuvor impliziert oder erstellt worden wären). Ich vermute, Ihr ISP wird darauf verweisen, dass er über ein verwaltetes VPN, ein MPLS oder ein VLAN-Netzwerk verfügt.

Sie müssen jedoch wissen, welche IPs / Netzwerke Ihr ISP jedem ISP-LAN zugewiesen hat (wo Sie "???" in Ihrem Bild haben).

Erster Fall: Wenn Ihr ISP Ihnen IPs in Ihren Subnetzen an jedem Standort zugewiesen hat (z. B. 10.10.1.254 an Standort 1 und 192.168.1.254 an Standort 2), können Sie über diese IPs weiterleiten. Weisen Sie X6 im LAN zu (oder lassen Sie es) (wie X2 / X3 / etc). Gehen Sie dann zu Netzwerk | Routing. Sie müssen an jedem Standort eine Route erstellen (oder Sie können RIP verwenden, dies wird jedoch für zwei Standorte nicht benötigt).

An Standort 1 lautet Ihre Route wie folgt:

Source: Any
Destination: Site2 Subnet (192.168.1.0 / 255.255.255.0)
Service: Any
Gateway: ISP-LAN IP (10.10.1.254)
Interface: LAN/X0  (since it's on the LAN)
Metric: 20 (should be fine)

Erstellen Sie eine ähnliche Route an Standort 2 (aber Ziel des Netzwerks von Standort 1 mithilfe des Gateways von ISP-LAN an Standort 2 [192.168.1.254]). Ich habe dies für Clients getan, wenn der ISP auf diese Weise Dinge konfiguriert hat (IPs im lokalen LAN verwendet, um den Zugriff über "die Cloud" zu ermöglichen).

Zweiter Fall: Wenn der ISP jedoch ein VERSCHIEDENES Subnetz für die ISP-LAN-Verbindung verwendet hat (z. B. 172.16.1.x oder ähnliches), müssen Sie X6 so konfigurieren, dass es sich in diesem Subnetz befindet. Sie benötigen dann kein NAT. Ich habe dies auch für Clients getan (bei denen der ISP ein drittes Subnetz für den Beitritt zu zwei Standorten bereitstellt). In diesem Fall befindet sich X6 in diesem dritten Subnetz und die Routen werden automatisch erstellt [Zugriff nur mit Firewall-Regeln zulassen].

Also eine FRAGE an Sie: Wie lautet die IP / das Subnetz des ISP-LAN an jedem Standort? Ist es so, wie Sie es auf Ihrem Bild haben (die X6 / ??? IPs) oder ist es etwas anderes?

EDIT: (da ich keinen Kommentar hinzufügen kann)

Ich bin froh, dass das geholfen hat. DHCP würde durchlaufen, wenn der ISP die Verbindung als Layer 2-Verbindung (im Wesentlichen als VLAN) zwischen den beiden ISP-Routern konfigurieren würde. DHCP würde Layer 3 nicht ohne Unterstützung überqueren, sondern Layer 2 (wie bei einem Switch). Nachdem Sie dem Link ein anderes Subnetz hinzugefügt haben (Ihr 10.0.0.1 / 30-Subnetz), sollte es Ihnen gut gehen (die Router leiten den DHCP-Broadcast-Verkehr nicht über das Subnetz hinaus).

Sie können die Routen mit Probes so konfigurieren, dass sie deaktiviert werden, wenn ein Fehler auftritt. Wenn Sie Ihr VPN von einem IPSec-Richtlinien-VPN in ein Tunnel-basiertes VPN konvertieren (das Routen für das VPN verwendet), können Sie bei Bedarf ein Failover durchführen. ABER da das VLAN des ISP und das internetbasierte VPN über denselben ISP-Router ausgeführt werden, ist die Wahrscheinlichkeit, dass nur EIN Fehler ausfällt, gering. (Wenn Sie einen anderen Backup-ISP hätten, wäre ein Backup-VPN eine gute Idee.)

In Bezug auf das Geschwindigkeitsproblem würde ich prüfen, ob BWM auf einem der Router aktiviert ist, außer dass Sie sich an Ihren ISP wenden.

PSaul
quelle
0

Ich bin mir nicht sicher, aber ich denke, ich kann helfen.

Wenn ich das richtig verstehe, möchten Sie die blauen Linien (ISP-LAN) anstelle der roten Linien (VPN) verwenden.

Sie sollten die Firewalls so konfigurieren, dass sie sich im VRRP (Virtual Routing Redundancy Protocol) befinden. Lassen Sie Ihr Gerät dann auf die virtuelle IP des VRRP verweisen. Sie möchten auch den ISP kontaktieren und den Router auf das virtuelle Gateway konfigurieren.

Sie müssen wahrscheinlich zwei verschiedene vrrp-Gruppen konfigurieren, wenn Sie einen Lastenausgleich durchführen möchten: Nehmen wir beispielsweise vrrp group1 und vrrp group2. Wobei vrrp group1 Master für Site1 ist und Site2 als Backup hat. und vrrp group2 ist Master für Site2 und Backup für Site1. In diesem Fall kann ein Lastausgleich durchgeführt werden.

Bevor Sie die neue Verbindung verwenden, schalten Sie den VPN aus.

Um mehr darüber zu lesen, lesen Sie bitte vrrp.

BeachSamurai
quelle
0

Vielen Dank für Ihre Hilfe dabei. Ich habe Folgendes implementiert, und es funktioniert zumindest mit den von mir verwendeten Testmaschinen. Ich habe so ziemlich das eingerichtet, was ich denke, dass Sie @PSaul beschrieben haben. Ich habe Port X6 an jeder Firewall auf eine neue Zone (Interoffice, Trusted) gesetzt und ihnen eine statische IP, 10.0.0.1/30 und 10.0.0.2/30, zugewiesen. Ich habe dann auf jeder Firewall eine Route eingerichtet (wie Sie @PSaul beschrieben haben), die jeglichen Datenverkehr zum anderen Subnetz an die X6-IP-Adresse auf der Firewall am anderen Ende sendet und über den lokalen X6-Port sendet. Der ISP hatte die Interoffice-Verbindung eingerichtet (zwischen den beiden Routern als Layer-2-Verbindung, also wurde alles übermittelt. Ich stellte fest, dass ich DHCP-Verkehr über die Netzwerke erhielt, also nicht sicher, was ich im Netzwerk habe, das ihm beim Durchqueren des Netzwerks hilft Subnetze.

Ich habe das VPN noch nicht deaktiviert und habe es gerade für Testmaschinen mit einer sehr niedrigen Metrik eingerichtet, sodass sie diesen Link vor dem VPN verwenden (das gefällt mir).

Ich habe noch nicht den gesamten Datenverkehr über den Link gesendet, da ich eine seltsame Sache habe, aber vielleicht eine andere Frage. Ich bekomme schönen schnellen Verkehr in eine Richtung, aber der Verkehr in die entgegengesetzte Richtung ist ungefähr 1/3 der Geschwindigkeit ziemlich konstant. Es sieht nicht ganz nach Verkehrsformung aus, aber es passiert etwas Seltsames.

Nun, ich habe mehr gelernt, das ist gut. Danke für Ihre Hilfe. Ich muss nur das Problem mit der Geschwindigkeit in eine Richtung herausfinden. Geben Sie hier die Bildbeschreibung ein

Stell dir das vor
quelle
Bitte akzeptieren Sie diese Antwort, damit das System die Frage nicht ständig auf der Suche nach einer besseren Antwort stößt.
Mike Pennington