Punkt-zu-Punkt-LAN ​​mit zwei Schallwänden an verschiedenen Orten

7

Wir haben ein Geschäft mit zwei Standorten mit Hauptsitz in Arlington und einem Remote-Büro in Dallas. Derzeit betreiben unsere beiden Büros eine Sonicwall NSA 2600 und halten einen VPN-Tunnel untereinander (mithilfe der Sonicwalls). Wir haben kürzlich von unserem ISP eine Punkt-zu-Punkt-Verbindung zwischen den beiden Standorten erworben. Im Wesentlichen verfügt jedes Modem über einen Port, der über eine dedizierte 100-MB-Pipe direkt mit dem anderen verbunden ist.

Ich möchte den VPN-Tunnel durch eine zusätzliche LAN-Schnittstelle an jeder Sonicwall ersetzen, die auf das andere Netzwerk-Subnetz zeigt. Arlington: 10.74.1.1/24 Dallas: 10.74.2.1/24

Hier ist ein Beispiel:

               +-----------+ X0 ---- LAN 10.74.1.1/24
               |           |
WAN_IP ---- X1 | SonicWall |
               | Arlington |
               +-----------+ X2 -------- X2  +-----------+ X0 ---- 10.74.2.1/24
                                    ^        |           |
                                    |        | Sonicwall | X1 ---- WAN_IP
                                    |        |  Dallas   |
                                    |        +-----------+
                                    |
                           This X2 would traverse
                           the point-to-point connection
                           between each of my ISP's modems 

Meine Frage wäre, wie konfiguriere ich jede X2-Schnittstelle? Mein Gedanke wäre zum Beispiel:

Konfigurieren der X2-Schnittstelle auf der Arlington Sonicwall als: LAN, Adresse 10.74.2.1, Maske 255.255.255.0. Und Konfigurieren der X2-Schnittstelle auf der Dallas Sonicwall als: LAN, Adresse 10.74.1.1, Maske 255.255.255.0. Kann ich auch die so konfigurierten LAN-Schnittstellen testen, solange der VPN-Tunnel noch aktiv ist? Oder würde dies zu Problemen beim Routing zwischen den beiden Netzwerken führen?

Wir brauchen diese Netzwerke, um auf die gleiche Weise wie derzeit über den VPN-Tunnel zu kommunizieren.

Jeder Rat wäre dankbar!

Eme
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

1

Das wird nicht funktionieren, da sowohl 10.74.1.0/24 als auch 10.74.2.0/24 verwendet werden. Darüber hinaus erfordert eine PtP-Verbindung ein gegenseitiges Präfix.

Verwenden Sie einen anderen und einen kleineren IP-Bereich. Setzen Sie 10.75.0.1/30 (255.255.255.252) auf Arlington X2 und 10.75.0.2/30 (255.255.255.252) auf Dallas X2.

Fügen Sie dann in Arlington eine Route hinzu: 10.74.2.0/24 -> 10.75.0.2 und in Dallas: 10.74.1.0/24 -> 10.75.0.1.

Ich habe noch nie eine SonicWall verwendet, daher weiß ich nicht, ob das VPN Vorrang vor den neu installierten Routen hat oder nicht. Wie ich dies testen würde, ist eine einzelne IP aus dem LAN jeder Seite zu nehmen und diese über das neue PtP zu leiten.

Auf einem Laptop, der auf der einen Seite als 10.74.2.10 und auf der anderen Seite als 10.74.1.10 eingestellt ist, auf Arlington, Route 10.74.2.10/32 -> 10.75.0.2 und in Dallas, Route 10.74.1.10 -> 10.75.0.1. Auch hier weiß ich nicht, ob die Sonicwalls die Krypto umgehen, um diese über das PTP zu leiten, aber es könnte einen Versuch wert sein. Sie können auch auf jeder Seite ein neues temporäres Präfix einrichten und dieses weiterleiten, bevor Sie live gehen.

Richten Sie nach EOB die Routen ein, sehen Sie, was passiert, deaktivieren Sie das VPN und sehen Sie, was passiert. Wenn es funktioniert, sind Sie fertig. Wenn nicht, haben Sie eine dokumentierte geordnete Liste der durchgeführten Aktionen. Gehen Sie zurück, bis der ursprüngliche Status Quo wieder funktioniert, und gehen Sie von dort aus.

stevieb
quelle
1

Wenn Sie Ihre Routing-Appliances nicht direkt verwalten, müssen Sie diese Sache mit Ihrem ISP sortieren und zusätzliches Routing und zusätzliche Schnittstellen nicht nur auf Ihren Sonicwalls, sondern auch in Routern konfigurieren.

Definieren Sie zwei weitere Netzwerke:

172.16.100.0/30 Dallas-nach-Arlington 172.16.101.0/30 Arlington-nach-Dallas Zuweisung:

Dallas X2: 172.16.100.1/30 Dallas Router Fe (0/1): 172.16.100.2/30 Arlington X2: 172.16.101.1/30 Arlington Router Fe (0/1): 172.16.101.2/30

Auf Ihrem Dallas Router: Route 10.74.2.0/24 Gateway 172.16.100.1 (Verkehr von A. nach D. nach Sonicwall geleitet) Route 10.74.1.0/24 Gateway Ihre MPLS

Auf der Arlington Route 10.74.1.0/24 Gateway 172.16.101.1 (Verkehr von D. nach A. nach Sonicwall geleitet) Route 10.74.2.0/24 Gateway Ihre MPLS

Auf Sonicwall müssen Sie auch das Ziel-NAT deaktivieren.

Wie immer Backup, Backup, Backup! :) :)

RobertoP
quelle
1

Wie andere bereits gesagt haben, können Sie keine IPs verwenden, die bereits verwendet werden. Sie sollten ein separates Subnetz verwenden, über das Sie (zum anderen Netzwerk) weiterleiten können.

Ich würde vorschlagen, etwas zu verwenden, das größer als ein / 30-Block ist (falls Sie jemals zusätzliche Standorte hinzufügen) - mit einem / 29 können Sie beispielsweise auf 6 Standorte erweitern.

Ich würde etwas verwenden, das von Ihren vorhandenen Netzwerken getrennt ist (damit es auffällt), aber nicht benachbart (falls Sie es erweitern). Ich würde so etwas wie 10.99.9.0/29 vorschlagen .

Wenn Sie testen möchten, sollten Sie zuerst Ihr vorhandenes VPN in Tunnel-basierte VPNs konvertieren: https://support.software.dell.com/kb/sw7902 ODER: https://support.software.dell.com/ kb / sw11606

Dies hat den Vorteil, dass Sie dann einfacher Routen zum Testen erstellen können als richtlinienbasierte IPSec-VPNs. Tun Sie dies während einer Ausfallzeit, da das VPN nicht verfügbar ist, während Sie zu einer Tunnelschnittstelle im VPN wechseln und dann die Routen erstellen.

Konfigurieren Sie dann X2 auf jedem Router mit 1 IP aus Ihrem Punkt-zu-Punkt-Bereich:

Arlington X2 = 10.99.9.1 /29
Dallas X2 = 10.99.9.2 /29

Beide in der LAN-Zone, beide im statischen IP-Modus. Verbinden Sie X2 mit den PtP-Schnittstellen Ihres ISP-Geräts (z. B. MPLS). Dies setzt voraus, dass die Verbindung nur eine Schicht-2-Verbindung ist und vom ISP kein Routing durchgeführt wird.

Sie sollten dann in der Lage sein, die Diagnose-Ping- (oder CLI-Ping-) Befehle von jedem Router zu verwenden, um die X2-Schnittstelle des anderen Routers zu pingen (z. B. sollte Arlington in der Lage sein, 10.99.9.2 zu pingen.

Wenn die Dinge funktionieren, können Sie eine Routing-Richtlinie zum Testen erstellen: Also auf dem Arlington-Router:

Source: Some 10.74.1.x test IP in Arlington
Destination: Some 10.74.2.x test IP in Dallas
Service: Any
Gateway: 10.99.9.2 (Dallas' X2 IP -- the other side)
Interface: X2 (the interface Arlington needs to use)
Metric: make lower than whatever you used for your Tunnel VPN metric.

Machen Sie eine ähnliche Route auf dem Dallas-Router (aber tauschen Sie alle IPs aus, sodass das Gateway diesmal von einer Dallas-IP zur Arlington-IP 10.99.9.1 lautet).

Ich würde vorschlagen, so etwas wie LAN Speed ​​Test (sogar die kostenlose Version) zu verwenden: http://www.totusoft.com/lanspeed.html

Um zu testen , um die Geschwindigkeit zu / von Ihrer Testmaschine über die VPN ersten und dann wieder nach den Routen bei der Umsetzung. Sie sollten eine Geschwindigkeitsdifferenz sehen , wie der Verkehr über das MPLS geht.

Wenn dies funktioniert, ändern Sie die Routen so, dass: Quelle ist: Beliebig und das Ziel ist: Das Netzwerk auf der anderen Seite (anstelle nur einer IP) - von Arlington aus wäre das Ziel also: 10.74.2.0/24. Metrik: immer noch niedriger als die VPN-Tunnelroute.

Der gesamte Verkehr wird für alle über die MPLS gehen. Dies kann zur Mittagszeit erfolgen, da die Unterbrechung sehr gering ist.

Solange die Zonen für X2 mit Ihren X0-Netzwerken identisch sind, sollten keine Firewall-Regeln erforderlich sein, wenn Sie die Schnittstellenvertrauensstellung für die LAN-Zone aktiviert haben. Ich glaube nicht, dass Sie Änderungen an NAT vornehmen müssen, da alles geroutet wird (in Bezug auf die internen Netzwerke).

Sie können dann das VPN deaktivieren oder es lassen und die Tests auf den Routen konfigurieren, sodass die Routen des MPLS deaktiviert werden, wenn der Test fehlschlägt (sodass es auf das VPN zurückgreifen kann. Weniger nützlich, wenn es in beiden Fällen derselbe ISP ist. ..)

Und ja: Sichern Sie Ihre Konfigurationen ZUERST und danach erneut :)

PSaul
quelle