Ruta statica intre doua retele pe un server

Salutare,

Nu stiu daca m-ati putea ajuta cu o mica problema:

La Timisoara am o mica retea, cu un AD in centru, subnet: 10.0.0.0/8. AD-ul este pe un HP Proliant MicroServer Gen 10 cu doua NIC-uri.
Pe una din aceste doua placi de retea, vine un IP din subnet-ul 10.0.0.0/8 si mai departe reteaua din spate.
Intre timp, am venit cu un Cisco (a doua linie de net) care are rol de VPN IPsec endpoint, conectat prin internet cu un alt Cisco in Turnu Severin (acolo vreau sa dau acces la AD-ul din Timisoara). Acest Cisco (RV110W) este conectat la a doua placa de retea din server, avand subnet 172.16.55.0/24.
Am reusit sa ridic tunelul IPsec, am acces la resurse din Severin... insa doar la AD, n-am acces si la subnetul 10.0.0.0/8

Intrebarea mea... e necesar sa fac o ruta statica pe server in acest sens ca cele doua retele sa comunice intre ele, fiind totusi doua placi de retea diferite, chiar daca pe acelasi server?

Grafic, ar arata cam asa:

Server -> NIC 1: 10.70.221.22 -> Switch (VLAN) -> Router -> ONT fibra -> INTERNET
-> NIC 2: 172.16.55.159 -> Cisco RV110W -> ONT fibra -> INTERNET <- ONT fibra (severin) <- Cisco RV110 (severin)

 nic.PNG   79.85K   38 downloads

Poti sa faci o schema mai clara?
Practic vrei ca sa ajungi in 10.0.0.0/8 din 172.16.55.0/24 si invers?

Daca vrei sa pastrezi conexiunile fizice exact cum sunt acum va trebui sa adaugi doua rute pe cele doua routere:
-pe routerul cu 10.0.0.1 trebuie sa pui o ruta catre subnetul din Severin via 10.70.221.22
-pe RV110W trebuie sa pui o ruta catre 10.0.0.0/8 via 172.16.55.159
SI:
-pe AD trebuie sa activezi IP routing (si sa permiti din firewall traficul intre subnetul de Severin si cel de Timisoara - in caz ca ai firewall care ar restrictiona acel trafic)
-ambele endpointuri IPsec trebuie sa stie ca in Timisoara ai (si) subnetul 10.0.0.0/8

Sau ...
RV110W e folosit si la altceva in afara de acel IPsec? Acum deduc ca ai un cablu direct in Cisco si AD, dar pe viitor vei dori sa mai conectezi si alte dispozitive in subnetul 172.16.55.0/24? Avand in vedere ca tu vrei ca toata reteaua 10.0.0.0/8 sa fie accesibila din Severin cred ca nu are rost sa separi acel VPN pe NIC diferit.
Ai putea simplifica un pic topologia daca muti RV110W din NIC2 in switch (in vlan-ul cu 10.0.0.0/8), pui pe RV110W un ip din 10.0.0.0/8 (si setezi IPsec-ul sa stie de acest 10.0.0.0/8) apoi adaugi pe 10.0.0.1 o ruta catre subnetul din Severin via IP-ul din 10.0.0.0/8 al lui RV110W. In felul asta nu te mai complici cu un al doilea subnet folosit doar pe 2 dispozitive si nici cu IP Routing pe AD (elimini cu totul 172.16.55.0/24 din Timisoara). Ai grija sa dezactivezi atat DHCP cat si proxy arp pe RV110W (in caz ca acum sunt active).

@addelin: Da, ai ghicit bine. Ideea e ca ar fi mult mai ok si as tine DNS universal, doar 2 IP-uri.
@dan78_: Problema e ca dintr-un motiv care nu-l stiu, tunelul nu se ridica corespunzator in spatele router-ului. Stiu ca teoretic pentru port forwarding in cazul IPsec ar trebui deschise porturile 450... Intr-adevar, ar fi fost ok daca era in spatele routerului, atunci doar avea asignat un IP static si cam atat.

 l0calh0st, on 23 aprilie 2018 - 19:18, said:

RV110W il conectezi doar cu interfata pe care ai acum 172.16.55.1 in switch (in spatele primului router) dar NU ii modifici ruta default prin ISP1. Il lasi sa foloseasca acelasi link de internet (ONT-ul nou) care este acum conectat in WAN.

Merci de raspuns, Dan.

Ideea e ca am incercat varianta ta, insa, sper ca i-am facut setarile corecte. Am dezactivat DHCP-ul de pe RV110, iar unul din LAN-uri e infipt in 10.0.0.0/8 care e de fapt un switch. Nu stiu daca are importanta, insa la alegerea IP-ului pe LAN, pot alege maxim un subnet de maxim /24, insa chiar si asa am lasat mask-ul 255.255.255.0 si la local IP i-am infipt unul care e in coverage-ul 10.0.0.0/8 si care e liber.
In rest la Firewall nu am vazut sa fie alte setari de genul. Nu pot sa-l pingui din LAN, iar managementul i-l fac prin internet.
Recunosc ca am reusit sa-mi fac singur niste chestii, insa RV-urile astea de la Cisco m-au dat pe spate... nici nu ma mira ca sunt declarate EoL.

 l0calh0st, on 25 aprilie 2018 - 21:15, said:

Nu stiu exact ce setari ai facut pe RV100 , insa nu este suficient sa conectezi unul din porturile lan ale RV110 in switch-ul care iti face legatura cu reteaua 10.0.0.0/8. Trebuie sa configurezi pe una din interfetele lan ale RV un ip din clasa 10.0.0.0/8 .

 l0calh0st, on 23 aprilie 2018 - 19:18, said:

De ce nu faci o schema completa sa intelegem exact despre ce este vorba? Poate se poate propune o alta ahitectua. Oricum partea cu un /8 mi se pare aiurea, chiar ai nevoie de un /8 intreg?

Salutare,

Am facut o schema. O sa sintetizez aici:

Server AD, doua interfete:
Pe prima interfata: 10.70.221.22/255.0.0.0 - merge in router cu subnet 10.0.0.0/8 si apoi pe primul port in ONT (1st internet account)
Pe a doua interfata: 172.16.55.159/255.255.255.0 - merge in Cisco RV110 cu subnet 172.16.55.0/24 si apoi pe al doilea port in ONT (2nd internet account)

Clientii din Severin pot vedea AD-ul, prin intermediul tunelului IPsec (in poza), insa nu pot vedea si subnetul 10.0.0.0/8 (ceea ce e si normal pana aici, nefiind nicio ruta declarata)
Clientii din Timisoara pot vedea AD-ul prin switch-ul respectiv conectat la subnetul 10.0.0.0/8, insa nu se pot vedea cu cei din Severin de pe 172.16.55.0/24 si 172.16.56.0/24.

As vrea sa gasesc o modalitate prin care as putea integra acel Cisco RV110 din Timisoara, pe un port din switch, insa sa las internetul sa vina tot din al doilea port, pentru ca nu m-as mai complica cu port forwarding pentru tunelul IPsec.

 Personal.jpg   256.1K   20 downloads

Cred ca cel mai usor ar fi sa configurezi un tunel vpn intre RV110 din Severin si celalat router, asta daca si celalat router (10.0.0.1/8) permite .

Teoretic permite, acel 10.0.0.1 fiind un EdgeRouter X de la Ubiquiti. Problema vine pe parte de security, nu stiu cat de ok se inteleg la partea de certificate si chei de criptare...

 l0calh0st, on 30 aprilie 2018 - 13:51, said:

In prima faza nu m-as complica cu certificate as incearca doar cu Pre-shared key .


Nu te-ai gandit si la posibilitatea sa virtualizezi routerul de la sediu ?  Ai putea incerca cu pfsense sau chiar vyos(care este foarte similar cu ubiquiti edgerouter).  Avantajul ar fi  ca ai avea ambele conexiuni de internet si lan  conectate la acelasi router. Dupa realizarea vpn-ului cu filiala cred ca ar fi suficient sa adaugi o ruta statica pe router-ul de la sediu  ca sa iti comunice filiala cu subnetul 10.0.0.0/8 .

 l0calh0st, on 30 aprilie 2018 - 12:25, said:

Ok, dar ciscourile care sunt parte din vpn nu sunt in aceeasi retea? Vad ca unul este 172.16.55.1/24 si celalalt 172.16.56.1/24.
Daca toate sunt in aceeasi retea (cum ar fi normal), atunci ar trebui sa activezi routarea pe mașina de windows, sa il faci cumva default gateway pentru reteaua 172.16.55.0/24, ruta statica pe care o vei adauga fiind catre 10.0.0.0/8 via 172.16.55.1 (sau cine o fi gateway-ul).

Edited by MembruAnonim, 30 April 2018 - 21:38.

Am refacut configuratia... insa ceva imi e neclar.
Am renuntat la unul din cele doua Cisco RV110, iar celalalt RV110 (din Severin) l-am legat prin IPsec direct la Ubiquiti EdgeRouter X.
Tunelul este ridicat, insa nu reusesc sa pingui nimic spre Severin.
Am facut o configuratie simpla de test: LAN-ul pe RV110 din Severin are IP: 172.22.198.1/255.255.255.0
Setarile de pe RV110:

 screenshot_rv110.PNG   51.78K   10 downloads

Setarile de pe edgerouter:

 screenshot_edgerouterx.PNG   43.77K   11 downloads

Tunelul se ridica fara probleme, insa nu pot reusi sa ping-ui de exemplu echipamentul din Severin: 172.22.198.1

1 . Pe ubiquti ai completat gresit la remote subnet , ai trecut 172.22.198.1/24, trebuie sa completezi cu 172.22.198.0/24 , la fel si pentru 10.0.0.1/8 trebuie sa completezi  cu10.0.0.0/8
2. tot pe ubiquti trebuie sa excluzi traficul ipsec din nat .

Ex :

set service nat rule 5000 description ipsec-exclude
set service nat rule 5000 destination address 172.22.198.0/24
set service nat rule 5000 exclude
set service nat rule 5000 outbound-interface eth1
set service nat rule 5000 type masquerade

In loc de eth1 trebuie sa treci interfata ta de wan .

Edited by marchand, 01 May 2018 - 18:36.