Second Opinion
Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale. Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit. www.neurohope.ro |
Ruta statica intre doua retele pe un server
Last Updated: May 01 2018 18:31, Started by
l0calh0st
, Apr 22 2018 16:16
·
0
#1
Posted 22 April 2018 - 16:16
Salutare,
Nu stiu daca m-ati putea ajuta cu o mica problema: La Timisoara am o mica retea, cu un AD in centru, subnet: 10.0.0.0/8. AD-ul este pe un HP Proliant MicroServer Gen 10 cu doua NIC-uri. Pe una din aceste doua placi de retea, vine un IP din subnet-ul 10.0.0.0/8 si mai departe reteaua din spate. Intre timp, am venit cu un Cisco (a doua linie de net) care are rol de VPN IPsec endpoint, conectat prin internet cu un alt Cisco in Turnu Severin (acolo vreau sa dau acces la AD-ul din Timisoara). Acest Cisco (RV110W) este conectat la a doua placa de retea din server, avand subnet 172.16.55.0/24. Am reusit sa ridic tunelul IPsec, am acces la resurse din Severin... insa doar la AD, n-am acces si la subnetul 10.0.0.0/8 Intrebarea mea... e necesar sa fac o ruta statica pe server in acest sens ca cele doua retele sa comunice intre ele, fiind totusi doua placi de retea diferite, chiar daca pe acelasi server? Grafic, ar arata cam asa: Server -> NIC 1: 10.70.221.22 -> Switch (VLAN) -> Router -> ONT fibra -> INTERNET -> NIC 2: 172.16.55.159 -> Cisco RV110W -> ONT fibra -> INTERNET <- ONT fibra (severin) <- Cisco RV110 (severin) nic.PNG 79.85K 38 downloads |
#2
Posted 22 April 2018 - 20:48
Poti sa faci o schema mai clara?
Practic vrei ca sa ajungi in 10.0.0.0/8 din 172.16.55.0/24 si invers? |
#3
Posted 22 April 2018 - 21:40
Daca vrei sa pastrezi conexiunile fizice exact cum sunt acum va trebui sa adaugi doua rute pe cele doua routere:
-pe routerul cu 10.0.0.1 trebuie sa pui o ruta catre subnetul din Severin via 10.70.221.22 -pe RV110W trebuie sa pui o ruta catre 10.0.0.0/8 via 172.16.55.159 SI: -pe AD trebuie sa activezi IP routing (si sa permiti din firewall traficul intre subnetul de Severin si cel de Timisoara - in caz ca ai firewall care ar restrictiona acel trafic) -ambele endpointuri IPsec trebuie sa stie ca in Timisoara ai (si) subnetul 10.0.0.0/8 Sau ... RV110W e folosit si la altceva in afara de acel IPsec? Acum deduc ca ai un cablu direct in Cisco si AD, dar pe viitor vei dori sa mai conectezi si alte dispozitive in subnetul 172.16.55.0/24? Avand in vedere ca tu vrei ca toata reteaua 10.0.0.0/8 sa fie accesibila din Severin cred ca nu are rost sa separi acel VPN pe NIC diferit. Ai putea simplifica un pic topologia daca muti RV110W din NIC2 in switch (in vlan-ul cu 10.0.0.0/8), pui pe RV110W un ip din 10.0.0.0/8 (si setezi IPsec-ul sa stie de acest 10.0.0.0/8) apoi adaugi pe 10.0.0.1 o ruta catre subnetul din Severin via IP-ul din 10.0.0.0/8 al lui RV110W. In felul asta nu te mai complici cu un al doilea subnet folosit doar pe 2 dispozitive si nici cu IP Routing pe AD (elimini cu totul 172.16.55.0/24 din Timisoara). Ai grija sa dezactivezi atat DHCP cat si proxy arp pe RV110W (in caz ca acum sunt active). |
#4
Posted 23 April 2018 - 19:18
@addelin: Da, ai ghicit bine. Ideea e ca ar fi mult mai ok si as tine DNS universal, doar 2 IP-uri.
@dan78_: Problema e ca dintr-un motiv care nu-l stiu, tunelul nu se ridica corespunzator in spatele router-ului. Stiu ca teoretic pentru port forwarding in cazul IPsec ar trebui deschise porturile 450... Intr-adevar, ar fi fost ok daca era in spatele routerului, atunci doar avea asignat un IP static si cam atat. |
#5
Posted 23 April 2018 - 20:42
l0calh0st, on 23 aprilie 2018 - 19:18, said:
@dan78_: Problema e ca dintr-un motiv care nu-l stiu, tunelul nu se ridica corespunzator in spatele router-ului. Stiu ca teoretic pentru port forwarding in cazul IPsec ar trebui deschise porturile 450... Intr-adevar, ar fi fost ok daca era in spatele routerului, atunci doar avea asignat un IP static si cam atat. RV110W il conectezi doar cu interfata pe care ai acum 172.16.55.1 in switch (in spatele primului router) dar NU ii modifici ruta default prin ISP1. Il lasi sa foloseasca acelasi link de internet (ONT-ul nou) care este acum conectat in WAN. |
#6
Posted 25 April 2018 - 21:15
Merci de raspuns, Dan.
Ideea e ca am incercat varianta ta, insa, sper ca i-am facut setarile corecte. Am dezactivat DHCP-ul de pe RV110, iar unul din LAN-uri e infipt in 10.0.0.0/8 care e de fapt un switch. Nu stiu daca are importanta, insa la alegerea IP-ului pe LAN, pot alege maxim un subnet de maxim /24, insa chiar si asa am lasat mask-ul 255.255.255.0 si la local IP i-am infipt unul care e in coverage-ul 10.0.0.0/8 si care e liber. In rest la Firewall nu am vazut sa fie alte setari de genul. Nu pot sa-l pingui din LAN, iar managementul i-l fac prin internet. Recunosc ca am reusit sa-mi fac singur niste chestii, insa RV-urile astea de la Cisco m-au dat pe spate... nici nu ma mira ca sunt declarate EoL. |
#7
Posted 29 April 2018 - 16:59
l0calh0st, on 25 aprilie 2018 - 21:15, said:
Merci de raspuns, Dan. Ideea e ca am incercat varianta ta, insa, sper ca i-am facut setarile corecte. Am dezactivat DHCP-ul de pe RV110, iar unul din LAN-uri e infipt in 10.0.0.0/8 care e de fapt un switch. Nu stiu daca are importanta, insa la alegerea IP-ului pe LAN, pot alege maxim un subnet de maxim /24, insa chiar si asa am lasat mask-ul 255.255.255.0 si la local IP i-am infipt unul care e in coverage-ul 10.0.0.0/8 si care e liber. In rest la Firewall nu am vazut sa fie alte setari de genul. Nu pot sa-l pingui din LAN, iar managementul i-l fac prin internet. Recunosc ca am reusit sa-mi fac singur niste chestii, insa RV-urile astea de la Cisco m-au dat pe spate... nici nu ma mira ca sunt declarate EoL. Nu stiu exact ce setari ai facut pe RV100 , insa nu este suficient sa conectezi unul din porturile lan ale RV110 in switch-ul care iti face legatura cu reteaua 10.0.0.0/8. Trebuie sa configurezi pe una din interfetele lan ale RV un ip din clasa 10.0.0.0/8 . |
#8
Posted 29 April 2018 - 18:23
l0calh0st, on 23 aprilie 2018 - 19:18, said:
@addelin: Da, ai ghicit bine. Ideea e ca ar fi mult mai ok si as tine DNS universal, doar 2 IP-uri. @dan78_: Problema e ca dintr-un motiv care nu-l stiu, tunelul nu se ridica corespunzator in spatele router-ului. Stiu ca teoretic pentru port forwarding in cazul IPsec ar trebui deschise porturile 450... Intr-adevar, ar fi fost ok daca era in spatele routerului, atunci doar avea asignat un IP static si cam atat. |
#9
Posted 30 April 2018 - 12:25
Salutare,
Am facut o schema. O sa sintetizez aici: Server AD, doua interfete: Pe prima interfata: 10.70.221.22/255.0.0.0 - merge in router cu subnet 10.0.0.0/8 si apoi pe primul port in ONT (1st internet account) Pe a doua interfata: 172.16.55.159/255.255.255.0 - merge in Cisco RV110 cu subnet 172.16.55.0/24 si apoi pe al doilea port in ONT (2nd internet account) Clientii din Severin pot vedea AD-ul, prin intermediul tunelului IPsec (in poza), insa nu pot vedea si subnetul 10.0.0.0/8 (ceea ce e si normal pana aici, nefiind nicio ruta declarata) Clientii din Timisoara pot vedea AD-ul prin switch-ul respectiv conectat la subnetul 10.0.0.0/8, insa nu se pot vedea cu cei din Severin de pe 172.16.55.0/24 si 172.16.56.0/24. As vrea sa gasesc o modalitate prin care as putea integra acel Cisco RV110 din Timisoara, pe un port din switch, insa sa las internetul sa vina tot din al doilea port, pentru ca nu m-as mai complica cu port forwarding pentru tunelul IPsec. Personal.jpg 256.1K 20 downloads |
#10
Posted 30 April 2018 - 13:26
Cred ca cel mai usor ar fi sa configurezi un tunel vpn intre RV110 din Severin si celalat router, asta daca si celalat router (10.0.0.1/8) permite .
|
|
#11
Posted 30 April 2018 - 13:51
Teoretic permite, acel 10.0.0.1 fiind un EdgeRouter X de la Ubiquiti. Problema vine pe parte de security, nu stiu cat de ok se inteleg la partea de certificate si chei de criptare...
|
#12
Posted 30 April 2018 - 16:13
l0calh0st, on 30 aprilie 2018 - 13:51, said:
Problema vine pe parte de security, nu stiu cat de ok se inteleg la partea de certificate si chei de criptare... In prima faza nu m-as complica cu certificate as incearca doar cu Pre-shared key . Nu te-ai gandit si la posibilitatea sa virtualizezi routerul de la sediu ? Ai putea incerca cu pfsense sau chiar vyos(care este foarte similar cu ubiquiti edgerouter). Avantajul ar fi ca ai avea ambele conexiuni de internet si lan conectate la acelasi router. Dupa realizarea vpn-ului cu filiala cred ca ar fi suficient sa adaugi o ruta statica pe router-ul de la sediu ca sa iti comunice filiala cu subnetul 10.0.0.0/8 . |
#13
Posted 30 April 2018 - 21:38
l0calh0st, on 30 aprilie 2018 - 12:25, said:
Salutare, Am facut o schema. O sa sintetizez aici: Server AD, doua interfete: Pe prima interfata: 10.70.221.22/255.0.0.0 - merge in router cu subnet 10.0.0.0/8 si apoi pe primul port in ONT (1st internet account) Pe a doua interfata: 172.16.55.159/255.255.255.0 - merge in Cisco RV110 cu subnet 172.16.55.0/24 si apoi pe al doilea port in ONT (2nd internet account) Clientii din Severin pot vedea AD-ul, prin intermediul tunelului IPsec (in poza), insa nu pot vedea si subnetul 10.0.0.0/8 (ceea ce e si normal pana aici, nefiind nicio ruta declarata) Clientii din Timisoara pot vedea AD-ul prin switch-ul respectiv conectat la subnetul 10.0.0.0/8, insa nu se pot vedea cu cei din Severin de pe 172.16.55.0/24 si 172.16.56.0/24. As vrea sa gasesc o modalitate prin care as putea integra acel Cisco RV110 din Timisoara, pe un port din switch, insa sa las internetul sa vina tot din al doilea port, pentru ca nu m-as mai complica cu port forwarding pentru tunelul IPsec. Personal.jpg Ok, dar ciscourile care sunt parte din vpn nu sunt in aceeasi retea? Vad ca unul este 172.16.55.1/24 si celalalt 172.16.56.1/24. Daca toate sunt in aceeasi retea (cum ar fi normal), atunci ar trebui sa activezi routarea pe mașina de windows, sa il faci cumva default gateway pentru reteaua 172.16.55.0/24, ruta statica pe care o vei adauga fiind catre 10.0.0.0/8 via 172.16.55.1 (sau cine o fi gateway-ul). Edited by MembruAnonim, 30 April 2018 - 21:38. |
#14
Posted 01 May 2018 - 16:34
Am refacut configuratia... insa ceva imi e neclar.
Am renuntat la unul din cele doua Cisco RV110, iar celalalt RV110 (din Severin) l-am legat prin IPsec direct la Ubiquiti EdgeRouter X. Tunelul este ridicat, insa nu reusesc sa pingui nimic spre Severin. Am facut o configuratie simpla de test: LAN-ul pe RV110 din Severin are IP: 172.22.198.1/255.255.255.0 Setarile de pe RV110: screenshot_rv110.PNG 51.78K 10 downloads Setarile de pe edgerouter: screenshot_edgerouterx.PNG 43.77K 11 downloads Tunelul se ridica fara probleme, insa nu pot reusi sa ping-ui de exemplu echipamentul din Severin: 172.22.198.1 |
#15
Posted 01 May 2018 - 18:31
1 . Pe ubiquti ai completat gresit la remote subnet , ai trecut 172.22.198.1/24, trebuie sa completezi cu 172.22.198.0/24 , la fel si pentru 10.0.0.1/8 trebuie sa completezi cu10.0.0.0/8
2. tot pe ubiquti trebuie sa excluzi traficul ipsec din nat . Ex : set service nat rule 5000 description ipsec-exclude set service nat rule 5000 destination address 172.22.198.0/24 set service nat rule 5000 exclude set service nat rule 5000 outbound-interface eth1 set service nat rule 5000 type masqueradeIn loc de eth1 trebuie sa treci interfata ta de wan . Edited by marchand, 01 May 2018 - 18:36. |
|
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users