Sugestões para fazer a transição para o novo GW / rede privada

Navegue suas respostas
3

Estou substituindo um link T1 particular por um novo dispositivo de firewall com um túnel ipsec para uma filial. Eu estou tentando descobrir o caminho certo para fazer a transição de pessoas no novo site para a nova conexão, para que eles usem o túnel muito mais rápido.

Rede existente: 192.168.254.0/24, gw 192.168.254.253 (roteador Cisco conectado ao t1 particular)

Testar rede que tenho usado com o túnel ipsec: 192.168.1.0/24, gw 192.168.1.1 (pfsense fw conectado à internet pública), também conectado ao mesmo switch da rede antiga.

Existem provavelmente ~ 20-30 dispositivos de rede na sub-rede existente, cerca de 5 com IPs estáticos. O endpoint remoto já é o firewall - não consigo configurar links redundantes para a sub-rede existente. Em outras palavras, assim que eu mudar a configuração do túnel para apontar para 192.168.254.0/24, todos os dispositivos na sub-rede existente deixarão de funcionar porque apontam para o gateway errado.

Eu gostaria de ter alguma habilidade para fazer isso lentamente - de modo que eu possa passar por cima de alguns clientes e verificar a estabilidade do novo link antes de mover serviços críticos ou usuários menos tolerantes.

Qual é o caminho certo para fazer isso? Alterar a máscara de rede em todos os dispositivos para / 16 e atualizar o gateway para apontar para o novo dispositivo? Isso poderia causar algum problema? Além disso, como devo lidar com o DNS? A caixa pfsense não está ciente do meu ambiente do Active Directory. Mas, se eu alterar o DNS para usar os servidores locais, isso resultará em uma grande lentidão, pois as consultas ao DNS ainda serão roteadas pela privada t1. Eu preciso de alguma ajuda para chegar a um plano que não seja muito perturbador, mas que realmente me permita testar completamente a estabilidade do túnel IPSEC antes de fazer a troca final.

A versão do AD é 2008R2, assim como os servidores. As estações de trabalho são principalmente o Windows XP SP3. Eu não configurei o 192.168.1.0/24 como um site em sites e serviços do AD.

    
por Quinten 24.06.2012 / 17:02

3 respostas

1

A melhor maneira de migrar é atribuir seus usuários a diferentes Vlans com endereçamento gerenciado pelo DHCP; Vlans são necessários porque você precisa de uma maneira de conter transmissões DHCP dentro dos limites do seu Cisco / pfSense FW. Se você não contiver as transmissões de DHCP entre essas sub-redes, você terá um caos e uma conectividade imprevisível.

Para realizar esse plano, você precisa do seguinte HW que não foi explicitamente mencionado em sua pergunta:

  • Um comutador que suporta Vlans
  • Um servidor DNS / DHCP central

Configure os seguintes itens:

  • No roteador Cisco:

    • Assume que Eth0 está conectado ao seu switch, o Cisco deve suportar o entroncamento Vlan
    • Interface Eth0.10 é 192.168.254.253/24 (padrão gw para Vlan10)
    • Interface Eth0.30 é 192.168.2.2/24 (sub-rede de trânsito entre o pfSense / Cisco)
    • Roteamento padrão para o roteador HQ
    • Encaminhamento DHCP para 10.1.1.15 na Eth0.10 ( ip helper-address 10.1.1.15 )
    • Direcione para o intff LAN do pfSense: ip route 192.168.1.0 255.255.255.0 192.168.2.1

  • No pfSense FW

    • Assume que Eth0 está conectado ao seu switch, pfSense suporta entroncamento Vlan
    • Interface Eth0.20 é 192.168.1.1/24 (padrão gw para Vlan20)
    • Interface Eth0.30 é 192.168.2.1/24 (sub-rede de trânsito entre o pfSense / Cisco)
    • Roteamento padrão para o roteador HQ via túnel IPSec
    • Configuração do IPSec
    • Encaminhamento DHCP para 10.1.1.15 em Eth0.20
    • Encaminhar para o Cisco LAN intf via 192.168.2.2

  • Roteador (es) HQ

    • Rota 192.168.254.0/24 via Cisco
    • Rota 192.168.1.0/24 através do túnel IPSec pfSense
    • Rota 192.168.2.0/24 via Cisco (para solução de problemas, apenas no caso ...)

  • No servidor AD / DNS / DHCP do HQ

    • Escopo do DHCP para 192.168.254.0/24
    • GW: 192.168.254.253
    • DNS: 10.1.1.15
    • Escopo do DHCP para 192.168.1.0/24
    • GW: 192.168.1.1
    • DNS: 10.1.1.15

Depois de ter feito isso, o Vlan10 (verde) puxará o DHCP em 192.168.254.0/24 e o Vlan20 (rosa) puxará o DHCP em 192.168.1.0/24. O Vlan10 e o Vlan20 usarão 192.168.2.0/24 como uma sub-rede de trânsito no caso de o Vlan10 e o Vlan 20 precisarem enviar tráfego dentro desse escritório remoto (evitando assim um atraso na WAN para o tráfego intra-vlan local).

Qualquer coisa que tenha um endereço estático precisa usar o DNS para ter certeza de obter a migração perfeita possível entre o Vlan10 e o Vlan20.

Quando você quiser migrar as pessoas para a conexão IPSec do pfSense, basta colocá-las na Vlan 20 no switch ethernet; se eles não estiverem felizes por qualquer motivo, você pode movê-los de volta para a WAN T1 colocando-os no Vlan10.

    
por 04.07.2012 / 07:29
0

Mudar o assunto para um / 16 criaria um enorme intervalo de transmissão e provavelmente causaria novos problemas que tornariam difícil diagnosticar o desempenho do seu novo túnel.

Parece incrivelmente simples, mas existe alguma razão pela qual você não pode adicionar algumas rotas de políticas na Cisco para rotear seletivamente alguns IPs através da caixa pfsense ao invés do padrão gw?

Ou novamente, provavelmente muito simples, mas existe alguma razão pela qual você não possa simplesmente adicionar um segundo IP no novo intervalo, a qualquer máquina que esteja sendo testada, com um gateway de menor métrica? Então eles poderiam acessar qualquer assunto simultaneamente sem complicação?

    
por 27.06.2012 / 21:28
0

Eu gostaria de ir com Sonassi em termos de configuração de um intervalo secundário e depois transferir um cliente para o teste. Se você não puder reconfigurar totalmente mesmo um cliente, adicionar uma rota estática e um IP secundário ao cliente para o seu teste por meio do novo gateway permitiria deixá-lo na rede antiga e testar o novo intervalo.

    
por 27.06.2012 / 22:09

Tags

Como posso usar o rabbitmqctl para conectar-se a um servidor RabbitMQ hospedado remotamente? Ligações de sites padrão do Windows Small Business Server