O Agarrar a Vigilância VLAN é necessário

1

Estou tentando pensar em montar meu novo guarda-relógio M400. Aqui está o que preciso descobrir e o que fiz até agora.

Meu ISP me forneceu um IP P2P, que eu conectei na minha interface (endereço 107.). Eles também me têm um bloco de IPs em uma sub-rede diferente (faixa completamente diferente também, intervalo de 50.) então mantenha isso no fundo de sua mente. Eu também tenho um privado (192.) que eu quero usar.

Eu tenho a configuração da interface0 com o IP P2P (externo) e uma configuração interna (confiável) com um simples 192.

Eu tenho alguns switches atrás do firewall:

O switch 1 (nome: CORE1) é uma porta 48, que terá muitas VLANs. Porte um, obviamente, se for a porta do firewall (tronco).

A porta dois será um uplink para outro switch (nome: CORE2, VLAN = 4) para minha rede de câmeras separada.

Algumas outras portas serão privadas para o escritório em que a fornalha está alojada (rede confiável) VLAN = 5

O restante das portas na porta 48 (CORE1) será conectado a servidores que precisam de IPs públicos atribuídos a eles e, ao se comunicar com o exterior, precisam mostrar seus IPs públicos, e não o IP da minha fornalha ( que normalmente mostraria o endereço P2P)

Eu acho que fiz isso funcionar (mais ou menos), mas criando uma interface opcional, atribuindo o primeiro IP do meu bloco, então configurei outro bloco para o meu laptop e tudo funcionou magicamente.

O problema é que com essa abordagem eu precisaria ter várias conexões, indo da fornalha até o switch, o que eu acho que não funcionaria.

Eu tentei configurar a VLAN na caixa, mas ela quer que eu crie uma interface separada para o que eu não tenho certeza se quero fazer?

Eu incluí um desenho improvisado que fiz para ajudar você a visualizar:

Agora,minhasinterfacesnaminhafornalhasãoasseguintes:

Então você pode ver as três interfaces. Acabei de fazer o "VLANUplink" apenas para testar, então isso é lixo. Eu realmente gostaria de condensar tudo isso o máximo que puder.

Eu tentei brincar com as propriedades da VLAN, onde queria que eu configurasse uma interface especial para VLANs por algum motivo, e é por isso que você vê a interface "vlanuplink". Mais uma vez, isso é tudo lixo.

E para aqueles de vocês que me encaminham para artigos on-line, eu li muitos artigos a noite toda e não tenho permissão para publicá-los, já que não tenho "reputação" suficiente. Mas confie em mim.

Eu encontrei este artigo incrível aqui:

Como não posso postar link, vá para o google digite "usar endereço IP público atrás de xtm", é o primeiro PDF.

E eu acho que seria considerado o "cenário 1", mas corrija-me se estiver errado. Por favor, consulte o meu mapa de rede improvisado que eu desenhei para comparar. Eu quero tudo por trás do firewall, mas nada por trás do firewall para se comunicar uns com os outros, é por isso que o vlanning está lá.

    
por Gordon Snappleweed 03.04.2015 / 04:35

2 respostas

2

Como isso acaba de aparecer na primeira página - você provavelmente não precisou do cenário "use o endereço IP público por trás do XTM" e queria criar novas interfaces de VLAN.

Defina a interface 0 como Externa, aloque o endereço público como você fez.

Crie por 27.05.2015 / 06:20

1

Você está pedindo muito aqui, e em algum hardware bastante específico, então eu vou apenas dar algumas orientações de alto nível para manter isso razoável.

Primeiro, os servidores. Você quer que eles tenham IPs públicos. Tudo bem e bom. No entanto, eles também fazem parte da sua rede interna; dar-lhes IPs internos. Então você precisa configurar as políticas de encaminhamento de porta no watchguard para mapear o IP público de cada servidor e encaminhar o tráfego para o endereço interno correto. Você provavelmente vai querer emparelhar isso com a configuração de registros em seu servidor DNS local para que todos os domínios que você apontou publicamente para os IPs da Internet sejam apontados para os IPs locais, se você fizer a pesquisa dentro de sua rede.

Em seguida, os switches. Seu diagrama descreve o comutador CORE1 como muito mais importante / central que os outros. Se puder, você deve ter esse switch para fazer o roteamento vlan, em vez do watchguard. Esse switch deve ter uma interface virtual para cada vlan, e o que estiver fazendo o dhcp em sua rede deve distribuir o IP de interface apropriado no switch como o gateway padrão para todos os dispositivos. O próprio switch deve definir o IP interno do watchguard como gateway e ter rotas para todas as vlans. Em seguida, defina a porta indo para a watchguard como uma porta de tronco, ou apenas marque todas as vlans, exceto aquela para o IP interno do watchguard (esse será um membro sem tag).

Agora, no watchguard você configurar políticas NAT e rotas para cada uma das suas redes internas e, claro, as políticas de encaminhamento de porta para os servidores. Você só precisa configurar duas de suas interfaces para fazer isso, e um único cabo será capaz de lidar com todo esse tráfego.

Infelizmente, não posso ser mais específico do que isso. Eu configurei com sucesso uma série do Watchguard 400 dessa maneira, mas apenas como uma demonstração que mais tarde retornamos, e por isso não posso ser mais específico neste momento em que ir para cada opção. (FWIW, estamos usando o Untangle agora, e eu gosto muito melhor).

    
por 27.05.2015 / 05:35