Tunnel SSH e portas do banco de dados via WAN2 em um roteador WAN duplo

Navegue suas respostas
1

ISP-A: 4mbps (1: 1) endereço IP estático da linha alugada de fibra e ISP-B: conexão de fibra de 20mbps (1: 8) com endereço IP dinâmico .

Pouco contexto para a situação, atualmente temos apenas um ISP (ISP-A) e como a largura de banda não é suficiente para todos (cerca de 25 pessoas navegando e acessando o AWS / Azure) estamos planejando adicionar outro ISP ao nosso rede local para que eles possam navegar / enviar mensagens de forma pacífica. O ISP-B custa menos do que o ISP-A para 20mbps, pois não é uma conexão 1: 1 e eles não têm nenhum SLA conosco. Nosso escritório é dividido em usuários de Devs e Non Dev.

Usuários de desenvolvedores

  • Maioria na LAN & 3 em WiFi
  • Conecte-se ao AWS / Azure (precisa ser conectado como um IP fixo para políticas de firewall de entrada para instâncias).
  • Precisa navegar na internet (não importa se o IP está fixo neste ponto). A maioria faz SO / Git / Bitbucket / YT etc.

Usuários não-desenvolvedores

  • Maioria em Wi-Fi e & 3 na LAN
  • Navegue na Internet, use o recurso de e-mail / hangouts / skype / teamviewer e não precise de nenhum IP estático para o que eles usam.

Assim que obtivermos o 2º ISP-B, eu gostaria de canalizar todo o tráfego de navegação para o ISP-B (20mbps) & todos os devs se conectam ao AWS / Azure via ISP-A (4mbps) para SSH. Então, meu plano era definir o ISP-A como WAN1 e o ISP-B como WAN2, por exemplo: 

WAN1 172.16.0.1
WAN2 172.16.1.1

O que precisa ser feito é que todos usam a internet via ISP-B. Devs usam SSH (Port 22), conexões de banco de dados (Port 5432) e algumas outras portas que requerem IP estático via ISP-A.

Equipamento em uso

  1. Switch gerenciado CISCO SG300-58
  2. Roteador WAN único TP-Link
  3. 3x AP Unifi Ubiquiti

Equipamento proposto para compra

  1. Ubiquiti USG-Pro4 (para fazer WAN dupla)
  2. 2x mais AP Unifi Ubiquiti

Total de Devs: 10 Total não Devs: 25

Em vez de alterar seu gateway padrão, como posso fazê-lo usar a Internet (Browse) via WAN2 sem configurar um servidor proxy?

    
por user2967920 03.05.2017 / 09:11

2 respostas

1

Então terminei isso usando um USG-Pro-4.

Uma regra personalizada precisa ser implementada para isso via SSH, pois a interface do usuário não está completa neste estágio para gerenciar essas regras.

A idéia é enviar a porta 22,5432 para fora via WAN2 e manter o tráfego da Internet na WAN1.

Equipamento

  1. Cisco-SG300-52 - Fazendo DHCP - 172.16.0.1
  2. Unifi USG-Pro-4 - Roteador Dual WAN ligado - 172.16.0.5/16
    1. WAN1: Fiber mux em 192.168.1.2
    2. WAN2: - Conversor de mídia de fibra para LAN em 192.168.2.1
  3. Unifi AP - 3x Nos, obter endereços via DHCP, o unifi controller é usado para gerenciar grupos / SSID etc.

Visão geral da implementação

  • LAN1: 172.16.0.0/16
  • WAN1: 192.168.1.2/29 Gateway: 192.168.1.1
  • WAN2: 192.168.2.2/29 Gateway: 192.168.2.1

Todo o tráfego proveniente da saída LAN1 na porta 22 e 5432 é enviado via WAN2 usando a seguinte regra no USG-Pro-4, isso permite que a browing aconteça via linha de 20mbps e que todo o trabalho relacionado a banco de dados e SSH aconteça via WAN2 (IP estático).

Exemplo de configuração para o USG-Pro-4 

configure
set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1
set firewall modify LOAD_BALANCE rule 2950 action modify
set firewall modify LOAD_BALANCE rule 2950 modify table 1
set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16
set firewall modify LOAD_BALANCE rule 2950 destination port 22
set firewall modify LOAD_BALANCE rule 2950 protocol tcp
commit
save

Você pode usar este Link para acessar o thread inteiro para configuração. Um grande tanque para UBNT-jaffe .

    
por 22.06.2017 / 11:14
0

Não existe uma maneira fácil de dividir a internet pela metade sem dividir suas redes pela metade. A boa notícia é que isso parece muito com o que você esperava ter que fazer de qualquer maneira.

Se você tiver VLAN100 configurado para usar o ISP A e VLAN200 configurado para usar o ISP B, poderá rotear entre vlan para obter acesso total à LAN para ambas as redes e definir seus gateways padrão para os respectivos ISPs para controlar a Internet. acesso.

Agora, se você quiser fazer isso para que todos os seus desenvolvedores e não desenvolvedores estejam nas VLANs corretas, independentemente de estarem conectados ou conectados por Wi-Fi, há várias maneiras de conseguir isso.

Para o seu WiFi, você pode usar a autenticação WPA2-Enterprise com um servidor RADIUS que especifica em qual vlan colocar o usuário. Essencialmente, em vez de ter a mesma chave compartilhada para se conectar ao WiFi, os usuários se conectam com um nome de usuário e senha. O nome de usuário que eles fornecem indica em qual VLAN eles serão colocados. A Ubiquiti UniFi (boa escolha, a propósito) pode absolutamente fazer isso.

A outra opção para WiFi seria apenas ter dois SSIDs, um em cada VLAN, e você apenas instruir sua equipe a se conectar a um ou outro. A UniFi também pode fazer isso com muita facilidade.

Para suas conexões com fio, você pode usar o controle de acesso de rede baseado em porta 802.1x. Essencialmente, isso é semelhante ao WPA2-enterprise. Quando um usuário se conecta à rede, o sistema operacional detecta que você precisa fazer a autenticação 802.1xe solicita ao usuário um nome de usuário / senha de rede (ou ele passa por um, no caso do Active Directory e do Windows). Uma vez autenticado, o 802.1x colocará o usuário na VLAN apropriada. Dessa forma, os usuários podem se conectar onde quiserem e ainda assim ficarem na rede certa.

A outra opção, se seus usuários são estáticos, é apenas designar manualmente as VLANs baseadas em porta para sua porta ethernet e assim qualquer pessoa que se senta e se conecta a uma determinada porta terminará em uma das duas redes. / p>

With this setup, the devs would connect to AWS/Azure directly via Terminal/Putty without any issues but they would also browse via the same gateway which would be slower.

Este é um problema difícil de superar. Se você tiver um conjunto muito específico de endereços IP ao qual está se conectando, algumas regras de roteamento poderão ser úteis. Mas o que tende a acontecer é que, se você tiver um firewall SPI básico, eles geralmente descartarão as conexões de retorno porque não as viram iniciadas (roteamento assíncrono).

Mas parece que os desenvolvedores não ficarão piores do que estão agora. Agora você está empurrando 35 pessoas no único canal de 4Mbps. Agora você está apenas empurrando 10 pessoas para baixo, então ainda pode ser uma vitória.

    
por 03.05.2017 / 12:01

Tags

Como fazer com que o Tomcat 8.5 RewriteValve funcione com o AJP1.3 JKMount? FTP do Filezilla com o mecanismo de computação do Google Cloud A instância virtual do Windows não está listando o diretório