1 votes

user2967920 avatar

Tunnel SSH et les ports de base de données via WAN2 dans un routeur double WAN

Demandé el 3 de Mai, 2017
Quand la question a-t-elle été
1195 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

ISP-A : 4mbps (1:1) ligne louée en fibre avec adresse IP fixe et ISP-B : 20mbps (1:8) connexion en fibre avec adresse IP dynamique.

Un peu de contexte sur la situation, actuellement nous n'avons qu'un seul FAI (ISP-A) et comme la bande passante n'est pas suffisante pour tout le monde (environ 25 personnes naviguant et accédant à AWS/Azure), notre plan est d'ajouter un autre FAI à notre réseau local pour que tout le monde puisse naviguer/envoyer des e-mails sans se plaindre des problèmes de bande passante. ISP-B coûte moins cher que ISP-A pour 20mbps car ce n'est pas une connexion 1:1 et ils n'ont aucun SLA avec nous. Notre bureau est divisé en utilisateurs Devs et Non Devs.

Utilisateurs Devs

  • Majorité en LAN & 3 en WiFi
  • Se connectent à AWS/Azure (doivent être connectés en tant qu'IP fixe pour les politiques de pare-feu entrantes pour les instances).
  • Ont besoin de naviguer sur internet (peu importe si l'IP est fixe à ce stade). La plupart d'entre eux font du SO/Git/Bitbucket/YT etc.

Utilisateurs Non Devs

  • Majorité en WiFi & 3 en LAN
  • Navigation sur internet, utilisation de la messagerie/hangouts/skype/teamviewer et n'ont pas besoin d'IP statique pour ce qu'ils utilisent.

Une fois que nous aurons le 2ème ISP-B, je voudrais rediriger tout le trafic de navigation vers ISP-B (20mbps) et tous les devs se connecteront à AWS/Azure via ISP-A (4mbps) pour SSH. Donc mon plan était de définir ISP-A en tant que WAN1 et ISP-B en tant que WAN2, par exemple :

WAN1 172.16.0.1
WAN2 172.16.1.1

Ce qui doit être fait est que tout le monde utilise internet via ISP-B. Les Devs utilisent SSH (Port 22), les connexions de base de données (Port 5432) et certains autres ports qui nécessitent une IP statique via ISP-A.

Équipement utilisé

  1. Commutateur géré CISCO SG300-58
  2. Routeur TP-Link avec une seule WAN
  3. 3x points d'accès Ubiquiti Unifi

Équipement proposé à l'achat

  1. Ubiquiti USG-Pro4 (pour faire du Dual WAN)
  2. 2x autres points d'accès Ubiquiti Unifi

Total Devs : 10 Total Non Devs : 25

Au lieu de changer leur passerelle par défaut, comment puis-je les faire utiliser internet (Navigation) via WAN2 sans configurer de serveur proxy ?

Demandé el 3 de Mai, 2017 par user2967920

Réponses

Trop de publicités?

1voto

user2967920 avatar
user2967920 Points 121

Donc j'ai fait cela en utilisant un USG-Pro-4.

Une règle personnalisée doit être mise en œuvre pour cela via SSH car l'interface utilisateur n'est pas complète à ce stade pour gérer ces règles.

L'idée est d'envoyer les ports 22 et 5432 via WAN2 et de maintenir le trafic Internet sur WAN1.

Équipement

  1. Cisco-SG300-52 - Faisant DHCP - 172.16.0.1
  2. Unifi USG-Pro-4 - Routeur Double WAN sur - 172.16.0.5/16
    1. WAN1 : Multiplexeur en fibre sur 192.168.1.2
    2. WAN2 : - Convertisseur de média fibre vers LAN sur 192.168.2.1
  3. Unifi AP - 3x unités, obtenir des adresses via DHCP, le contrôleur unifi est utilisé pour gérer les groupes/SSID etc.

Vue d'ensemble de l'implémentation

  • LAN1 : 172.16.0.0/16
  • WAN1 : 192.168.1.2/29 Passerelle : 192.168.1.1
  • WAN2 : 192.168.2.2/29 Passerelle : 192.168.2.1

Tout le trafic sortant de LAN1 sur les ports 22 et 5432 est envoyé via WAN2 en utilisant la règle suivante sur l'USG-Pro-4, cela permet la navigation à travers la ligne à 20 Mbps et tout travail lié à la base de données et SSH à passer par WAN2 (IP statique).

Exemple de configuration pour l'USG-Pro-4

configure
set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1
set firewall modify LOAD_BALANCE rule 2950 action modify
set firewall modify LOAD_BALANCE rule 2950 modify table 1
set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16
set firewall modify LOAD_BALANCE rule 2950 destination port 22
set firewall modify LOAD_BALANCE rule 2950 protocol tcp
commit
save

Vous pouvez utiliser ce Lien pour accéder à l'ensemble du fil de discussion pour la configuration. Un grand merci à UBNT-jaffe.

Répondu el 22 de Juin, 2017 par user2967920 (121 Points )

0voto

Shlomi Fish avatar
Shlomi Fish Points 1951

Il n'y a pas de moyen facile de diviser Internet en deux sans diviser également vos réseaux en deux. La bonne nouvelle est que cela ressemble assez à ce que vous vous attendiez à devoir faire de toute façon.

Si vous avez VLAN100 configuré pour utiliser le FAI A et VLAN200 configuré pour utiliser le FAI B, alors vous pouvez faire du routage inter-vlan pour obtenir un accès complet au LAN pour les deux réseaux, et définir vos passerelles par défaut vers les FAI respectifs pour contrôler l'accès à Internet.

Maintenant, si vous vouliez faire en sorte que tous vos développeurs et non-développeurs soient sur les bons VLAN, que ce soit branchés ou en WiFi, il existe plusieurs façons d'y parvenir.

Pour votre WiFi, vous pourriez utiliser une authentification WPA2-Enterprise avec un serveur RADIUS qui spécifie le VLAN sur lequel placer l'utilisateur. Essentiellement, au lieu d'avoir la même clé partagée pour se connecter au WiFi, les utilisateurs se connectent avec un nom d'utilisateur et un mot de passe. Le nom d'utilisateur fourni indique sur quel VLAN ils seront placés. Ubiquiti UniFi (un bon choix, d'ailleurs) peut absolument le faire.

L'autre option pour le WiFi serait simplement d'avoir deux SSID, un sur chaque VLAN, et il suffit d'instruire votre personnel de se connecter à l'un ou à l'autre. UniFi peut également le faire très facilement.

Pour vos connexions câblées, vous pouvez utiliser le contrôle d'accès au réseau basé sur le port 802.1x. Essentiellement, c'est similaire à WPA2-Enterprise. Lorsqu'un utilisateur se branche sur le réseau, le système d'exploitation détecte que vous devez effectuer une authentification 802.1x et demande à l'utilisateur un nom d'utilisateur/mot de passe réseau (ou le transmet dans le cas de l'Active Directory et de Windows). Une fois authentifié, 802.1x placera l'utilisateur sur le VLAN approprié. De cette façon, les utilisateurs peuvent se brancher où ils veulent et se retrouver sur le bon réseau.

L'autre option, si vos utilisateurs sont fixes, est simplement d'assigner manuellement des VLAN basés sur les ports à leur port Ethernet et ainsi toute personne qui s'assoit et se branche sur un port donné se retrouvera sur l'un des deux réseaux.

Avec cette configuration, les développeurs se connecteraient directement à AWS/Azure via Terminal/Putty sans aucun problème mais ils navigueraient également via la même passerelle, ce qui serait plus lent.

C'est un problème difficile à surmonter. Si vous avez un ensemble très spécifique d'adresses IP auxquelles vous vous connectez, alors quelques règles de routage pourraient être utiles. Mais ce qui a tendance à se produire ensuite, c'est que si vous avez un pare-feu SPI de base, il arrive souvent qu'ils rejettent les connexions de retour parce qu'ils ne les ont pas vues être initiées (routage asynchrone).

Mais il semble que les développeurs ne seront pas plus mal lotis qu'ils ne le sont actuellement. Actuellement, vous enfoncez 35 personnes dans un tuyau de 4 Mbps. Maintenant, vous n'en enfoncez que 10 dans ce tuyau, donc cela pourrait quand même être une victoire.

Répondu el 3 de Mai, 2017 par Shlomi Fish (1951 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X