none
Gateway MPLS o gateway firewall RRS feed

  • Domanda

  • Ciao a tutti

    scrivo in questo forum per dei dubbi che mi sono stati sollevati da un cliente, spero di poter avere un riscontro da parte vostra.

    Vi spiego lo scenario

    Il mio cliente ha una sede centrale e 3 sedi remote, tutte le sedi sono collegate con MPLS di telecom, i client di ogni sede remota hanno come gateway il proprio router MPLS 10.100.x.254 e navigano in internet passando dal centro stella.

    Nel centro stella il router MPLS è in HA ed ha come IP 172.16.4.252, mentre il router ha l'IP 172.16.4.12 ed è il GW di tutti i pc
    Questa rete è così configurata da circa 7 anni, soltanto che ieri la Telecom ha fatto l'upgrade della linea MPLS nella sede principale mettendo la fibra, da qui è uscito questo dubbio, in quanto alcuni client  delle sedi remote non riescono più ad andare in RDP su dei pc nella sede principale, lasciando il GW .12, mentre mettendo come GW il.252 della MPLS funziona.

    Grazie per il Vs. aiuto.
    Alberto

    venerdì 29 settembre 2017 11:30

Tutte le risposte

  • Ciao Alberto, forse c'è qualche router di troppo e non riesco a capire la configurazione. Se, come penso, sono stati cambiati gli apparati probabilmente manca qualche rotta.

    Domanda (esula dal problema. Pura curiosità): le sedi remote navigano attraverso il centro stella perché c'è un solo firewall?

    Saluti
    Nino


    www.testerlab.it

    venerdì 29 settembre 2017 12:11
    Moderatore
  • Scusa non capisco una cosa, nelle sedi remote il gateway dei PC deve essere il router locale 10.100.x.254, poi tu dovresti aver detto a Telecom di rigirarti tutto il traffico dell'MPLS verso il gateway principale 172.16.4.12 che usi per uscire su Internet.

    Puoi dare qualche info aggiuntiva?

    Grazie


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    venerdì 29 settembre 2017 12:16
  • Anche secondo me manca qualche rotta, comunque esatto, tutte le sedi passano dal centro stella e quindi dal firewall per uscire su internet.
    venerdì 29 settembre 2017 14:15
  • Tutte le sedi hanno il proprio router locale come gateway, cioè il .254

    Poi le sedi passano dal centro stella per poi andare su internet tramite il firewall con ip 172.16.4.254

    Anche secondo me manca all'interno dei router telecom qualche rotta però mi era venuto il dubbio su come configurare i client della sede principale e soprattutto il router MPLS del centro stella, a questo punto, secondo me deve essere collegato direttamente su firewall.

    venerdì 29 settembre 2017 14:18
  • In una situazione come la tua le sedi perifieriche devono avere come gateway esclusivamente il router MPLS di Telecom.

    Nella sede principale tutti gli host devono avere come gateway il gateway vero della rete, che sia un firewall o un semplice router, che usi per uscire su Internet. In questo dispositivo poi creare delle rotte statiche per le classi remote con il router MPLS Telecom come gateway.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    venerdì 29 settembre 2017 14:36
  • Grazie Andrea

    si sono d'accordo, ma le rotte nei router telecom della MPLS se ne occuperà Telecom, mi chiedevo che GW mettere negli hosts delle sede principale, se il router MPLS .252, oppure il firewall .12

    Resta inteso che le rotte all'interno del router debbano essere fatte in modo corretto da Telecom, ma era per capire quale scenario andare a impostare il più corretto possibile.

    Grazie ancora Andrea per la tua celerità.

    Alberto

    venerdì 29 settembre 2017 14:50
  • Te l'ho scritto nell'altro post, nella sede princiaple TUTTI gli host devono avere come unico gateway il tuo gateway vero verso Internet.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    venerdì 29 settembre 2017 14:53
  • Se capisco bene il 172.16.4.252 (centro stella) gestisce le rotte verso le tre sedi remote. Corretto?

     "TUTTI gli host devono avere come unico gateway il tuo gateway vero verso Internet" (vedi suggerimento di Andrea), io aggiungo che questo DEVE essere il firewall, quello con ip 172.16.4.254 su cui potresti, uso il condizionale, nel caso le rotte non fossero gestite dal centro stella in HA,  vedi ancora suggerimento di  Andrea "In questo dispositivo poi creare delle rotte statiche per le classi remote con il router MPLS Telecom come gateway."

    A questo punto mi rimane fuori dalla configurazione il " mentre il router ha l'IP 172.16.4.12 ed è il GW di tutti i pc"

    Concludendo qualcosa non torna! Cosa fa questo riuter??

    Per parlare, ecco, due possibili impostazioni :

    1. sedi remote MPLS -> MPLS sede centrale in HA (instradamento gestiti da telecom)  -> LAN ->firewall in HA ->internet

    Un hop in meno rispetto la seconda soluzione, ma nessun controllo su flussi di rete interni

    2. sedi remote MPLS -> MPLS sede centrale in HA (def GW il firewall)  -> LAN ->firewall in HA (instradamento gestito da te sul tuo FW)->internet

    Un hop in più, ma la possibilità di avere un controllo granualre anche sul traffico interno (es. security attack da una sede remota), implicitamente vi è un grado di complessità maggiore a fronte di un controllo più puntale.

    La prima soluzione è la piu diffusa, la seconda meno, ma ho anche visto soluzioni sedi "remote MPLS" ->FW interno -> lan ->FW->internet 

    Ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    domenica 1 ottobre 2017 22:01
  • Ciao Gastone

    grazie per la tua disponibilità.

    E' corretto, il router telecom MPLS del centro stella con 172.16.4.252 gestisce le rotte verso le altre sedi MPLS

    Una precisazione, il firewall, non il ROUTER come forse erroneamente ho scritto, ha come IP 172.16.4.12 ed è il gateway di tutti gli host della sede centrale.

    Quindi il punto 2 è il mio caso e che sarebbe lo scenario attuale corretto.

    Grazie

    martedì 3 ottobre 2017 08:08