Con più domande
Gateway MPLS o gateway firewall

Domanda
-
Ciao a tutti
scrivo in questo forum per dei dubbi che mi sono stati sollevati da un cliente, spero di poter avere un riscontro da parte vostra.
Vi spiego lo scenario
Il mio cliente ha una sede centrale e 3 sedi remote, tutte le sedi sono collegate con MPLS di telecom, i client di ogni sede remota hanno come gateway il proprio router MPLS 10.100.x.254 e navigano in internet passando dal centro stella.
Nel centro stella il router MPLS è in HA ed ha come IP 172.16.4.252, mentre il router ha l'IP 172.16.4.12 ed è il GW di tutti i pc
Questa rete è così configurata da circa 7 anni, soltanto che ieri la Telecom ha fatto l'upgrade della linea MPLS nella sede principale mettendo la fibra, da qui è uscito questo dubbio, in quanto alcuni client delle sedi remote non riescono più ad andare in RDP su dei pc nella sede principale, lasciando il GW .12, mentre mettendo come GW il.252 della MPLS funziona.
Grazie per il Vs. aiuto.
Alberto
Tutte le risposte
-
Ciao Alberto, forse c'è qualche router di troppo e non riesco a capire la configurazione. Se, come penso, sono stati cambiati gli apparati probabilmente manca qualche rotta.
Domanda (esula dal problema. Pura curiosità): le sedi remote navigano attraverso il centro stella perché c'è un solo firewall?
Saluti
Ninowww.testerlab.it
-
Scusa non capisco una cosa, nelle sedi remote il gateway dei PC deve essere il router locale 10.100.x.254, poi tu dovresti aver detto a Telecom di rigirarti tutto il traffico dell'MPLS verso il gateway principale 172.16.4.12 che usi per uscire su Internet.
Puoi dare qualche info aggiuntiva?
Grazie
Andrea Sistarelli
Blog
Datacen srl - Consulenza informatica -
-
Tutte le sedi hanno il proprio router locale come gateway, cioè il .254
Poi le sedi passano dal centro stella per poi andare su internet tramite il firewall con ip 172.16.4.254
Anche secondo me manca all'interno dei router telecom qualche rotta però mi era venuto il dubbio su come configurare i client della sede principale e soprattutto il router MPLS del centro stella, a questo punto, secondo me deve essere collegato direttamente su firewall.
-
In una situazione come la tua le sedi perifieriche devono avere come gateway esclusivamente il router MPLS di Telecom.
Nella sede principale tutti gli host devono avere come gateway il gateway vero della rete, che sia un firewall o un semplice router, che usi per uscire su Internet. In questo dispositivo poi creare delle rotte statiche per le classi remote con il router MPLS Telecom come gateway.
Ciao
Andrea Sistarelli
Blog
Datacen srl - Consulenza informatica -
Grazie Andrea
si sono d'accordo, ma le rotte nei router telecom della MPLS se ne occuperà Telecom, mi chiedevo che GW mettere negli hosts delle sede principale, se il router MPLS .252, oppure il firewall .12
Resta inteso che le rotte all'interno del router debbano essere fatte in modo corretto da Telecom, ma era per capire quale scenario andare a impostare il più corretto possibile.
Grazie ancora Andrea per la tua celerità.
Alberto
-
Te l'ho scritto nell'altro post, nella sede princiaple TUTTI gli host devono avere come unico gateway il tuo gateway vero verso Internet.
Ciao
Andrea Sistarelli
Blog
Datacen srl - Consulenza informatica -
Se capisco bene il 172.16.4.252 (centro stella) gestisce le rotte verso le tre sedi remote. Corretto?
"TUTTI gli host devono avere come unico gateway il tuo gateway vero verso Internet" (vedi suggerimento di Andrea), io aggiungo che questo DEVE essere il firewall, quello con ip 172.16.4.254 su cui potresti, uso il condizionale, nel caso le rotte non fossero gestite dal centro stella in HA, vedi ancora suggerimento di Andrea "In questo dispositivo poi creare delle rotte statiche per le classi remote con il router MPLS Telecom come gateway."
A questo punto mi rimane fuori dalla configurazione il " mentre il router ha l'IP 172.16.4.12 ed è il GW di tutti i pc"
Concludendo qualcosa non torna! Cosa fa questo riuter??
Per parlare, ecco, due possibili impostazioni :
1. sedi remote MPLS -> MPLS sede centrale in HA (instradamento gestiti da telecom) -> LAN ->firewall in HA ->internet
Un hop in meno rispetto la seconda soluzione, ma nessun controllo su flussi di rete interni
2. sedi remote MPLS -> MPLS sede centrale in HA (def GW il firewall) -> LAN ->firewall in HA (instradamento gestito da te sul tuo FW)->internet
Un hop in più, ma la possibilità di avere un controllo granualre anche sul traffico interno (es. security attack da una sede remota), implicitamente vi è un grado di complessità maggiore a fronte di un controllo più puntale.
La prima soluzione è la piu diffusa, la seconda meno, ma ho anche visto soluzioni sedi "remote MPLS" ->FW interno -> lan ->FW->internet
Ciao
Gastone Canali >http://www.armadillo.it
Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere- Modificato GastoneCanali domenica 1 ottobre 2017 22:02
-
Ciao Gastone
grazie per la tua disponibilità.
E' corretto, il router telecom MPLS del centro stella con 172.16.4.252 gestisce le rotte verso le altre sedi MPLS
Una precisazione, il firewall, non il ROUTER come forse erroneamente ho scritto, ha come IP 172.16.4.12 ed è il gateway di tutti gli host della sede centrale.
Quindi il punto 2 è il mio caso e che sarebbe lo scenario attuale corretto.
Grazie