none
Accesso dall'esterno ad un server che utilizza due router RRS feed

  • Domanda

  • Salve,

    su un server 2008 Standard SP2  ho configurato alcuni accessi dall'esterno (Terminal Server, VPN, VNC, etc) che funzionano regolarmente accedendo dal router (che chiamerò "Router A") che ho opportunamente configurato.

    Per esigenze di backup di linea, ho aggiunto un nuovo router (che chiamerò " Router B" - con un nuovo indirizzo IP) che ho configurato nella stessa maniera del precedente (stesse regole di portforwarding).

    Vorrei sapere se è possibile fare in modo che gli utenti esterni possano connettersi indifferentemente ad uno dei due indirizzi gestiti dai due router. Sarebbe infatti molto utile, nel caso in cui la linea del Router A risulti down, che gli utenti possano utilizzare l'accesso di backup attraverso il Router B.

    Ho provato ad inserire l'indirizzo IP privato del secondo router (Router B) come gateway alternativo nella scheda rete del server, ma così non riesco a contattare il server utilizzando l'IP pubblico associato al Router B. 

    Specifico che il Router B è configurato in maniera corretta perchè, se cambio temporaneamente il suo indirizzo IP privato, assegnandogli quello del Router A (dopo aver staccato quest'ultimo dalla LAN), riesco ad accedere al Server in questione da remoto.

    Nel caso in cui la mia richiesta richiedesse l'intervento non sulla scheda rete del server, ma direttamente nella configurazione degli applicativi utilizzati, Vi sarei grata se poteste indicarmi come modificare la configurazione in particolare per il Terminal Server e la VPN Windows (Routing e Accesso Remoto).

    Vi ringrazio anticipatamente per l'aiuto.

    martedì 26 luglio 2011 10:34

Risposte

Tutte le risposte

  • Quello che chiedi in effetti non è banale.

    Mi spiego meglio : il server accetta un solo gateway per cui la sua risposta a chiamate da IP "esterni" va sempre verso quell'indirizzo.

    Un trucco che si utilizza è quello di creare un ip virtuale e metterci dietro i due router, in modo che quello diventi il tuo gateway.

    Tra l'altro si tratta di meccanismi spesso basati su attivo / passivo, per cui risponde solo un router alla volta.

    Se fossero i router a creare la VPN, potresti creare routes diverse in base agli ip che assegni ai client ma non è il tuo caso.

     

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 26 luglio 2011 11:53
  • Oltre a quanto consigliato da Fabrizio Volpe una soluzione potrebbe essere un firewall che gestisce le multiwan le cui regole in ingresso puntano all'unico IP del server.

    Avresti un doppio vantaggio: Sicurezza perimetrale, due connessioni in ingresso e due connessioni in uscita.

     

    Saluti

    Nino

    martedì 26 luglio 2011 12:35
    Moderatore
  • I router Cisco fanno quello che serve a te sfruttando il Gateway Load Balancing Protocol (http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_glbp.html) oppure puoi usare i Fortinet con la doppia Wan, altrimenti con i normali dispositivi non credo sia possibile a meno che non stacchi a mano il router che ha la linea giù.

     

    Ciao

     

    martedì 26 luglio 2011 13:09
  • Come prima cosa grazie a tutti per le risposte.

    Per quanto riguarda la soluzione di cambiare i router, questa soluzione purtroppo non è praticabile perchè il Router A è completamente gestito dal gestore telefonico. Tra l'altro la soluzione che andrei ad attuare in questo momento è solo una "toppa" temporanea visto che prossimamente anche la linea/apparato di backup sarà gestito dal gestore telefonico.

    Un firewall che gestisca le multiwan.... potrebbe essere una soluzione visto che siamo in procinto di installare IpCop, ma a quanto pare, non supporta questa funzionalità.

    Quella che invece non mi è molto chiara è la soluzione dell'IP virtuale, in che cosa consisterebbe?

    martedì 26 luglio 2011 15:24
  • Se è temporaneo puoi sempre optare per la soluzione manuale.Configura il secondo router dandogli lo stesso IP dell'altro e tienilo scollegato dalla rete, in caso di problemi stacchi il cavo di rete dall'altro e lo colleghi a questo.

    Non è una soluzione automatica ne elegante, ma a costo zero e ti risolve il problema nell'immediato.

     

    Ciao

     

    martedì 26 luglio 2011 18:06
  • L'esempio più facile che posso fare di un IP virtuale è quello dell' HSRP di Cisco

    http://it.wikipedia.org/wiki/Hot_Standby_Router_Protocol

    Si tratta di un meccanismo di continuità piuttosto che di bilanciamento ma rende l'idea : sposi un IP virtuale ad un MAC virtuale in modo che gli utenti non abbiano tempi morti nel passagio da un router all'altro.

    Altro esempio di IP virtuali (non su router) è l' NLB di Microsoft


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 26 luglio 2011 20:19
  • Ho provato a dare uno sguardo all'NLB che forse potrebbe risolvere anche se lo vedo un pò macchinoso; dovrò studiarlo un pò. L'altra soluzione sembra essere proprietaria e riguarda stettamente i router e non la configurazione del sistema. Grazie comunque a tutti per l'aiuto
    mercoledì 27 luglio 2011 10:47
  • Diciamo che entrambi sono esempi che ti ho fatto solo per introdurre il concetto (ip virtuale = mac address virtuale).

    Grazie a te per il feedback.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 27 luglio 2011 12:36
  • Ciao Mistiria,

    Se alcuni post rispondono alla tua domanda, ricorda di contrassegnarli come risposta. In questo modo aiuterai gli altri utenti che riscontrano lo stesso scenario a trovare la risposta più velocemente.

    Ti aspettiamo ancora sul forum nel caso avessi bisogno di altri consigli per il tuo itinerario.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Buon Exchange a tutti!

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    venerdì 29 luglio 2011 07:05