web-dev-qa-db-ja.com

デュアルWANルーターでWAN2を介してSSHとデータベースポートをトンネルする

ISP-A:4mbps(1:1)ファイバー専用回線の静的IPアドレスおよびISP-B:20mbps(1:8)動的IPアドレスを使用したファイバー接続。

状況との関連はほとんどありません。現在、ISP(ISP-A)は1つしかなく、帯域幅はすべての人(AWS/Azureを閲覧およびアクセスする約25人)にとって十分ではないため、ローカルネットワークに別のISPを追加して次のようにする予定です。誰もが帯域幅の問題について文句を言うことなく閲覧/メールを送信できます。 ISP-Bは1:1接続ではなく、SLA)がないため、20mbpsのISP-Aよりもコストが低くなります。私たちのオフィスは開発者と非開発者のユーザーに分かれています。

開発ユーザー

  • LANの過半数とWiFiの3
  • AWS/Azureに接続します(インスタンスの着信ファイアウォールポリシーの固定IPとして接続する必要があります)。
  • インターネットを閲覧する必要があります(この時点でIPが修正されているかどうかは関係ありません)。それらのほとんどはSO/Git/Bitbucket/YTなどを行います。

開発者以外のユーザー

  • WiFiで過半数とLANで3
  • インターネットを閲覧し、mail/hangouts/skype/teamviewerを使用し、使用するものに静的IPを必要としません。

2番目のISP-Bを取得したら、すべてのブラウジングトラフィックをISP-B(20mbps)にチャネルし、すべての開発者がSSH用にISP-A(4mbps)経由でAWS/Azureに接続します。したがって、私の計画は、ISP-AをWAN1として、ISP-BをWAN2として設定することでした。

WAN1 172.16.0.1
WAN2 172.16.1.1

やらなければいけないことは、誰もがISP-B経由でインターネットを利用しているということです。開発者は、SSH(ポート22)、データベース接続(ポート5432)、およびISP-A経由の静的IPを必要とするその他のポートを使用します。

使用中の機器

  1. CiscoSG300-58マネージドスイッチ
  2. TP-LinkシングルWANルーター
  3. 3x Ubiquiti Unifi AP

購入のために提案された機器

  1. Ubiquiti USG-Pro4(デュアルWANを実行するため)
  2. 2倍以上のUbiquitiUnifi AP

総開発者数:10非開発者数:25

デフォルトゲートウェイを変更する代わりに、プロキシサーバーを設定せずにWAN2経由でインターネット(参照)を使用させるにはどうすればよいですか?

local-area-networkinternetgatewaywide-area-networkunifi
1
user2967920

そこで、USG-Pro-4を使用してこれを実行しました。

これらのルールを管理するためのUIはこの段階では完了していないため、SSHを介してカスタムルールを実装する必要があります。

アイデアは、WAN2経由でポート22,5432を送信し、WAN1でインターネットトラフィックを維持することです。

機器

  1. Cisco-SG300-52-DHCPの実行-172.16.0.1
  2. UnifiUSG-Pro-4-デュアルWANルーターオン-172.16.0.5/16
    1. WAN1:192.168.1.2上のファイバーマルチプレクサ
    2. WAN2:-192.168.2.1のファイバーからLANへのメディアコンバーター
  3. Unifi AP-3x Nos、DHCP経由でアドレスを取得、unifiコントローラーはグループ/ SSIDなどの管理に使用されます。

実装の概要

  • LAN1:172.16.0.0/16
  • WAN1:192.168.1.2/29ゲートウェイ:192.168.1.1
  • WAN2:192.168.2.2/29ゲートウェイ:192.168.2.1

ポート22および5432でLAN1から送信されるすべてのトラフィックは、USG-Pro-4で次のルールを使用してWAN2経由で送信されます。これにより、ブローイングは20mbps回線経​​由で発生し、データベース関連のすべての作業とSSHはWAN2経由で発生します(静的IP)。

USG-Pro-4の設定例

configure
set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1
set firewall modify LOAD_BALANCE rule 2950 action modify
set firewall modify LOAD_BALANCE rule 2950 modify table 1
set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16
set firewall modify LOAD_BALANCE rule 2950 destination port 22
set firewall modify LOAD_BALANCE rule 2950 protocol tcp
commit
save

これを使用して リンク 構成のためにスレッド全体にアクセスできます。あなたがする大きな戦車 BNT-jaffe

1
user2967920

ネットワークを半分に分割せずにインターネットを半分に分割する簡単な方法はありません。幸いなことに、これはとにかくやらなければならないと思っていたこととほとんど同じように聞こえます。

VLAN100をISPAを使用するように設定し、VLAN200をISP Bを使用するように設定している場合は、VLAN間ルーティングを実行して両方のネットワークの完全なLANアクセスを取得し、デフォルトゲートウェイをそれぞれのISPに設定してインターネットアクセスを制御できます。

さて、これを実行して、開発者と非開発者のすべてが、プラグインされているかWiFiに接続されているかに関係なく、正しいVLAN上にあるようにする場合、これを実現する方法は複数あります。

WiFiの場合、ユーザーを配置するVLANを指定するRADIUSサーバーでWPA2-Enterprise認証を使用できます。基本的に、WiFiに接続するために同じ共有キーを使用する代わりに、ユーザーは接続しますユーザー名とパスワードを使用します。提供されるユーザー名は、どのVLANに配置されるかを示します。UbiquitiUniFi(良い選択、ところで)は絶対にこれを行うことができます。

WiFiのもう1つのオプションは、各VLANに1つずつ2つのSSIDを設定し、スタッフにどちらかに接続するように指示することです。 UniFiはこれを非常に簡単に行うこともできます。

有線接続には、802.1xポートベースのネットワークアクセス制御を使用できます。基本的に、これはWPA2-enterpriseに似ています。ユーザーがネットワークに接続すると、オペレーティングシステムは、802.1x認証を実行する必要があることを検出し、ユーザーにネットワークのユーザー名/パスワードの入力を求めます(または、Active DirectoryとWindowsの場合はパスワードを渡します)。認証されると、802.1xはユーザーを適切なVLANに配置します。このようにして、ユーザーはどこにでもプラグインでき、それでも適切なネットワークに接続できます。

他のオプションは、ユーザーが静的な場合、ポートベースのVLANをイーサネットポートに手動で割り当てることです。そうすれば、座って特定のポートに接続する人は、2つのネットワークのいずれかになります。

この設定では、開発者はターミナル/ PuTTYを介してAWS/Azureに問題なく直接接続しますが、同じゲートウェイを介して参照するため、速度が低下します。

これは克服するのが難しい問題です。接続しているIPアドレスの非常に特定のセットがある場合は、いくつかのルーティングルールが役立つ可能性があります。しかし、その場合に起こりがちなのは、基本的なSPIファイアウォールがある場合、それらが開始されるのを確認しなかったために、リターン接続をドロップすることがよくあります(非同期ルーティング)。

しかし、開発者は今よりも悪化することはないようです。現在、1本の4Mbpsパイプに35人を押し込んでいます。今、あなたはそのパイプに10人しか押し込んでいないので、それでも勝利かもしれません。

0
Mark Henderson