Due reti Due firewall Due connessioni e un ponte radio

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
Buonasera

Mi servirebbe aiuto per poter collegare due reti tra loro con vpn e ponte radio....
Allora le due reti sono
(RETE A) 192.168.0.0/22
(RETE B) 192.168.4.0/22

Sono visibili tra loro tramite le connessioni internet e relativa vpn sui due firewall

Ora la mia problematica nasce dal fatto di voler attivare un ponte radio tra le due sedi e dargli priorità rispetto alla vpn.

Qualcuno mi può aiutare?
 

Allegati

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Ciao,
Come mai /22?
Ma tu vuoi un meccanismo automatico? nel senso, se va giù il ponte radio vanno in automativo le vpn?
Che Firewall usi? i ponti radio dove li hai collegati?
 

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
Attualmente il ponte radio è collegato direttamente ai due switch, ma in questo modo io non riesco a gestirlo, ad esempio se faccio un dhcp in una sede e nell'altra chiaramente avendo il ponte radio sullo switch gli ip vengono assegnati sia da una che dall'altra macchina

Vorrei un meccanismo automatico.
Attualmente se cade il ponte radio continuano a funzionare tramite vpn

Attualmente sono presenti due fortinet f40c ma mi piacerebbe sostituirli con hw diverso che mi gestisca quello che io ho intezione di fare

La rete in /22 mi serve perché attualmente non ho ancora degli switch management che sono in procinto di arrivare e mi sono preparato la strada per poter dividere in 4 le due sedi,
con una /24 per la rete classica
una /24 per la wifi
una /24 per la videosorveglianza ip
e una /24 per tutti i macchinari da lavoro
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Ok ma quindi tu vuoi una /24 per la rete classica ma per entrambe le sedi?
Non è meglio una /24 per ogni sede? ovviamente il resto della suddivisione è perfetto! più è segmentata la rete è meglio sarà gestirla...

Fortinet sono perfetti, almeno per me:p li uso anche io! :p

Il 40c non lo conosco bene, ha 2 porte wan?
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Da una ricerca veloce ho visto che dovrebbe avere le 2 wan, allora la cosa migliore è fare questo, cosa ne pensi?
Disegno1.jpg
 

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
È quello che vorrei fare ma non so come impostare la wan 1 sul ponte radio e di conseguenza la vpn associata
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Allora secondo me li devi trattare con altri 2 IP.
Per non confonderti io li chiamerei
172.16.0.1/24
172.16.1.1/24

anche se due /24 sono esagerate, almeno è più facile capire in fase di realizzazione... con 2 Ip diversi dalla tua rete potrai collegarli in WAN sul firewall e gestire le priorità da lì.
Una volta fatto questo puoi vedere anche il routinf dinamico per il backup a caldo...
 

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
Quindi
Per non sbagliare sul firewall A assegno alla porta wan1 questo ip 172.16.0.1/24 e sul dispositivo radio associato 172.16.0.2/24

e di conseguenza sul firewall B 172.16.1.1/24 e al dispositivo 172.16.1.2/24
Corretto?

Ma poi come imposto la vpn?
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
ma attualmente hai la wan 1 libera? la connettività esistente dove è collegata? sulla wan2?

La VPN la devi fare come quella che hai adesso! se non ho capito male tu hai il provider internet collegato ai 2 firewall, e hai fatto la VPN, giusto? la VPN deve essere uguale!

Per il pino di indirizzamento metti quello che hai scritto tu...
 

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
Ok provo...

Attualmente il provider internet è collegato sulla wan1 sia su un firewall che sull'altro
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Se riesci sarebbe meglio spostare il provider internet sulla wan2, in quanto il fortinet segue un ordine logico e wan1 ha priorità rispetto a wan2, comunque se non ti va di spostare puoi collegare il ponte radio anche sulla wan2 e poi gestire le priorità a mano... Si può fare tutto ma l'ordine logico è già fatto, l'altro lo devi realizzare!

Tieni presente che puoi collegare su wan2 i ponti se vuoi fare qualche test prima di andare in produzione, così non crei disservizi!
 

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
Ho testato la configurazione ma con esito negativo..probabilmente manca ancora qualche tassello...ho assegnato 172.16.0.1 al firewall A e 172.16.1.1 al firewall B mentre al ponte radio ho assegnato al punto A 172.16.0.2 e al punto B 172.16.1.2
Non capisco se devo impostare l getway sui firewall e se devo di conseguenza sulla wan1 e se devo di conseguenza assegnare un piano di indirizzamento diverso da 0.0.0.0\0.0.0.0
Mi chedo Se fosse meglio acquistare un altro firewall divers dal fortinet 40c
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Ciao,
Se il 40c ha 2 wan va benissimo!

Da quello che scrivi sembra tutto corretto! Li hai messi su wan 1 i ponti?
Certo che devi mettere le rotte! Devi impostare sul FW A il network della sede B e viceversa!

Devi intervenire sul routing. Imposta le rotte e dovrebbe andare! le antenne come sono configurate? anche loro devono essere ruotate correttamente, altrimenti devi tirare su una vpn
 

robyghido

Nuovo Utente
19 Nov 2015
8
0
0
Fatto!!!! Grazie!!!!

Allora ho messo una classe per il ponte radio uguale per entrambi i firewall quindi
Sul firewall A 172.16.0.1/24 e la sua radio 172.16.0.2/24
Sul firewall B notte 172.16.0.4/24 e la sua radio 172.16.0.3/24

Ho attivato la vpn sul ponte radio e ho bilanciato con una vpn sulla rete internet

Adesso mi manca solo provare a bilanciare anche la rete internet in modo da far sì che se una linea dati cade passa tramite il ponte radio e prende internet tramite l'altra sede.

Grazie ancora
 

Pieroz

Moderatore
Membro dello Staff
MOD
18 Lug 2012
553
2
18
Altino
Grande!
Sei diventato un esperto!
Mi fa piacere se ti sono stato di aiuto, purtroppo sono un po' incasinato e non ho potuto fare di più!

Attenzione con il bilanciamento! Se metti lo stesso peso alle 2 wan è bello perchè usa entrambi ma ti ritrovi un PC che passa per una strada e l'altro per un'altra strada!
Io sono del parere di specificare bene i pesi e dare le priorità giuste! Tipo al ponte più importanza e internet il backup.
Se poi vuoi il backup a caldo, quindi senza tuo intervento, dovresti passare da un routing statico a quello dinamico (tipo OSPF o RIP)con questa soluzione avresti il backup che va in automatico sulla strada attiva.