Назад | Перейти на главную страницу

Предложения по переходу на новый GW / частную сеть

Я заменяю частный канал T1 новым устройством межсетевого экрана с туннелем ipsec для филиала. Я пытаюсь найти правильный способ перевести людей с нового сайта на новое соединение, чтобы они по умолчанию использовали гораздо более быстрый туннель.

Существующая сеть: 192.168.254.0/24, gw 192.168.254.253 (маршрутизатор Cisco подключен к частному t1)

Тестовая сеть, которую я использовал с туннелем ipsec: 192.168.1.0/24, gw 192.168.1.1 (pfsense fw подключен к общедоступному Интернету), также подключен к тому же коммутатору, что и старая сеть.

В существующей подсети, вероятно, есть ~ 20-30 сетевых устройств, около 5 со статическими IP-адресами. Удаленная конечная точка уже является брандмауэром - я не могу настроить избыточные ссылки на существующую подсеть. Другими словами, как только я изменю конфигурацию туннеля на 192.168.254.0/24, все устройства в существующей подсети перестанут работать, потому что они указывают не на тот шлюз.

Мне нужна некоторая возможность делать это медленно - чтобы я мог перемещать несколько клиентов и проверять стабильность нового канала, прежде чем перемещать важные службы или менее терпимых пользователей.

Как правильно это сделать? Изменить маску сети на всех устройствах на / 16 и обновить шлюз, чтобы он указывал на новое устройство? Могло ли это вызвать проблемы? Кроме того, как мне обращаться с DNS? Блок pfsense не знает о моей среде Active Directory. Но если я изменю DNS для использования локальных серверов, это приведет к огромному замедлению, поскольку запросы DNS по-прежнему будут маршрутизироваться через частный t1. Мне нужна помощь в разработке плана, который не будет слишком разрушительным, но действительно позволит мне тщательно протестировать стабильность туннеля IPSEC, прежде чем я сделаю последний переход.

Версия AD - 2008R2, как и серверы. Рабочие станции - это в основном Windows XP SP3. Я не настраивал 192.168.1.0/24 как сайт на сайтах и ​​службах AD.

Лучший способ миграции - назначить пользователей в разные Vlan с адресацией, управляемой DHCP; Vlan необходимы, потому что вам нужен способ содержать широковещательные рассылки DHCP в пределах вашего Cisco / pfSense FW. Если вы не поддерживаете широковещательную рассылку DHCP между этими подсетями, вы получите хаос и непредсказуемую связь.

Для выполнения этого плана вам понадобится следующее HW, которое явно не упоминалось в вашем вопросе:

  • Коммутатор, поддерживающий Vlan
  • Центральный DNS / DHCP-сервер

Настройте следующие элементы:

  • На маршрутизаторе Cisco:

    • Предположим, что Eth0 подключен к вашему коммутатору, Cisco должна поддерживать транкинг Vlan.
    • Интерфейс Eth0.10 - 192.168.254.253/24 (по умолчанию gw для Vlan10)
    • Интерфейс Eth0.30 - 192.168.2.2/24 (транзитная подсеть между pfSense / Cisco)
    • Маршрут по умолчанию к маршрутизатору HQ
    • Перенаправление DHCP на 10.1.1.15 на Eth0.10 (ip helper-address 10.1.1.15)
    • Маршрут к pfSense LAN intf: ip route 192.168.1.0 255.255.255.0 192.168.2.1
  • На прошивке pfSense

    • Предположим, что Eth0 подключен к вашему коммутатору, pfSense поддерживает транкинг Vlan.
    • Интерфейс Eth0.20 - 192.168.1.1/24 (по умолчанию gw для Vlan20)
    • Интерфейс Eth0.30 - 192.168.2.1/24 (транзитная подсеть между pfSense / Cisco)
    • Маршрут по умолчанию к маршрутизатору HQ через туннель IPSec
    • Конфигурация IPSec
    • Перенаправление DHCP на 10.1.1.15 на Eth0.20
    • Маршрут к Cisco LAN intf через 192.168.2.2
  • HQ-маршрутизатор (-ы)

    • Маршрут 192.168.254.0/24 через Cisco
    • Маршрут 192.168.1.0/24 через туннель pfSense IPSec
    • Маршрут 192.168.2.0/24 через Cisco (для устранения неполадок, на всякий случай ...)
  • На сервере HQ AD / DNS / DHCP

    • Область DHCP для 192.168.254.0/24
    • GW: 192.168.254.253
    • DNS: 10.1.1.15
    • Область DHCP для 192.168.1.0/24
    • GW: 192.168.1.1
    • DNS: 10.1.1.15

После того, как вы это сделаете, Vlan10 (зеленый) потянет DHCP на 192.168.254.0/24, а Vlan20 (розовый) потянет DHCP на 192.168.1.0/24. Vlan10 и Vlan20 будут использовать 192.168.2.0/24 в качестве транзитной подсети в случае, если Vlan10 и Vlan 20 должны отправлять трафик в этот удаленный офис (тем самым предотвращая задержку WAN для локального трафика внутри vlan).

Все, что имеет статический адрес, должно использовать DNS, чтобы обеспечить максимально плавную миграцию между Vlan10 и Vlan20.

Если вы хотите перенести людей на соединение pfSense IPSec, просто поместите их в Vlan 20 на коммутаторе Ethernet; если они недовольны по какой-либо причине, вы можете переместить их обратно в T1 WAN, поместив их в Vlan10.

Я бы пошел с Sonassi в плане настройки вторичного диапазона, а затем переместил бы одного клиента к нему для тестирования. Если вы не можете позволить себе полностью перенастроить даже одного клиента, то добавление статического маршрута и вторичного IP-адреса к клиенту для тестирования через новый шлюз позволит вам оставить его в старой сети и протестировать новый диапазон.

Изменение темы на / 16 создаст огромный диапазон широковещания и, вероятно, вызовет новые проблемы, которые затруднят диагностику работы вашего нового туннеля.

Это кажется поразительно простым, но есть ли причина, по которой вы не можете добавить некоторые маршруты политик на Cisco для выборочной маршрутизации некоторых IP-адресов через поле pfsense, а не через gw по умолчанию?

Или, опять же, возможно, слишком просто, но есть ли причина, по которой вы не можете просто добавить второй IP-адрес в новом диапазоне к любым машинам, которые проходят тестирование, со шлюзом с более низкой метрикой? Тогда они могли бы получить доступ к любому предмету одновременно без осложнений?