Вопросы Теги

Туннель SSH и порты базы данных через WAN2 в двойном маршрутизаторе WAN

ISP-A: 4 Мбит / с (1: 1) статический IP-адрес выделенной оптоволоконной линии и ISP-B: 20 ​​Мбит / с (1: 8) оптоволоконное соединение с динамическим IP-адресом.

Небольшой контекст ситуации, в настоящее время мы у нас есть только один интернет-провайдер (ISP-A), и поскольку пропускная способность недостаточна для всех (около 25 человек просматривают и получают доступ к AWS / Azure), мы планируем добавить еще одного интернет-провайдера в нашу локальную сеть, чтобы каждый мог просматривать / отправлять почту, не жаловавшись на проблемы с пропускной способностью. ISP-B стоит меньше, чем ISP-A для 20 Мбит / с, поскольку это не соединение 1: 1, и у них нет с нами SLA. Наш офис разделен на разработчиков и пользователей, не являющихся разработчиками.

Пользователи Dev

  • Большинство пользователей LAN и 3 пользователей WiFi
  • Подключение к AWS / Azure (необходимо подключение как фиксированный IP-адрес для 8) оптоволоконное соединение с динамическим IP-адресом.

    Небольшой контекст для ситуации, в настоящее время у нас есть только один интернет-провайдер (ISP-A), и, поскольку пропускной способности недостаточно для всех (около 25 человек просматривают и получают доступ к AWS / Azure), поэтому наш План состоит в том, чтобы добавить еще одного провайдера в нашу локальную сеть, чтобы каждый мог просматривать / отправлять почту, не жаловавшись на проблемы с пропускной способностью. ISP-B стоит меньше, чем ISP-A для 20 Мбит / с, поскольку это не соединение 1: 1, и у них нет с нами SLA. Наш офис разделен на разработчиков и пользователей, не являющихся разработчиками.

    Пользователи Dev

    • Большинство пользователей LAN и 3 пользователей WiFi
    • Подключение к AWS / Azure (необходимо подключение как фиксированный IP-адрес для 8) оптоволоконное соединение с динамическим IP-адресом.

      Небольшой контекст для ситуации, в настоящее время у нас есть только один интернет-провайдер (ISP-A), и, поскольку пропускной способности недостаточно для всех (около 25 человек просматривают и получают доступ к AWS / Azure), поэтому наш План состоит в том, чтобы добавить еще одного провайдера в нашу локальную сеть, чтобы каждый мог просматривать / отправлять почту, не жаловавшись на проблемы с пропускной способностью. ISP-B стоит меньше, чем ISP-A для 20 Мбит / с, поскольку это не соединение 1: 1, и у них нет с нами SLA. Наш офис разделен на разработчиков и пользователей, не являющихся разработчиками.

      Dev Users

      • Большинство пользователей LAN и 3 пользователей WiFi
      • Подключение к AWS / Azure (необходимо подключение как фиксированный IP-адрес для доступ к AWS / Azure), поэтому мы планируем добавить еще одного интернет-провайдера в нашу локальную сеть, чтобы каждый мог просматривать / отправлять почту, не жаловавшись на проблемы с пропускной способностью. ISP-B стоит меньше, чем ISP-A для 20 Мбит / с, поскольку это не соединение 1: 1, и у них нет с нами SLA. Наш офис разделен на разработчиков и пользователей, не являющихся разработчиками.

        Пользователи Dev

        • Большинство пользователей LAN и 3 пользователей WiFi
        • Подключение к AWS / Azure (необходимо подключение как фиксированный IP-адрес для доступ к AWS / Azure), поэтому мы планируем добавить еще одного интернет-провайдера в нашу локальную сеть, чтобы каждый мог просматривать / отправлять почту, не жаловавшись на проблемы с пропускной способностью. ISP-B стоит меньше, чем ISP-A для 20 Мбит / с, поскольку это не соединение 1: 1, и у них нет с нами SLA. Наш офис разделен на разработчиков и пользователей, не являющихся разработчиками.

          Dev Users

          • Большинство пользователей LAN и 3 пользователей WiFi
          • Подключение к AWS / Azure (необходимо подключение как фиксированный IP-адрес для входящие политики брандмауэра для экземпляров).
          • Требуется выход в Интернет (не имеет значения, фиксирован ли IP на этом этапе). Большинство из них используют SO / Git / Bitbucket / YT и т. Д.

          Пользователи, не являющиеся разработчиками

          • Большинство пользователей WiFi и 3 сети LAN
          • Просматривайте страницы в Интернете, пользуйтесь почтой / Hangouts / skype / teamviewer и им ничего не нужно статический IP для всего, что они используют.

          Как только мы получим 2-го ISP-B, я хотел бы направить весь трафик просмотра на ISP-B (20 Мбит / с), и все разработчики подключаются к AWS / Azure через ISP-A (4 Мбит / с) для SSH. Итак, мой план состоял в том, чтобы установить ISP-A как WAN1 и ISP-B как WAN2, например: 

          WAN1 172.16.0.1
WAN2 172.16.1.1

          Что нужно сделать, так это то, что все будут использовать Интернет через ISP-B. Разработчики используют SSH (порт 22), подключения к базе данных (порт 5432) и некоторые другие порты, для которых требуется статический IP-адрес через ISP-A. Всего не разработчиков: 25

          Вместо изменения шлюза по умолчанию, как я могу заставить их использовать Интернет (Обзор) через WAN2 без настройки прокси-сервера?

1
задан 5 April 2019 в 08:19
2 ответа

Итак, я сделал это с помощью USG-Pro-4.

Для этого необходимо реализовать настраиваемое правило через SSH, поскольку пользовательский интерфейс для него на данном этапе не завершен для управления этими правилами.

Идея состоит в том, чтобы отправить порт 22,5432 через WAN2 и сохранить интернет-трафик в WAN1.

Оборудование

  1. Cisco-SG300-52 - Выполнение DHCP - 172.16.0.1
  2. Unifi USG-Pro-4 - Двойной маршрутизатор WAN включен - 172.16.0.5/16
    1. WAN1: волоконно-оптический мультиплексор на 192.168.1.2
    2. WAN2: - Медиаконвертер из волокна в локальную сеть на 192.168.2.1
  3. AP Unifi - 3 номера, получение адресов через DHCP, контроллер Unifi используется для управления группами / SSID и т. .

Обзор реализации

  • LAN1: 172.16.0.0/16
  • WAN1: 192.168.1.2/29 Шлюз: 192.168.1.1
  • WAN2: 192.168.2.2/29 Шлюз: 192.168.2.1

Весь трафик, идущий из LAN1 на порт 22 и 5432, отправляется через WAN2 с использованием следующего правила для USG-Pro-4, это позволяет осуществлять просмотр через линию 20 Мбит / с, а вся работа, связанная с базой данных, и SSH должны выполняться через WAN2 (статический IP).

Пример конфигурации для USG-Pro-4 

configure
set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1
set firewall modify LOAD_BALANCE rule 2950 action modify
set firewall modify LOAD_BALANCE rule 2950 modify table 1
set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16
set firewall modify LOAD_BALANCE rule 2950 destination port 22
set firewall modify LOAD_BALANCE rule 2950 protocol tcp
commit
save

Вы можете использовать эту ссылку для доступа ко всему потоку для настройки. Большой танк вам на УБНТ-Яффе .

1
ответ дан 3 December 2019 в 23:31

Nėra paprasto būdo padalinti internetą per pusę, taip pat neskaidant savo tinklų per pusę. Geros naujienos yra tai, kad tai skamba beveik taip, kaip jūs tikėjotės, kad vis tiek turėsite tai padaryti.

Jei VLAN100 nustatytas naudoti ISP A, o VLAN200 nustatytas naudoti ISP B, tada galite atlikti tarpvlaninį maršrutą, kad pasisotintumėte. LAN prieigą abiejuose tinkluose ir nustatykite numatytuosius vartus į atitinkamus interneto paslaugų teikėjus, kad valdytumėte interneto prieigą.

Dabar, jei norite tai padaryti taip, kad visi jūsų kūrėjai ir ne kūrėjai būtų naudoję teisingus VLAN, nepaisant to, ar jie buvo prijungti prie „Wi-Fi“ arba prie „WiFi“, tai pasiekti galima keliais būdais.

Savo „Wi-Fi“ galite naudoti WPA2-Enterprise autentifikavimą su RADIUS serveriu, nurodančiu, kuriame „vlan“ įdiegti vartotoją. Iš esmės, užuot turėję tą patį bendrą raktą, kad prisijungtų prie „WiFi“, vartotojai prisijungia naudodami vartotojo vardą ir slaptažodį. Jų pateiktas vartotojo vardas nurodo, į kurį VLAN jie bus įdėti. „Ubiquiti UniFi“ (geras pasirinkimas, „btw“) tai gali visiškai padaryti.

Kita „WiFi“ galimybė būtų tiesiog turėti du SSID, po vieną kiekviename VLAN, o jūs tiesiog nurodykite savo darbuotojams prisijungti prie vieno ar kito. „UniFi“ taip pat gali tai padaryti labai lengvai.

Savo laidinėms jungtims galite naudoti 802.1x prievadų tinklo prieigos valdymą. Iš esmės tai panašu į „WPA2“ įmonę. Kai vartotojas prisijungia prie tinklo, operacinė sistema nustato, kad jums reikia atlikti 802.1x tapatybės patvirtinimą, ir paragina vartotoją įvesti tinklo vartotojo vardą / slaptažodį (arba jį perduoda „Active Directory“ ir „Windows“ atveju). Patvirtinus 802.1x, vartotojas bus įtrauktas į tinkamą VLAN. Tokiu būdu vartotojai gali prisijungti, kur tik nori, ir vis tiek atsidurti tinkamame tinkle.

Kita galimybė, jei jūsų vartotojai yra statiški, yra tiesiog rankiniu būdu priskirti uosto VLAN savo Ethernet prievadui ir tokiu būdu kiekvienas, atsisėdęs ir prisijungęs prie nurodyto prievado, pateks į vieną iš dviejų tinklų. 12135] Naudodamiesi šia sąranga, kūrėjai prisijungs prie AWS / „Azure“ tiesiogiai per terminalą / glaistą be jokių problemų, tačiau jie taip pat naršys per tą patį šliuzą, kuris būtų lėtesnis.

Tai sunkiai įveikiama problema. Jei turite labai konkretų IP adresų rinkinį, prie kurio jungiatės, kai kurios maršruto parinkimo taisyklės gali būti naudingos. Bet kas atsitinka tada, jei turite pagrindinę SPI užkardą, jie dažnai nutrauks grįžtamuosius ryšius, nes nematė jų inicijavimo (asinchroninis maršrutas).

Tačiau skamba taip, kad devų nebus. prasčiau nei dabar. Šiuo metu vienu 4Mbps vamzdžiu išstumiate 35 žmones. Dabar tuo vamzdžiu stumiate tik 10 žmonių, todėl tai vis tiek gali būti laimėjimas.

0
ответ дан 3 December 2019 в 23:31

Теги

Похожие вопросы