VPN_IPSEc + VXLAN

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
acallejo5
Mensajes: 53
Registrado: 23 Oct 2017, 18:26

VPN_IPSEc + VXLAN

Mensaje por acallejo5 »

Buenas, actualmente,tengo configurado un tunel ipsec entre 2 fortigates para comunicar las redes y equipos enre 2 sedes como es normal..
Pero ahora necesitamos publicar una misma red en los 2 sitios por motivos de alta disponibilidad de unos equipos.

He encontrado informacion/configuracion de VXLAN y parece muy secncilo, pero en todos los casos y ejemplos montan un tunel ipsec nuevo con la red que va a ser "comun".
Lo que pasa que yo ya tengo tuneles ipsec configurado contra el otro extremo y la configuracionpara vxlan es distinta y no se si al cambiar el tipo a vxlan lo que hay ahora dejara de funcionar o que pasara...

Alguna idea/consejo?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN_IPSEc + VXLAN

Mensaje por makco10 »

Hola,

Cuando dices la misma red en los 2 sitios a que te refieres.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
acallejo5
Mensajes: 53
Registrado: 23 Oct 2017, 18:26

Re: VPN_IPSEc + VXLAN

Mensaje por acallejo5 »

Por ejemplo, ahora una sede tiene el rango 172.24.0.0/16 y la otra 172.25.0.0/16 y en el tunel ipsec paso esas 2 redes para que desde una sede puedan conectar con servidores de la otra y viceversa.
Ahora nos surge el problema de que necesitamos unos equipos en alta disponibilidad (se realizan backups de esos equipos en las 2 sedes, pero al tener distinto rango no vale solo que arrancarlo en la otra sede para que funcione.. ya que no tendría red). Entonces querríamos tener la misma red en los 2 sitios para poder levantar esas maquinas indistintamente en una sede u otra y operativas.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN_IPSEc + VXLAN

Mensaje por makco10 »

No necesitas tener la misma red, eso te puede complicar.

Puedes tener diferentes redes y permitir el trafico entre sedes sin problema.

Ya que el que tengan la misma subnet no quiere decir que te facilitará la comunicación mediante la VPN igual debes declaras las redes como sitios diferentes.

Perderías la visibilidad de dispositivos por lugar y en caso de tener un ataque te puedes complicar, lo mejor lo mantengas con redes diferentes.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
acallejo5
Mensajes: 53
Registrado: 23 Oct 2017, 18:26

Re: VPN_IPSEc + VXLAN

Mensaje por acallejo5 »

La cosa es que realizamos backups de las maquinas en cada sede y de las maquinas criticas además una replica en la otra sede.
Entonces si necesitáramos levantar una de esas maquinas criticas en la otra sede, arrancarían con un direccionamiento/configuración que no es de esa sede y por tanto no funcionara.

Que solución veis a este problema? (no tenemos balanceadores ni se plantean actualmente adquirir uno..)
Responder