Redundar servicios externos con 2 operadores, como gestiono el DNS??

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Redundar servicios externos con 2 operadores, como gestiono el DNS??

Mensaje por gaara »

Mi empresa va a contratar una segunda linea ISP con IP Estatica y me gustaría tener redundancia en las VPN SSL, IPSEC y los servicios externos de la DMZ por si se cae una linea seguir teniendo acceso. Tengo dudas con los servicios externos, como lo haríais vosotros?



SERVICIOS EXTERIORES, Los servidores alojados en la DMZ que desde fuera necesitan acceder, el DNS los resuelve siempre a la 9.9.9.10, después el Fortigate Natea a una IP de la DMZ que es un apache y el apache ya se ocupa de redireccionar a la IP real, como les daría redundancia si se cae la linea del operador A con IP 9.9.9.10?, si por ejemplo tengo 80 servidores, tengo que duplicar las 80 entradas del DNS a la IP del Operador B 10.10.10.11?
Ejemplo: Desde el exterior quieren acceder a [Debes identificarte para poder ver enlaces.] el DNS resuelve con la IP 9.9.9.10 y se cae la linea con el operador.
Última edición por gaara el 13 Sep 2017, 08:48, editado 5 veces en total.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN Redundadas con 2 operadores, como?

Mensaje por gabyrossi »

hola, tendras 2 vpn, una por cada proveedor de internet.

siempre estamos hablando de vpon client to server, no ? siempre desde una pc hacia el fortigate?
si es asi, tendras configuradas las 2 vpn ssl en el forticlient , si no anda una usas la otra y asi.
lo mismo para el ipsec.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: VPN Redundadas con 2 operadores, como?

Mensaje por gaara »

gabyrossi escribió:hola, tendras 2 vpn, una por cada proveedor de internet. ME LO IMAGINABA.LAS REGLAS NO HARÍA FALTA DUPLICARLAS, VERDAD?

siempre estamos hablando de vpon client to server, no ? siempre desde una pc hacia el fortigate? EN VPN SSL SI
si es asi, tendras configuradas las 2 vpn ssl en el forticlient , si no anda una usas la otra y asi. En el forticlient yo conecto a "vpn.miempresa.com" no a una u otra IP. ENTIENDO QUE LO QUE INDICAS SERÍA CONFIGURANDO EL FORTICLIENT POR IP en vez de por nombre, pero como lo harías si se quieren conectar por web a vpn.miempresa.com y en el DNS ya está la entrada a la IP del Operador A y esa linea se cae y tiene que pasar por el operador B? añadiendo la misma entrada en el DNS pero apuntando al operador B funcionaría?
lo mismo para el ipsec.

saludos


Y el tema este como lo harías:
SERVICIOS EXTERIORES, Los servidores alojados en la DMZ que desde fuera necesitan acceder, el DNS los resuelve siempre a la 9.9.9.10, después el Fortigate Natea a una IP de la DMZ que es un apache y el apache ya se ocupa de redireccionar a la IP real, como les daría redundancia si se cae la linea del operador A con IP 9.9.9.10?, si por ejemplo tengo 80 servidores, tengo que duplicar las 80 entradas del DNS a la IP del Operador B 10.10.10.11?
Ejemplo: Desde el exterior quieren acceder a [Debes identificarte para poder ver enlaces.] el DNS resuelve con la IP 9.9.9.10 y se cae la linea con el operador,
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN Redundadas con 2 operadores, como?

Mensaje por gabyrossi »

hola, o manejas dos ddns uno por aca wan
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: VPN Redundadas con 2 operadores, como?

Mensaje por gaara »

gabyrossi escribió:hola, o manejas dos ddns uno por aca wan


Si, es la única solución que veo o un DNS que haga de failover o similar... Porque si meto 2 entradas duplicadas resolvería aleatoriamente y no funcionaría.


Muchas gracias Gaby!!
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: VPN Redundadas con 2 operadores, como?

Mensaje por gaara »

Retomando esto, he escrito a mi proveedor DNS y me indican que no es posible añadir 2 DNS..

Mi pregunta:
Lo que se pretende conseguir es que si se cae la línea cuya ip apuntan los DNS, estos cambien a la otra línea. Cuando digo cambien, no tiene porque ser un cambio, me refiero al mecanismo que sea (p.e. DNS a doble ip?) que haga que un cliente pueda llegar con el mismo registro DNS a la ip que se encuentre operativa con el mínimo "delay" posible.

La respuesta:
"No es posible añadir dos DNs diferentes, para que resuelvan en casos concretos, usted puede poner 2 registros diferentes, pero siempre va a resolver de manera aleatoria, no puede ponerse un condicional para cuando haya mas o menos trafico use una u otra, provocando así ( si no he entendido mal su petición) que sea impredecible cual va a resolver, de manera que si hay caída de una de las WAN, no tiene por que resolver por la otra."


Se os ocurre algún tipo de redundancia para los servicios externos¿?
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Redundar servicios externos con 2 operadores, como gestiono el DNS??

Mensaje por gabyrossi »

hola, para eso seria ideal un FortiADC utilizando GSLB

revisa este ejemplo
[Debes identificarte para poder ver enlaces.]
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Redundar servicios externos con 2 operadores, como gestiono el DNS??

Mensaje por gaara »

gabyrossi escribió: 12 Sep 2017, 17:33 hola, para eso seria ideal un FortiADC utilizando GSLB

revisa este ejemplo
[Debes identificarte para poder ver enlaces.]
saludos
FortiADC es un WAF y habría que meterle una nueva infractuctura de dispositivos WAF y una inversión a la empresa que no creo que les hiciera mucha gracia :lol:


Yo pienso que esto tiene que ser muy común en todas las empresas y deben solucionarlo de alguna forma que ahora mismo no encuentro sin necesidad de WAF.

Casi todas las empresas tienen 2 lineas ISP para redundancia y tienen servicios externos, cuando se les cae una línea los servicios externos siguen siendo accesibles por la otra línea, pero con qué técnicas?? eso es lo que tengo que averiguar..
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: Redundar servicios externos con 2 operadores, como gestiono el DNS??

Mensaje por Felipe »

Buenas,

¿El servidor DNS es vuestro? Si vosotros podéis controlar los DNS sería posible programar un script que detectara la caída de la línea y modificara los registros DNS para que llegase por la otra interfaz (actualizando en timserial). Antes tardaba unas horas en propagarse los DNS pero en las últimas pruebas que hemos realizado en pocos minutos ya se ha propagado.

Otra opción (que sólo serviría para los servicios web externos) es la que te comentaba Gabyrossi utilizando DynDNS pero en lugar de configurarlo en el firewall, hacerlo en tu servidor apache interno, así aunque la línea se cayese el DynDNS actualizaría la nueva IP del sevidor Apache (eso si necesitas configurar la VIP con la IP del ISP secundario apuntando al apache y duplicar todas las reglas que tuvieras hechas para la IP del ISP primario).

Saludos.
gaara
Mensajes: 53
Registrado: 03 Dic 2014, 12:24

Re: Redundar servicios externos con 2 operadores, como gestiono el DNS??

Mensaje por gaara »

Felipe escribió: 13 Sep 2017, 11:10 Buenas,

¿El servidor DNS es vuestro? Si vosotros podéis controlar los DNS sería posible programar un script que detectara la caída de la línea y modificara los registros DNS para que llegase por la otra interfaz (actualizando en timserial). Antes tardaba unas horas en propagarse los DNS pero en las últimas pruebas que hemos realizado en pocos minutos ya se ha propagado.

Otra opción (que sólo serviría para los servicios web externos) es la que te comentaba Gabyrossi utilizando DynDNS pero en lugar de configurarlo en el firewall, hacerlo en tu servidor apache interno, así aunque la línea se cayese el DynDNS actualizaría la nueva IP del sevidor Apache (eso si necesitas configurar la VIP con la IP del ISP secundario apuntando al apache y duplicar todas las reglas que tuvieras hechas para la IP del ISP primario).

Saludos.

El servidor interno si pero el externo va a través de la compañía cloud Acens.
Me informaré como trabaja actualmente DynDNS, precios y demás, vosotros lo conocéis, habéis trabajo con el?, como funciona exactamente?


gracias!!
Responder