Tengo una duda sobre Hub and spoke
Si yo tengo 3 FW fortigate:
FW 200E de FW de Hub
FW 60E de SPOKE 1
FW 60E de SPOKE 2
Está claro que que SPOKE_1 y el SPOKE_2 se pueden conectar con el FW HUB, pero.... se pueden conectar el SPOKE_1 con el SPOKE _2??? como? OS PINTO UN DIBUJO.
Que configuraciones básicas y en qué FW son necesarias para esta comunicación??
Duda Hub and Spoke
Duda Hub and Spoke
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: Duda Hub and Spoke
Buenas,
Es posible conectar los dos spoke pero utilizando el firewall hub como un concentrador de VPNs. En este escenario el tráfico pasaría siempre por el HUB.
Si prefirieses que las conexiones fueran directas entonces lo ideal sería una topología estrella (todos con todos). Tendrías que montar las VPNs entre todos los firewall (tres VPNs distintas en tu caso).
En tu caso la conexión estrella no es muy costosa ya que son sólo tres nodos pero si el número de elementos crece también lo hace la complejidad de la topología estrella (aunque a la vez es más segura ya que si montas un hub and spoke si cae el hub se quedan todas las VPNs fuera).
Saludos.
Es posible conectar los dos spoke pero utilizando el firewall hub como un concentrador de VPNs. En este escenario el tráfico pasaría siempre por el HUB.
Si prefirieses que las conexiones fueran directas entonces lo ideal sería una topología estrella (todos con todos). Tendrías que montar las VPNs entre todos los firewall (tres VPNs distintas en tu caso).
En tu caso la conexión estrella no es muy costosa ya que son sólo tres nodos pero si el número de elementos crece también lo hace la complejidad de la topología estrella (aunque a la vez es más segura ya que si montas un hub and spoke si cae el hub se quedan todas las VPNs fuera).
Saludos.
Re: Duda Hub and Spoke
Felipe escribió: ↑18 Jun 2018, 09:50 Buenas,
Es posible conectar los dos spoke pero utilizando el firewall hub como un concentrador de VPNs. En este escenario el tráfico pasaría siempre por el HUB.
Si prefirieses que las conexiones fueran directas entonces lo ideal sería una topología estrella (todos con todos). Tendrías que montar las VPNs entre todos los firewall (tres VPNs distintas en tu caso).
En tu caso la conexión estrella no es muy costosa ya que son sólo tres nodos pero si el número de elementos crece también lo hace la complejidad de la topología estrella (aunque a la vez es más segura ya que si montas un hub and spoke si cae el hub se quedan todas las VPNs fuera).
Saludos.
Gracias Felipe!!
Mi idea es que siga siendo Hub and spoke, entiendo entonces que conexión directa no es posible siendo este método ya que dejaría de ser hub and spoke para ser full-meshed (todos contra todos)
Mi duda ahora es la siguiente:
Para comunicar el spoke 2 con el spoke 1 y viceversa deberían pasar por el HUB, hasta aquí de acuerdo, pero... entonces entiendo que no es necesario crear otro túnel, como comunicarías el spoke 1 contra el spoke 2 a través del HUB? Metiendo en la phase 2 las redes y añadiendo las rutas en el HUB o como?
Re: Duda Hub and Spoke
Buenas,
Por cierto me equivoqué. Tienes razón la topología estrella es la que tienes definida la otra sería una malla.
¿Las IPSec las has hecho por ruta o por política?
En mi caso monté este escenario hace unos cuantos años y lo hice por políticas y necesitabas definir un concentrador de VPNs.
Sin embargo, creo que por ruta debe ser bastante sencillo ya que te crea como interfaces virtuales en el propio firewall. Será necesario definir bien las políticas y posiblemente tengas que modificar los selectores de la fase 2 de los dos túneles creados para que incluyan el segmento de red del otro como destino y no sólo el del firewall actuando como HUB. Supongo que tendrás definidas las rutas ya en el firewall hub por lo que entiendo que no necesitarías añadir nuevas rutas.
No he probado esta configuración pero creo que siendo cuidadoso no debe ser muy complicado comunicar los dos spokes si están confiduradas las IPSEc VPNs en modo interfaz.
Saludos y suerte.
Por cierto me equivoqué. Tienes razón la topología estrella es la que tienes definida la otra sería una malla.
¿Las IPSec las has hecho por ruta o por política?
En mi caso monté este escenario hace unos cuantos años y lo hice por políticas y necesitabas definir un concentrador de VPNs.
Sin embargo, creo que por ruta debe ser bastante sencillo ya que te crea como interfaces virtuales en el propio firewall. Será necesario definir bien las políticas y posiblemente tengas que modificar los selectores de la fase 2 de los dos túneles creados para que incluyan el segmento de red del otro como destino y no sólo el del firewall actuando como HUB. Supongo que tendrás definidas las rutas ya en el firewall hub por lo que entiendo que no necesitarías añadir nuevas rutas.
No he probado esta configuración pero creo que siendo cuidadoso no debe ser muy complicado comunicar los dos spokes si están confiduradas las IPSEc VPNs en modo interfaz.
Saludos y suerte.