2 WAN y DMZ

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

2 WAN y DMZ

Mensaje por inforSer »

Hola,
Tengo 2 WAn (Salidas a internet) con 2 ip publicas fijas diferentes.
Queremos salir a internet por la WAN1, y que el servidor DMZ salga a internet por la WAN2.
En las rutas estaticas, tenemos configuradas ambas wan, la unica diferencia es que la wan1 esta configurada como mas prioritaria que la wan2
Imagen
Tenemos creadas las VIPs y las politicas correctamente, y accedemos al servidor por la ip publica de la wan2 correctamente, pero desde el servidor que está conectado a la DMZ, no sale a internet por la wan2 nunca, solo sale por la wan1 si lo metemos en esa politica
A que se puede deber? Como puedo cambiar esto y que salga a internet por la wan2?
Gracias
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: 2 WAN y DMZ

Mensaje por Felipe »

Buenas,

Puedes utilizar policy routes o bien si en ningún caso va a salir por la WAN1 el servidor DMZ, eliminarlo de la política conjunta y crear una nueva política con interfaz origen tu interfaz interna, interfaz destino wan2, ip origen tu servidor de DMZ e IP destino all.

Saludos.
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: 2 WAN y DMZ

Mensaje por inforSer »

Como utilizo policy routes?
Porque no entiendo lo de hacer una politica nueva
Gracias
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: 2 WAN y DMZ

Mensaje por Felipe »

Buenas,

Policy routes:

[Debes identificarte para poder ver enlaces.]

Saludos.
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: 2 WAN y DMZ

Mensaje por inforSer »

Lo he configurado asi, y desde ese servidor ya accedo al exterior por la wan2, pero desde el exterior, no puedo acceder ahora a los servicios de este servidor, y antes si podía.
Imagen
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: 2 WAN y DMZ

Mensaje por Felipe »

Buenas,

¿Los servicios del servidor donde los tienes publicados? ¿En la WAN 1? Es que al introducir la policy route estás obligando a que el tráfico de ese servidor dirigido a Internet salga siempre por la WAN2. De este modo alcanzas el servidor pero el firewall envía la respuesta por la WAN2 en lugar de la WAN1. ¿Puedes configurar las VIPs en la WAN2 o utilizas un DNS a la WAN1?.

Si no puedes publicar los servicios públicos del servidor DMZ en la WAN2. Prueba lo siguiente:
1. Deshabilita la policy route.
2. Crea una política nueva que permita el tráfico desde tu interfaz DMZ e IP del servidor DMZ con destino la interfaz WAN2 y todas las IPs.
3. Si tienes una política que permita a la red DMZ salir por la WAN1 deshabilitala también.
4. Prueba ahora la conexión. En teoría tu servidor atenderá peticiones por la WAN 1 (si lo hacía antes por ella) pero si inicia él las conexiones debería hacerlo por la WAN2.

Otra forma de resolver el problema y que no te recomiendo es dejar la polcy route que has configurado y activar el NAT en la política entrante a la DMZ. De modo que el servidor creerá que el origen es el propio firewall y no responderá por la interfaz WAN2. Pero no es recomendable porque tu servidor recibirá todas las peticiones desde la misma IP (la interna del firewall en tu red DMZ).

Saludos.
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: 2 WAN y DMZ

Mensaje por inforSer »

Realmente ya tengo las Vips en la Wan2, te adjunto imagen.
Tengo creados los VIPs de esta forma:
Imagen

Y así es como no me funciona desde el exterior ahora.
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: 2 WAN y DMZ

Mensaje por inforSer »

Alguna idea?
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: 2 WAN y DMZ

Mensaje por Felipe »

Buenas,

¿Te funcionaban las VIPs en la WAN2 antes de crear la policy route? Igual es un problema de políticas.
Supongo que tienes una política que permite el tráfico de la Wan2 a la interfaz interna DMZ con destino la VIP que has mostrado en el mensaje anterior ¿no?

Si es así no sé porque no funciona.

Saludos.
Responder