Hache_Tilted
Nuevo
- Registrado
- 31 May 2018
- Mensajes
- 8
- Puntos
- 3
Buenos días,
Os voy a comentar un poco la situación general a la que me estoy enfrentando, a ver si podéis arrojar un poco de luz.
Trabajo en una empresa en la que usamos los firewalls de SonicWall para aportar seguridad y sobretodo para montar VPN's con azure (site to site de toda la vida). Hasta aquí todo bien y no es algo complicado.
El problema viene que desde hace unos días tenemos un cliente que de la manera que tiene la topología de red complica todo esto.
Voy a subir una captura para que veáis como la tiene el cliente y otra captura de como la montamos nosotros de normal.
Topología del cliente: ellos hosted at ImgBB
Nuestra topología que montamos de normal: nosotros hosted at ImgBB
- El caso está en que montar no hemos montado nada físicamente, estamos haciendo pruebas antes. Porque básicamente toca usar la interfaz de WAN del Firewall a enrutar de vuelta en la misma interfaz WAN, y está dando problemas. Porque siempre que hemos configurado la VPN era de entrada la LAN y de salida la WAN/VPN y de ahí el firewall sabe a donde mandar todo. Pero estando solo en la interfaz de WAN en la que van conectados los equipos, el router y el firewall parece que le da problemas.
Da problemas porque hemos logrado conectividad, pero es una conectividad que pierde. Por ejemplo, hemos configurado un Terminal Server, y a este desde Azure nos conectamos sin problemas y no falla ni una vez, pero desde aquí a Azure responde 1 de 4 veces que le das a conectar, eso si, una vez se ha conectado no se desconecta. Lo cual me da a entender que hay un problema de enrutamiento cuando tiene que salir desde aquí hacia Azure.
No podemos cambiar la topología del cliente, ya que es un cliente grande y no puede parar (y no me van a pagar 2000 euros para ir a montarlo un fin de semana jajajaja), así que la implementación debe hacerse en horas de producción. Por ende nos vemos obligados a que coexistan de manera temporal hasta que todo se migre bien, los 2 firewalls, uno el que ya está ahí (mikrotik) y el que llevaremos nosotros (sonicwall) dejando una topología como esta: FUSION hosted at ImgBB
Y aquí viene la pregunta: ¿Alguien tiene idea de por qué puede ser que no termina de saber como enrutar hacia Azure? ¿Que reglas de enrutamiento me recomendaríais?, ¿o que pruebas hacer?.
El objetivo a conseguir: Necesito lograr que los equipos que necesiten conectarse a Azure (porque tienen ahí un programita de gestión, nada más) el SonicWall sepa enrutarles hacia fuera sin problema. Y cuando quieran salida a internet NO pasen por el SonicWall, debido a que su topología es estúpida de narices no tiene ningún sentido.
Sé que es bastante denso todo esto pero llevamos exprimiendo nuestro cerebro y no logramos dar con la tecla, pero debe poder hacer si o si y estoy convencido que se me pasa algo por alto, más que nada, porque en el lugar del cliente el firewall lo tienen montado de la misma manera que pretendemos hacerlo nosotros, pero con éxito.
Gracias de antemano.
Os voy a comentar un poco la situación general a la que me estoy enfrentando, a ver si podéis arrojar un poco de luz.
Trabajo en una empresa en la que usamos los firewalls de SonicWall para aportar seguridad y sobretodo para montar VPN's con azure (site to site de toda la vida). Hasta aquí todo bien y no es algo complicado.
El problema viene que desde hace unos días tenemos un cliente que de la manera que tiene la topología de red complica todo esto.
Voy a subir una captura para que veáis como la tiene el cliente y otra captura de como la montamos nosotros de normal.
Topología del cliente: ellos hosted at ImgBB
Nuestra topología que montamos de normal: nosotros hosted at ImgBB
- El caso está en que montar no hemos montado nada físicamente, estamos haciendo pruebas antes. Porque básicamente toca usar la interfaz de WAN del Firewall a enrutar de vuelta en la misma interfaz WAN, y está dando problemas. Porque siempre que hemos configurado la VPN era de entrada la LAN y de salida la WAN/VPN y de ahí el firewall sabe a donde mandar todo. Pero estando solo en la interfaz de WAN en la que van conectados los equipos, el router y el firewall parece que le da problemas.
Da problemas porque hemos logrado conectividad, pero es una conectividad que pierde. Por ejemplo, hemos configurado un Terminal Server, y a este desde Azure nos conectamos sin problemas y no falla ni una vez, pero desde aquí a Azure responde 1 de 4 veces que le das a conectar, eso si, una vez se ha conectado no se desconecta. Lo cual me da a entender que hay un problema de enrutamiento cuando tiene que salir desde aquí hacia Azure.
No podemos cambiar la topología del cliente, ya que es un cliente grande y no puede parar (y no me van a pagar 2000 euros para ir a montarlo un fin de semana jajajaja), así que la implementación debe hacerse en horas de producción. Por ende nos vemos obligados a que coexistan de manera temporal hasta que todo se migre bien, los 2 firewalls, uno el que ya está ahí (mikrotik) y el que llevaremos nosotros (sonicwall) dejando una topología como esta: FUSION hosted at ImgBB
Y aquí viene la pregunta: ¿Alguien tiene idea de por qué puede ser que no termina de saber como enrutar hacia Azure? ¿Que reglas de enrutamiento me recomendaríais?, ¿o que pruebas hacer?.
El objetivo a conseguir: Necesito lograr que los equipos que necesiten conectarse a Azure (porque tienen ahí un programita de gestión, nada más) el SonicWall sepa enrutarles hacia fuera sin problema. Y cuando quieran salida a internet NO pasen por el SonicWall, debido a que su topología es estúpida de narices no tiene ningún sentido.
Sé que es bastante denso todo esto pero llevamos exprimiendo nuestro cerebro y no logramos dar con la tecla, pero debe poder hacer si o si y estoy convencido que se me pasa algo por alto, más que nada, porque en el lugar del cliente el firewall lo tienen montado de la misma manera que pretendemos hacerlo nosotros, pero con éxito.
Gracias de antemano.
Última edición:
