BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Acceso a Intenet previo filtro Web

remart20

Buena tarde Estimados:

Tengo una consulta respecto a una topologia de red, adjunto diagrama para tener una noción de lo que comento. En realidad se ha realizado una mejora de una red ya establecida , para que esta sede remota tenga su circuito de internet propio, y ya no navegue por la Sede Central, además de crear una vlan de interconexion entre los radio enlaces para que cualquier loop que genere una tormenta de brodcast en la sede remota, no influya en la sede central, lo que comunmente pasaba. Ahora, como verán en la sede remota hay tres vlan creadas, en realidad hay mas y hay mas switches, pero la escencia es esa. Estas vlan deben poder acceder a servicios dentro de la Sede Central, en este caso a la vlan 100 y vlan 10, se ha realizado mediante rutas estaticas, osea cada red de la sede remota, por ejemplo la red de la vlan 1: 192.168.1.x/24 quiera acceder a la vlan de servidores (vlan 100 de la Sede Central) hay una ruta estatica con los terminos necesarios. Lo mismo para la demas redes que necesitan acceder a cualquier red de la Sede Central. Este no es problema, el tema es que como ahora la puerta de enlace para los usuarios de la Sede Remota es el SW-Core de la Sede, el cual contiene las interfaces y el cual hace el ruteo que he mencionado, cuando los usuarios quieran salir a internet previamente deben hacer una validación en un servidor proxy que se encuentra entre el SW-Core y el router de Internet. Mas que un proxy es un cliente instalado en un Server, que cuando recibe una solicitud para navegar a internet este agente lo envia a un servidor de la vlan 100 para que valide si este usuario dentro del AD tiene permisos de salida a internet o algún bloqueo. Como entenderan la respuesta debe ser enviada de nuevo al agente para que este le muestre al usuario que solicito salir a internet, un mensaje de denegacion o lo deje navegar segun su perfil. Tambien le comento, que el servidor principal que esta en la Sede Central y en el cual se realizan las validaciones, esta integrado con el AD, ya que este tiene politicas definidas de navegación por usuario o grupo de usuarios. Con lo comentado, tal ves para muchos sea sencillo el escenario, pero no lo tengo muy claro como establecerlo o plasmarlo. Les comento que estaba pensando en realizar un PBR (Politica Basada en Ruteo), en donde le diga al server que contiene el agente que cuando reciba trafico de la vlan 1, o la vlan 2 o la vlan 3, este lo redireccione al Servidor de la vlan 100 que se encuentra en la Sede Central (192.168.100.100/24). Aqui hay dos temas, que el server no tiene la capacidad de hacer PBR y que en todo caso si lo tuviera o cambiaramos de appliance, nose como enviar de nuevo la respuesta de este server principal (192.168.100.100/24) de vuelta para la respuesta hacia al agente, solo bastarai rutas estaticas para el envio de respuesta o necesitaria algo adicional, en verdad esa cuestion es la que me aturde. Indiquenme por favor que se les puede ocurrir o que alternativa de solucion me dan, espero poder haber explicado bien el detalle de lo que se desea hacer. De antemano agradezco su apoyo y ayuda. Miles de Gracias¡¡¡

remart20

Hay manera de adjuntar imagenes aqui? me indica que excedo el normal...

🗨️ 1
BocaDePez
BocaDePez

No. Lo que puedes hacer es poner un enlace a una imagen que tengas almacenada en un servidor externo o en algún alojamiento de imágenes.

BocaDePez
BocaDePez
2

Mas que un proxy es un cliente instalado en un Server, que cuando recibe una solicitud para navegar a internet este agente lo envia a un servidor de la vlan 100 para que valide si este usuario dentro del AD tiene permisos de salida a internet o algún bloqueo.

Alguna especie de agente de Single-Sign-On (SSO) para autenticación y autorización centralizada, supongo, ¿no? Pero... ¿se fuerza la salida hacia Internet a través de un proxy de la central a todo el mundo? Eso entraría en conflicto con lo que has explicado inicialmente de tener la intención de usar una salida hacia Internet independiente en la sede remota.

Lo lógico es que de alguna forma pudieses replicar la política de autorización en un segundo proxy con un segundo agente que estuviese situado en la sede remota, y que el LDAP (o el AD en este caso) estuviese replicado en la sede remota y se sincronizase ante cambios...

Esto hablando en el plano teórico, porque luego estarás restringido por las capacidades del sistema SSO, que vendrán dictadas por su fabricante. Tal vez no tenga esa versatilidad.

🗨️ 4
BocaDePez
BocaDePez
1
Imagen original en http://i.picresize.com/images/2014/11/15/VOkRh.jpg

Tal vez tú conozcas qué es cada elemento del esquema y el objetivo de los rangos de direcciones, sobre todo lo que tú describes en tu mensaje inicial como "SW-Core" que luego en la imagen no viene referenciado, pero no entiendo demasiado bien dónde radica el problema, o quizás por qué tienes un problema que no se pueda resolver cambiando las rutas predeterminadas.

Está más o menos claro que si antiguamente a la sede remota se le forzaba salir hacia Internet a través del radioenlace que lo comunicaba con el "núcleo" (por traducir "core") de la sede central, es lógico que la puerta de enlace predeterminada de esos equipos, les guiase hasta esa salida.

Ahora la situación ha cambiado, y debéis plantearos cambiar la puerta de enlace predeterminada de la sede remota, manteniendo todas las rutas previas hacia las distintas subredes, que serán igualmente alcanzables como hasta ahora. Justamente ese es el concepto de "default gateway", el definir una ruta que el equipo obedecerá tras pasar por toda la lista de la tabla de rutas.

Ahora bien, esa nueva ruta predeterminada de la sede remota, no deberá ser la del router de salida ese que pones hacia la nube, sino supongo que a un equipo intermedio que sea el que discrimine los permisos de salida, que no sé si es un proxy o no. Lo que debería tal máquina hacer, es pedir la validación a la sede central (o en el caso de que el radioenlace provoque latencias inaceptables, replicar la base de datos de validación como sugerí en mi anterior mensaje).

Por cierto, cuidado con el uso de espacios de direccionamiento no privados. Las subredes 20.20.20.0 y 30.30.30.0 tienen dueño (el gigante Computer Sciences Corporation y el Ministerio de Defensa de los Estados Unidos, respectivamente), no vuelvas locos a los routers de la WAN, que bastante tienen.

🗨️ 2
remart20

Jajajja, Gracias estimado por tomarte el tiempo para responder y de gran manera a mi concepto, pero bueno quisiera aclarar algunas cosas, que creo que no las hice al comienzo del post.

- El tema de crear una vlan de interconexion entre el radio enlace, es para poder seprar los dominios de brodcasta de la Sede Central y Sede Remota.

- El servidor Intermedio entre el SW-Core (Nucleo como lo mencionas o switch que manejara las interfaces de la red interna de la Sede remota) y el Router de Proveedor (ISP), el cual dará la salida a internet, tendra la función, hablo del Servidor intermedio, de reenviar las solicitudes de navegacion de los usuarios internos, hacia un servidor central de Filtrado web que manejará las politicas de acceso a Internet dependiendo del perfil de usuario. Con ello, quiero decir que este servidor en si, tiene un "AGENTE" instalado que , como ya lo he mencionado, reenvia las solicitudes al server central para su validacion.

Ahora comentando sobre tu respuesta, se que este modelo de red no es del todo eficiente, ya que de todos modos para que sus usuarios salgan a internet, deben validar a un server ubicado en la sede central, es decir pasar por el radio enlace y pasar su respuesta nuevamente por el Radio enlace. Se que sería optimo lo que mencionas de replicar el AD en la Sede remota y tener un proxy dedicado en esta sede, pero el presupuesto compañero no da, por eso la mejor manera de hacer alguna mejora y especificamente en el caso de continuas perdida de conectividad por loops creados en la sede remota, es seprar los dominios de broadcast y no seguir teniendo una vlan extendida (vlan de servidores) que pase por el radio y llegue a la sede remota.

Comentando tu segundo punto, claro que el SW-Core (Sw que tendra la interfaces internas de la red interna remota) sera la puerta de enlace para los usuarios y demás vlan definidas, con ello no hay problema como lo explicas tu tambien, hay conectividad de la sede remota a la sede central y viceversa, asi que en ese aspecto no hay inconveniente. Otro punto que mencionas, es el tema del direccionamiento, no te preocupes, que solo tome direcciones y rangos IP de muestra, pero de todos modos muchas gracias por tu respuesta.

En si estoy muy agradecido por el tiempo que te has tomado en responder, pero basicamente mi problema es cuando los usuarios de la sede remota salgan a internet, esto hace que si o si el agente instaldo en el server, el cual es un TMG, le pregunte al servidor en la sede central si sale o no el usuario y definitivamnete le debe dar una respuesta de vuelta, sea esta satifactoria o no, es decir sale a internet o no. Mi problema es, ¿Como envio esa solicitud del Server TMG?, ¿como hago cuando llegue la solicitud al TMG?, ¿De que manera configuro para que este automaticamente envie la consulta al Server Central?, ¿Es automatico?, ¿Talves hay algun funcionbamiento del TMG que se me esta escapando?, y ¿como volvera la respuesta de la sede central? ¿Bastara con apuntar la IP del server TMG remoto?. Ese es mi problema, por ello sugeri un PBR porque con ello indicaba que el cuando al TMG llegue trafico de la vlan1 o vlan 2 o vlan 3 la reenvie a la sede central, pero creo que esto no esta correcto, ya que enviara todo el trafico, mas yo quiero o entiendo que solo debe ser la consulta de validacion.... Se que he escrito mucho, pero ,, porfa un apoyo¡¡¡, en serio valoro tu comentario, ya que no s eme habia ocurrido lo de la replica de AD.

Por ultimo, el Radio tiene un ancho de teorico de 100Mbps y un troupught de 60Mb, asi que no creo q sea problema para consultas cotidinas de salida a internet y otros servicios, ya que lo he validado con una herramienta de monitoreo y su consumo no pasa los 30 Mb. Si tienes otra alternativa sugieranla,,,Muchas Gracias¡¡¡

🗨️ 1
BocaDePez
BocaDePez
2