Hola a todos!
Vereis, mañana tengo que instalar un Firewall 3com Office Connect en mi oficina (Tenemos ADSL con telefonica).
Sabeis si hay que hacer algo especial? Mirando las instrucciones habla de DHCP, IP fija o PPoE. Para Telefonica ADSL con un router Zyxel que debo escojer?
Gracias adelantadas!
El firewall tendrá 2 patas ethernet outside e inside, supongo.
Configura el router en monopuesto y que el firewall tenga la ip pública en la pata outside, en la inside la configuras con la ip del router que había antes (así tendrás que hacer los menores cambios).
Saludos.
Mi idea era dejar el router y además añadir el firewall.
No se puede dejar el router tal cual sin tener que configurar nada?
seria un poco absurdo pero poder se puededando al firewall ip interna
Pero lo normal es colocar el firewall entre el router y el switch, no?
Eso es lo que quiero hacer... Tan problemático es?
esquema:
internet------router en monopuesto------firewall con ip publica haciendo nat-----red local
A ver, os explico un poco más detalladamente la situación :
Son 2 delegaciones, cada una con su router de telefonica. Entre los dos routers Zyxel hay una VPN que creó Telefónica hace un par de años (una delegacion con ip del tipo 192.168.0.X y la otra con 192.168.102.X).
Mi idea era poner el Firewall que sólo diera servicio a la delegación central (10 ordenadores), intenté conectarlo entre el router y el switch, asignandole una IP de la red, pero necesitaba obtener una IP de Internet para que funcionara. Si cambio el router a monopuesto supongo que perderé la conectividad de la VPN, y se trata de algo vital que no se puede perder.
Hay alguna manera de poner en marcha mi idea original del Firewall solo sirviendo a la delegación central, sin tener que cambiar nada en el router?
Si consigues engañar al ZyXEL consiguiendo, a través de algún posible parámetro de ese firewall, que en la pata que va al router haga proxy de ARP de toda la subred 192.168.X.Y, puedes ponerle en la otra pata la misma IP local del router y que transparentemente quede en medio gestionando los paquetes.
bueno la otra solución, es si tiene gestión sobre los router de las delegaciones sería:
Crar una nueva LAN para la sede principal, por ej: 192.168.1.x en la pata LAN, y que sea el default gateway de la red y 192.168.0.x para la pata wan.
enchufar el router a la pata lan del router de la sede central.
Agragar rutas estáticas para la nueva red, y configurar el firewall para que permita el acceso del tráfico de la red 192.168.102.x que interese.
A su vez, el firewall tendrá una ruta estática 0.0.0.0 0.0.0.0 y como puerta de enlace será la 192.168.0.y (la ip del router).
Pros: Yo creo que es lo que más sencillo, usar las posibilidades de routing.
Contras: necesitas cambiar el direccionamiento ip de una sede (problema a medias ya que son 10 puestos).
Saludos.
No se si queda claro, pero si hay dudas subo un planito :)
A ver, queda claro...a medias...perdon, pero es que en los temas de routing y hardware soy bastante "tarugo". Por cambiar la ip de 10 pc's no hay problemas, eso es lo de menos.
Vamos por partes :
Entiendo que al Router de la sede central le dejo la misma ip lan (192.168.0.199) y la misma ip wan (la que me de telefonica por ppoE) y añado la ruta que lleva a la 192.168.1.x estableciendo como GW la 1.1 (el firewall)
El firewall lo configuro en IP estática con ip lan 192.168.1.1 e ip wan la 192.168.0.2 (para que se vea con el router). Además le configuro una ruta 0.0.0.0 (todas las conexiones, imagino) apuntando al router y habilito el paso a todas las conexiones que vengan de la 192.168.102.x.
En el router de la delegación remota creo una ruta que lleve todo el tráfico lan a la ip lan del firewall 192.168.1.1
¿Correcto? Lo he entendido bien?
He actualizado la imagen, ya que contenía una errata en un dato.
Ok Gracias.
Ahora lo miro todo y ante cualquier duda, pregunto.
Le veo un problema a cambiar las IP de una sede, y es que puede dejar de funcionar la VPN, según como esté configurada. Me explico.
Si la VPN está configurada para que todo lo que entre por la pata LAN del router de una sede, lo meta en la vpn para que ésta lo escupa en la otra sede, entonces no hay problema, y no he dicho nada.
Pero si además de comunicación entre sedes, también estáis saliendo a internet, supongo que la VPN estará configurada de forma que sólo mete por la VPN el tráfico que obedezca un determinado patrón de IP origen - Ip destino. Si cambias las IP's de una sede sin reconfigurar la VPN, el tráfico entre sedes dejará de cumplir con ese patrón, y dejará de ser encapsulado en la vpn... ¿a dónde irá?
Una solución inmediata para esa es que hagas NAT en el firewall, para que, aunqe hayas cambiado el direccionamiento de la sede, de cara al router siga apareciendo con el direccionamiento que tenía antes, no sé si me explico.
Una buena alternativa sería que tu firewall fuese transparente. El firewall iría entre router y switch, no llevaría direcciones IP (salvo una para gestionarlo, pero no para tráfico), y no necesitarías reconfiguraciones de red. Además se vuelve un poco más seguro y un poco más invisible. Pero es una funcionalidad que tiene que soportar el firewall.
Otra opción es estirar la vpn hasta el firewall, o sea, que vaya del router de la otra sede hasta el firewall de la central. En tu sede central, borras la configuración de la vpn del router, y trasladas esa configuración al firewall. Si además pones el router en monopuesto para que la ip pública vaya a la pata wan del firewall, probablemente en el router de la otra sede no tengas que tocar nada. Claro que esta solución depende de que puedas tocar la vpn que te ha hecho Telefónica, y de que el firewall soporte VPN's, que creo que el de 3Com las soporta.
Ya nos contarás.
de ahí lo de añadir la ruta estática a la red de destino, para que llegue al firewall, lo único que dependerá de la configuración, es decir, dependerá del router, por ej. en los cisco la tendrá que asociar al acess-list que haya, pero bueno, lo importante es que al configurarlo la sede tiene que saber cómo encaminar el tráfico hacia aquella red.
Saludos.
Los routers son 2 zyxels
Supongo que solucionarás con rutas estáticas entonces.
De todas formas, monta un entorno de pruebas con una máquina tras el firewall, añadir las rutas estáticas a los routers no les va a afectar para nada en el funcionamiento normal.
Reedito, a ver si me da tiempo antes de que nadie conteste.
El problema no es que llegue o deje de llegar, éso efectivamente se soluciona con la ruta estática. El problema son los filtros que pueda tener la vpn para aceptar o rechazar tráfico. Y no es por limitar tráfico, sino que hay tipos de vpn's cuya construcción se basa en la existencia de esos filtros. Ignoro si es el caso de las vpn's del servicio net-lan.
He estado leyendo lo que pone Telefónica en su web sobre el servicio Net-Lan. La información es muy poco técnica, y es difícil sacar conclusiones, pero algunas ideas se me han ocurrido.
Lo primero, ¿puedes tocar la configuración de los Zyxel, bien directamente o a través de algún portal? porque si es así se me ocurre lo siguiente:
Yo no cambiaría el direccionamiento de la sede, en previsión de que haya por ahí alguna aplicación que no controles y que vaya contra el direccionamiento actual de la sede. Yo metería direccionamiento nuevo para el segmento firewall-router, lo que obliga a reconfigurar el interfaz lan del router, y meter una ruta estática en el router para llegar a la lan a través del firewall (ahora mismo no debe haber ruta porque la LAN es de acceso directo).
Con suerte, la vpn no se ve afectada, porque no le importe que IP tenga el interfaz lan del router, y porque en realidad no hay ningún direccionamiento nuevo que sea relevante para la vpn: el direccionamiento entre router y firewall no le afecta a nadie más que al router y al firewall; y la ruta estática sólo es importante para el router, y no hay porqué anunciarla a ningún sitio. Y la otra sede no se entera de nada.
Esta es la mejor información que he encontrado sobre net-lan :
Me interesan todas las alternativas posibles, para poder barajar las diversas opciones cuando tenga los routers delante (ahora no estoy en esa oficina)
Me olvidaba decir que en la sede central hay un servidor SQL que es el principal motivo de la vpn, el replicar datos entre las 2 delegaciones.
Gracias a todos.
por lo general las netlan no suelen filtrar tráfico.
Saludos.
Ambos routers proporcionan conexion a Internet además de la propia VPN. Creo que la conexión entre delegaciones es net-lan, pero no lo puedo asegurar al 100%
