Precedente :: Successivo |
Autore |
Messaggio |
usul
Registrato: 02/09/11 09:27 Messaggi: 5
|
Inviato: Ven Set 02, 2011 9:58 am Oggetto: Lan to Lan, AirMAx – VoIP e Dati |
|
|
Saluto tutti, sono nuovo come account, ma vecchio frequentatore del forum, finalmente ho messo insieme qualcosina di più complesso e vorrei il vostro parere
e alcune indicazioni su che strada muovermi, dato che fin ora ho configurato zeroshell in maniera semplice.
Quindi vi chiedo cortesemente conforto e qualche indicazione per sistemare al meglio la configurazione realizzata.
Problema, avevo una sede non più raggiunta da linea voce e dati, a causa di continui furti di rame, distante dalla sede principale dove ho linea dati 15 Km.
Ho risolto istallando due un ponte con tecnologia AirMax Mimo 2x2 a 5 Ghz con le relative parabole.
Il segnale è buono e dai test di velocita di trasferimento ottengo dati di 120 mB sia in tx che in rx.
Ho usato due zeroshell per realizzare una VPN tra le due sedi, in modo che il traffico voip e dati possa passare protetto tramite il collegamento via etere.
Come potete vedere nello schema grafico allegato la configurazione e la seguente:
Uploaded with ImageShack.us
Sede A configurata come client nella VPN
ETH00: 192.168.0.175
ETHO1: 172.172.172.2
VPN00: 10.10.10.2
GATEWAY: 172.172.172.1
NAT Enable Interface: ETH0 – ETH1 – VPN00
Sede B configurata come Server nella VPN
ETH00: 192.168.132.175
ETHO1: 172.172.172.1
ETHO2: 192.168.1.175
VPN00: 10.10.10.1
GATEWAY: 192.168.1.172
NAT Enable Interface: ETH0 – ETH1 – ETH2 - VPN00
Con questa configurazione la SEDE A naviga su internet,
il centralino VoIP FreePbx funziona egregiamente,
la sede B dall’interfaccia eth00 naviga, ma non contatta la rete interna della sede B presente su eht00,
mentre le reti presenti sulle relative eth01 DMZ sono raggiungibili da entrambi le rete.
Non ho ancora configurato le regole di firewall, cosa che vorrei fare appena tutto mi funzione come vorrei.
La cosa che ora non mi è chiara e come contattare il centralino presente sulla eth00 della sede A
dall’interno della sede B collegata alla scheda eth00 relativa, cosa che ora non mi è possibile.
Chiaramente dovrei anche inserire la gestione QoS per agevolare e salvaguardare le comunicazione VoIP,
quindi ricapitolando vorrei consigli e vostre considerazioni su:
Schema generico, se va modificato
Come contattare la rete interna della sede A dalla sede B
Suggerimenti se ne avete per agevolare e salvaguardare il traffico VOIP
Grazie anticipatamente a tutta la comunità di zeroshell.  |
|
Top |
|
 |
usul
Registrato: 02/09/11 09:27 Messaggi: 5
|
Inviato: Ven Set 02, 2011 10:51 am Oggetto: |
|
|
Rivedendo lo schema e riflettendo su quello che ho fatto credo di aver comesso un errore:
Inserendo nella sede A il gateway 172.172.172.1 che corrisponde all'interfaccia presente sulla sede B, baipasso la VPN e il traffico per internet e il VOIP viaggia non più sulla VPN come volevo che fosse.
Azz .. giusto o mi sbaglio?
e se cosi fosse, nella sede A dovrei inserire come gateway l'indirizzo della VPN della sede B?
scusate la mia nubbigine, aspetto delle vostre... saluti. |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Ven Set 02, 2011 2:21 pm Oggetto: |
|
|
Ciao, cosi a naso , direi che forse ci sono un pò troppi nat e neanche una statica....ETH01 è un trunk o c'è un secondary ip address ? ci sono sia la subnet 192.168.1.0/xx ( DMZ ) che la 172.172.172.0/xx (questo in realtà sarebbe un pool pubblico , meglio usare 172.16.x.x >> 172.31.x.x per una classe B privata ) . se vuoi che il traffico dalla sede A verso tutte le destinazioni viaggi nel tunnel vpn , sulla sede A specifica come default gateway l'Ip della sede B della VPN00 (10.10.10.1 ) , sulla sede A , crei una statica per la 192.168.0.0/ (24 ?) con next hop 10.10.10.2 ... con la config. descritta , il nat , lo abiliti solo sulla ETH02 della sede B ..
P.S. nelle ubiquiti hai abilitato wpa2 aes ? se le usi come PtP routed non hai problemi , vero è che il tdma di airmax è propietario ed il traffico anche se in chiaro in realtà sarebbe criptato dalla vpn, però ... |
|
Top |
|
 |
usul
Registrato: 02/09/11 09:27 Messaggi: 5
|
Inviato: Dom Set 04, 2011 8:54 am Oggetto: |
|
|
Grazie per le tue indicazioni, come da te suggerito ho configurato il GW sulla sede A con l'indirizzo della VPN della sede B, e ora il traffico passa dalla VPN.
Non avevo definito delle NAT statiche perchè pensavo che gli indirizzi IP presenti della Sede A fossero visibili grazie alla VPN come accade con OpenVPN Client to Lan.
Quindi se ho ben capito anche se faccio la VPN devo stabilie delle NAT statiche? natiche statiche!! hhiihi
Mentre per
ETH01 è un trunk o c'è un secondary ip address ?
Nono ho capito bene cosa intendi per TRUNK (penso al VOIP), ma sulla ETH01, ho solo un indirizzo IP quello segnato,
Ti ringrazio nuovamente. |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Dom Set 04, 2011 9:57 am Oggetto: |
|
|
Nello schema allegato , su ETH01 di sede B c'è l'indirizzo 172.172.172.1 ( che ti ricordo essere un pubblico..), tale interfaccia è collegata ad uno switch , dove sono presenti anche 2 server che però sembrano appartenere alla network 192.168.0.1 ( DMZ ? ), ... qual'è il default gateway per server1 e server2 ? Sempre dallo schema , sembra che il NAT sia abilitato su tutte le interfacce ( NAT Enabled Interfaces ) di tutti e due gli ZS..se non hai particolari esigenze , il NAT lo abiliterei solo sulla ETH02 di sede B , però , dipende da cosa vuoi fare , es:
tutti/alcuni hosts appartenenti alla lan della sede A (192.168.132.xx) devono /possono raggiungere tutti/alcuni hosts appartenenti alla lan della sede B (192.168.0.x) ?
vuoi ivece che tutto ciò che esce dalla sede A sia nattato , e quindi nascosto , ed esca nel tunnel VPN ? Con iptables , puoi fare praticamente ciò che vuoi...
P.S. il throughput del wireless lo hai testato con le utility ubiquiti o con qualche tool tipo iperf/jperf ?
ciao |
|
Top |
|
 |
usul
Registrato: 02/09/11 09:27 Messaggi: 5
|
Inviato: Lun Set 05, 2011 7:45 am Oggetto: |
|
|
Grazie ancora per le riflessioni che stai stimolando, intanto il GW dei server è quello della sede B, ho omesso la configurazione del NAT 1:1 dei server, perché era cosa fatta, ma in effetti non avendo specificato ho creato altre variabili a chi mi legge scusate.
Gli indirizzi IP li ho cambiati come da te indicato, non ho fatto nessuna attenzione nel inserire quelle classi solo perché ho pensato che quel collegamento non sarebbe andato da nessuna parte, ma non è corretto usarli e quindi ora ho seguito il tuo suggerimento 172.31.31.x
Il throunghput del wirelwss è testato con il test di ubiquiti, di cui ho letto che non è molto attendibile.
Nei ubiquiti ho abilitato wpa2 aes.
Ricapitolo le funzione che vorrei raggiungere.
Di fatto le due sedi non devono comunicare tra di loro tranne per le relative configurazioni da parte della sede B sulla Sede A,
quindi il server PBX e i telefoni dovrebbero essere raggiungibili solo dalla sede B.
Sede A
Tutto il traffico deve passare nella VPN
Navigazione Internet,
Non deve contattare le macchine presenti nella sede B
Deve poter contattare i server nella DMZ
Sede B
Navigazione Internet
Accesso alla rete interna della sede A.
Accesso alla DMZ
Grazie ancora delle preziose indicazioni. |
|
Top |
|
 |
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|