PFsense 2.3.2 MPLS VPN bağlantısı
-
Merhabalar.
Yakın bir zaman da sunucularımızı Veri merkezine taşıyacağız. Veri merkezi ile aramızda MPLS VPN bağlantısı kurulacak. Ofisimizde internet çıkışı normal metro hattından sağlarnırken sunucularla iletişimi MPLS VPN hattı üzerinden sağlayacağız. Sunucularda veri merkezinden sağlanacak internet çıkışı ile internete çıkacaklar.
Ofisimizde PFsense kullanmayı düşüyorum. Veri merkezinde ise farklı bir FW konumlandıracağız.
PFsense sunucuma 4 adet network kartı takmayı planlıyorum. 2 adet WAN, 1 adet LAN, 1 adet MPLS VPN interface olarak planlıyorum. Burada sormak istediğim konular şunlar;
1: MPLS interface'ini tür olarak (LAN, WAN veya başka tür) ne seçmem gerekiyor?
2: Sonra ki routing ayarlamaları nasıl yapılmalı?PFsense ile böyle bir yapı sağlıklı çalışır mı? daha önce böyle bir yapı kuran arkadaşlar tecrübelerini aktarırlarsa memnun olurum.
iyi çalışmalar.
-
merhaba,
mpls için 2 yol var.
biri sizinde belirttiğiniz gibi ayrı int., gw mpls router olur.
diğeri, mpls tarafında ayrı bir int. verirler, ki sol ise bu formatta yapar.
bu int. sizin local network içerisine dahil edilir, size düşen static route yazmak olur.bu tarz uygulamalar genelde drs olarak yapılıyor, siz tam tersini yapıyorsunuz.
sizin için kesinti tahammülü yok ise, pf vb. ürünü cluster kullanın.
mevcut data kapasiteniz büyür ise, mpls tarafında bant genişliği sorunu yaşayabilirsiniz. -
Merhaba.
MPLS SOL olacak. Sanıyorum var olan metro switch'imiz üzerinde ki bir porta MPLS hattını verecekler. Bizde bu hattan alacağımız kabloyu PFsense üzerinde ki network kartına (interface) gireceğiz. Sonrasında statik route yazacağız. Bu interface' ide LAN olarak seçeceğiz. Bu interface'in ayarlamalarını da ISP alacağımız bilgilere göre tanımlayacağız.
Eğer MPLS ayağını LAN interface olarak seçersem statik route kuralını LAN>LAN yapmam gerekecek doğru mudur?
PFsense'i yedekli olarak kuracağım.
-
üstte de belirttiğim gibi sol mpls için router üzerinde ayrı port tanımlayıp, içeri alacağından, pf tarafında int. açmanıza gerek yok.
bu yüzden local int. üzerinde static route yazmanız yeterli. -
Merhabalar. Projenin detayları belli olmaya başladı. aşağıda paylaşıyorum. Bu detaylara göre pfsense tarafında nasıl bir yönlendirme yapmam gerekecek. Yardımcı olabilir misiniz?
"MPLS router ile Firewallunuzu Ethernet portlarından patch kablo ile birbirine bağlayacağız. Router tarafındaki int. IPsi abc.abc.abc.AB/30 olacak. Firewallunuzun portuna abc.abc.abc.AC/30 IPsi verilecek. Veri merkezinde ki networke erişirken FWda routing yapıp next hop IP olarak abc.abc.abc.AB/30 girmeniz gerekmektedir."
-
merhaba,
sol'e ait birçok mpls yapı gördüm veya çalıştım, anladığım kadarı ile özel bir talebiniz mevcut ayrı int. için.
satırlarda tüm ayrıntı paylaşılmış.
dc network için static route yazmanız yeterli. -
Genelde MPLS kullanımı ofisleri haberleştirmek ve bir merkezden internet çıkışı vermek üzere kullanılıyor. biz ise ofisimizle veri merkezinde ki sunucularımı haberleştirmek için MPLS hattını kullanacağız. her nokta kendine ait ayrı internet bağlantısından internete çıkacak. Router dan gelen kabloyu pfsense tarafında yeni bir interface gireceğim. IP leri verip router ve pfsense bu interface üzerinden haberleştireceğim. sonrasında static route kuralı yazıp LAN interface'inden veri merkezine gitmek istediğimde MPLS interface'ini kullan diyeceğim. burada aklıma takılan FW tarafında yazılacak route'da next hop adres olarak router'ın bacağı tanımlanmasının istenmesi oldu. bu işleme gerek var mı? varsa nasıl yapılır?
-
hostlarınız, local network üzerinden, dc network'e ulaşırken static route olmaz ise, default route üzerinden bu network'e erişim sağlamaya çalışacaktır, doğal olarak da erişim sağlayamayacaklardır.
aşağıdaki link fikir verecektir.
Youtube Video -
Şuan bağlantılar tamamlanmadığı için test edemiyorum ama şöyle yaptım.
MPLS adında bir interface ekledim. Interface IP adres bilgisine abc.abc.abc.AC/30 bilgisini yazdım. Bu interface'e ait yeni bir gateway ekledim IP bilgisine de abc.abc.abc.AB/30 (router bacağının IP adresi) girdim. static route ekranında da destination network'ume veri merkezinde ki network bilgilerimi (xyz.xyz.xyz.xyz/24 gibi) yazıp gateway olarak eklediğim gateway' seçtim. Ek olarak firewall tarafında 2 nokta arasında iletişim için izin kuralları ekledim.
Sanırım yapı bu şekilde.
-
referans adres üzerindeki tüm adımları gerçekleştirdiğiniz takdirde, sorun olmayacaktır.
mpls yapılandırıldığında trace çıktısını kontrol edersiniz.