別々の場所に2つのsonicwallを使用したポイントツーポイントLAN

アーリントンに本社があり、ダラスにリモートオフィスがある2拠点のビジネスがあります。現在、私たちのオフィスは両方ともsonicwall NSA 2600を実行しており、（sonicwallを使用して）お互いの間にVPNトンネルを保持しています。最近、ISPから2つの場所の間にポイントツーポイント接続を購入しました。基本的に、各モデムには、専用の100 mbパイプで他のモデムに直接リンクするポートがあります。

VPNトンネルを、他のネットワークサブネットを指す各sonicwallに追加のLANインターフェースがあると想定したものに置き換えたいのですが。アーリントン：10.74.1.1/24ダラス：10.74.2.1/24

次に例を示します。

               +-----------+ X0 ---- LAN 10.74.1.1/24
               |           |
WAN_IP ---- X1 | SonicWall |
               | Arlington |
               +-----------+ X2 -------- X2  +-----------+ X0 ---- 10.74.2.1/24
                                    ^        |           |
                                    |        | Sonicwall | X1 ---- WAN_IP
                                    |        |  Dallas   |
                                    |        +-----------+
                                    |
                           This X2 would traverse
                           the point-to-point connection
                           between each of my ISP's modems 

私の質問は、各X2インターフェースをどのように構成するのですか？私の考えは例えば：

アーリントンsonicwallのX2インターフェースを次のように構成します。LAN、アドレス10.74.2.1、マスク255.255.255.0。Dallas sonicwallのX2インターフェースを次のように構成します。LAN、アドレス10.74.1.1、マスク255.255.255.0。また、VPNトンネルが有効な間に、このように構成されたLANインターフェイスをテストできますか？それとも、2つのネットワーク間のルーティングに問題が発生しますか？

これらのネットワークは、現在VPNトンネルを介して行うのと同じ方法で通信する必要があります。

何かアドバイスをいただければ幸いです！

10.74.1.0/24と10.74.2.0/24の両方が使用されているため、これは機能しません。それだけでなく、PtP接続には相互プレフィックスが必要です。

別のIP範囲を使用してください。10.75.0.1/30（255.255.255.252）をアーリントンX2に置き、10.75.0.2 / 30（255.255.255.252）をダラスX2に置きます。

次に、アーリントンでルートを追加します：10.74.2.0/24-> 10.75.0.2およびダラスで：10.74.1.0/24-> 10.75.0.1。

これまでにSonicWallを使用したことがないため、VPNが新しくインストールされたルートよりも優先されるかどうかはわかりません。これをテストするには、各側のLANから単一のIPを取得し、それらを新しいPtP経由でルーティングします。

したがって、一方の側で10.74.2.10、もう一方の側で10.74.1.10として設定されたラップトップでは、アーリントンでは、ルート10.74.2.10/32-> 10.75.0.2になり、ダラスでは、ルート10.74.1.10-> 10.75.0.1になります。ここでも、Sonicwallsが暗号をバイパスしてこれらをptp経由でルーティングするかどうかはわかりませんが、試してみる価値はあります。また、両側に新しい一時的なプレフィックスを設定し、それをライブ配信する前にルーティングすることもできます。

最後に、EOBの後、ルートを設定し、何が起こるかを確認し、VPNを無効にして、何が起こるかを確認します。うまくいけば完了です。そうでない場合は、何が行われたかを文書化した順序付きリストを入手できます。オリジナルの現状維持が再び機能するまでバックトラックし、そこから進みます。

ルーティング装置を直接管理しない場合は、ISPでこれを分類し、Sonicwallだけでなくルーターでも追加のルーティングとインターフェースを構成する必要があります。

さらに2つのネットワークを定義します。

172.16.100.0/30ダラスからアーリントンへ172.16.101.0/30アーリントンからダラスへの割り当て：

ダラスX2：172.16.100.1/30ダラスルーターFe（0/1）：172.16.100.2/30アーリントンX2：172.16.101.1/30アーリントンルーターFe（0/1）：172.16.101.2/30

ダラスルーター：ルート10.74.2.0/24ゲートウェイ172.16.100.1（AからDへのトラフィック、Sonicwallにルーティング）ルート10.74.1.0/24ゲートウェイMPLS

アーリントンルート10.74.1.0/24ゲートウェイで172.16.101.1（D.からA.へのトラフィックがSonicwallにルーティング）ルート10.74.2.0/24ゲートウェイMPLS

sonicwallでは、宛先NATも無効にする必要があります。

いつものように、バックアップ、バックアップ、バックアップ！:)

他の人が言っているように、すでに使用されているIPは使用できません。（他のネットワークに）ルーティングできる別のサブネットを使用する必要があります。

/ 30ブロックよりも大きいものを使用することをお勧めします（場所を追加する場合に備えて）。/29を使用すると、たとえば6つの場所に拡張できます。

私は既存のネットワークとは別のもの（目立つように）を使用しますが、隣接していません（拡張する場合）。10.99.9.0/29のようなものをお勧めします。

テストできるようにする場合は、まず既存のVPNをトンネルベースのVPNに変換する必要があります。https： //support.software.dell.com/kb/sw7902 OR：https : //support.software.dell.com/ kb / sw11606

これには、ポリシーベースのIPsec VPNよりも簡単にテストするルートを作成できるという利点があります。VPN内のトンネルインターフェイスに切り替えてルートを作成する間、VPNがダウンするため、ダウンタイム中にこれを実行してください。

次に、ポイントツーポイント範囲から1つのIPを使用して各ルーターにX2を構成します。

Arlington X2 = 10.99.9.1 /29
Dallas X2 = 10.99.9.2 /29

両方ともLANゾーン、両方とも静的IPモード。X2をISPのデバイス（MPLSなど）のPtPインターフェイスに接続します。これは、リンクが単なるレイヤー2リンクであり、ISPによってルーティングが行われていないことを前提としています。

次に、各ルーターからDiagnostic Ping（またはCLI ping）コマンドを使用して、他のルーターのX2インターフェイスにpingを実行できます（たとえば、Arlingtonは10.99.9.2にpingできるはずです）。

問題がなければ、ルーティングポリシーを作成してテストできます。つまり、アーリントンルーターで次のようにします。

Source: Some 10.74.1.x test IP in Arlington
Destination: Some 10.74.2.x test IP in Dallas
Service: Any
Gateway: 10.99.9.2 (Dallas' X2 IP -- the other side)
Interface: X2 (the interface Arlington needs to use)
Metric: make lower than whatever you used for your Tunnel VPN metric.

ダラスルーターで同様のルートを作成します（ただし、すべてのIPを交換するので、ダラスIPからアーリントンIPに、ゲートウェイは今回は10.99.9.1になります）。

LAN Speed Test（無料版も含む）のようなものを使用することをお勧めします：http : //www.totusoft.com/lanspeed.html

最初にVPNを介してテストマシンとの間の速度をテストし、次にルートを配置した後にもう一度テストします。トラフィックがMPLSを通過するときに速度の違いが表示されます。

それが機能する場合は、ルートを次のように変更します。ソースは：Any And Destination is：The反対側のネットワーク（単なるIPではなく）-したがって、アーリントンからの宛先は10.74.2.0/24になります。メトリック：VPNトンネルルートよりもまだ低い。

すべてのトラフィックはMPLSを介してすべての人に送信されます。中断は非常に少ないため、これは昼食時に行うことができます。

X2のゾーンがX0ネットワークと同じである限り、LANゾーンでインターフェースの信頼を有効にしている場合、ファイアウォールルールは必要ありません。すべてが（内部ネットワークに関して）ルーティングされるため、NATに変更を加える必要はないと思います。

次に、VPNを無効にするか、そのままにしてルートにプローブを設定し、プローブが失敗した場合にMPLSのルートが無効になるようにします（VPNにフォールバックできるようにします。両方のケースで同じISPである場合はあまり役に立ちません）。 ..）

そしてはい：最初にあなたの設定をバックアップし、その後:)