Foro de elhacker.net

Puedes poner un firewall y un switch o puedes poner un router para manejar NAT o DMZ dependiendo de qué es lo que quieras o necesites.

AS500
ASA550
640 de checkpoint
ISR XXX de CISCO

Saludos.

Buenos días Platanito Mx.

Cuando le hablaba de balanceo de carga me refería a hacerlo por DNS, con las cuatro IP's públicas de los cuatro routers ADSL, así no necesitaría nada más que la configuración del DNS y luego la de NAT de esos router apuntando a donde le interese en la red interna.

Lo del proxy inverso la verdad es que nunca lo vi. ¿Tendría alguna ventaja frente a lo del balanceo por DNS? Si es así me gustaría que me dijeras en que, ya que en un futuro me puede llegar a hacer falta.

Un saludo.

Hola,

Si no entiendo mal, lo que quieres hacer es conectarte a tu LAN a través de cualquiera de tus conexiones dándole a un botón ¿no? :)

Las 4 ips serán dinámicas. Y claro no quieres gestionar tu red por un solo equipo por si se cae.

Lo más fácil y económico, hacerte una cuenta no-ip. O usar un ordenador con una aplicación de control remoto que trabaje por encima de la capa ip.

Pero mi duda mas grande es, ¿cuando se te cae el acceso a internet por el cual esta saliendo el tráfico, o parte del tráfico sigue funcionando tu red?
 

Creo que ya he entendido lo que quieres hacer. Basicamente un IP failover:

(https://www.ovh.co.uk/themes/default/images/blue/failover11.jpg)

Yo jamás he configurado uno, pero al parecer no es tan complicado:

https://wiki.archlinux.org/index.php/Simple_IP_Failover_with_Heartbeat

Aunque vas a necesitar tener una conexión de alta disponibilidad (la que pones al frente).

Si tienes un dominio, puedes también poner registros para tus 4 ips. Asi puedes entrar por la red que tu quieras. isp1.tudominio.com, isp2.tudominio.com, isp3.tudominio.com, isp4.tudominio.com.

Si no tienes acceso a isp1, usas isp2, sino usas isp3, etc... O usas el balanceador de cargas de DNS que te sugiere Failleun, asi nada mas entras por tudominio.com.

Hola Turion.

El balanceo de carga no sirve solamente para salir de la red lan a internet por uno u otro ADSL, si no que puede implementarse en cualquier dirección y en cualquier caso, en cada sitio donde repartas la carga del tráfico de red entre varios dispositivos ya estás usando balanceo de carga.

Como puse en mi anterior mensaje, el balanceo de carga que te doy como solución sería en las 4 ip's públicas de cada router ADSL que tienes, lo tienes que implementar mediante DNS y configurar luego las mismas reglas de NAT en los 4 router, para que de este modo con una única dirección IP externa puedas repartir ese tráfico entre las 4 IP's públicas y de este modo consigues balanceo de carga y redundancia contra cualquier caida de cualquier router o ISP.

Saludos.

Para eso existe un dispositivo llamado ROUTER en el cual vas a asignar un puerto especifico a cada conexion, y las vas a poder monitorear. Pero piensa que 1) esa solucion es costosa 2) se requieren conocimientos en la programacion del router (protocolos, tabla de enrutamiento, asignacion de los recursos LAN, DNS, policys), luego de eso aplica lo que te dijeron arriba.

andavid descubrió el hilo negro...problema solucionado el router es la solución pero no es costoso y hay que tener conocimientos de programación <--- Lease totalmente en un tono irónico

¿esa solucion es costosa?...¡¿eh?! usar un puerto especifico para poder monitorear ¿cuál sería el objetivo de monitorear los puertos? lo que quiere es poder entrar a su red


Protocolos, tabla de enrutamiento, asignacion de los recursos LAN, DNS, policys...¡¿eh?!
Un equipo que te permita hacer DMZ y NAT es suficiente y otro para la distribución, para eso no se necesita todo lo que dices en base a lo que plantea...si requieres una LAN corporativo con ACL, vLans, etc. si se requeriria lo que tu mencionas

No es tan sencillo... En primer lugar el esquema del OP es incorrecto. No puedes tener equipos que pertenezcan a 4 redes distintas. A menos que cada dispositivo haga 4 conexiones distintas. que lo dudo mucho. Si cada equipo hace una sola conexión, entonces tiene una sola IP que pertenece a una subred. IPs en diferentes subredes no se ven, por lo que si se ven, todas las IPs pertenecen a una subred (de un solo router). Tampoco tiene mucho sentido conectar los 4 routers a un mismo switch (a menos que tengas vlans).

¿En qué te basas que no se puede tener equipos que pertenezcan a 4 redes distintas? Aquí tenemos 6 proveedores de servicios de internet que de su equipo están conectados a nuestro ruteador  y es por ello que pregunto a qué te refieres con “no se pueden tener”. Si se quiere llevar a otro nivel la utilización de vLans de nivel 1 con  el NATeo o el uso de DMZ’s dara un resultado con mejor calidad de servicio.

Haciendo a un lado esos problemas, solamente con NAT no podrías hacer lo que quiere el OP.  El esquema en el que estas pensando es conectar las 4 subredes a un router/firewall/etc y de ahí dejar que este haga el NAT. Las rutas son bastante sencillas de entrada, porque W,X,Y,Z van al punto A. El punto A multiplexa la IP de destino, de acuerdo a las reglas NAT y el paquete es leido correctamente. El gran problema es de regreso porque de A tiene que elegir porque camino regresar, W, X, Y o Z y NAT no te ayuda aquí, es un problema de ruteo.


Perdón pero en el NATeo facilita la interpretación una a una de las direcciones IP, no solo sería el direccionamiento y agrupación de IP’s sin dejar a un lado uno de los objetivos del NATeo…”intercambio de paquetes entre dos redes que asignan direcciones incompatibles” por ende ese intercambio es entrada y salida (ida y vuelta), toma en cuenta que si es una aplicación en la que transportan la dirección de IP y el puerto TU dentro de la carga útil como es el SNMP no será sencillo más no imposible.

En resumen para lo que desea, acceso desde afuera a su red por cualquiera de los 4 ISP, NATeo, DMZ o combinación de ambos.


Y de forma caserá o PYME con 2 routeadores que permitan NATeo y manejo de DMZ sería suficiente, si buscas algo mas empresarial sería meternos a la parte del diseño de la red lo cual aquí seria muy difícil explicarlo

user@MX480–router> show configuration
[...Output Truncated...]
}
chassis {
    fpc 0 { # The fpc number is associated with the interface on which sampling is enabled, ge-0/1/0 in this statement.
        sampling-instance s0;
    }
    fpc 3 { # The fpc number is associated with the interface on which sampling is enabled, ge-3/1/0 in this statement.
        sampling-instance s1;
    }
}
interfaces {
    ge-0/1/0 { # This interface has sampling activated.
        unit 0 {
            family inet {
                sampling { # Here sampling is activated.
                    input;
                }
                address 10.0.0.1/30;
            }
        }
    }
    ge-1/0/0 { # The interface on which packets are exiting the router.
        unit 0 {
            family inet {
                address 20.0.0.1/30;
            }
        }
    }
    ge-1/0/4 { # The interface connected to the cflowd server.
        unit 0 {
            family inet {
                address 2.2.2.1/32;
            }
        }
    }
    sp-2/0/0 { # The service interface that samples the packets from Router 1.
        unit 0 {
            family inet;
        }
    }
    sp-2/1/0 { # The service interface that samples the packets from Router 3.
        unit 0 {
            family inet;
        }
    }
    ge-3/1/0 { # This interface has sampling activated.
        unit 0 {
            family inet {
                sampling { # Here sampling is activated.
                    input;
                }
                address 11.0.0.1/30;
            }
        }
    }
}
forwarding-options {
    sampling {
        instance {
            s0 {
                input {
                    rate 1;
                    run-length 0;
                }
                family inet {
                    output {
                        flow-server 2.2.2.2 { # The address of the external server.
                            port 2055;
                            version9 {
                                template {
                                    v4
                                }
                            }
                        }
                        interface sp-2/0/0 {
                            source-address 1.1.1.1; # Source address of the sampled packets
                        }
                    }
                }
            }
            s1 {
                input {
                    rate 1;
                    run-length 0;
                }
                family inet {
                    output {
                        flow-server 2.2.2.2 { # The address of the external server.
                            port 2055;
                            version9 {
                                template {
                                    v4
                                }
                            }
                        }
                        interface sp-2/1/0 {
                            source-address 1.1.1.2; # Source address of the sampled packets
                        }
                    }
                }
            }
        }
    }
}

routing-options {
    static {
        route 50.0.0.0/8 next-hop 20.0.0.2;
    }
}
services {
    flow-monitoring {
        version9 {
            template v4 {
                flow-active-timeout 30;
                flow-inactive-timeout 30;
                ipv4-template;
            }
        }

¿En qué te basas que no se puede tener equipos que pertenezcan a 4 redes distintas? Aquí tenemos 6 proveedores de servicios de internet que de su equipo están conectados a nuestro ruteador  y es por ello que pregunto a qué te refieres con “no se pueden tener”. Si se quiere llevar a otro nivel la utilización de vLans de nivel 1 con  el NATeo o el uso de DMZ’s dara un resultado con mejor calidad de servicio.

Perdón pero en el NATeo facilita la interpretación una a una de las direcciones IP, no solo sería el direccionamiento y agrupación de IP’s sin dejar a un lado uno de los objetivos del NATeo…”intercambio de paquetes entre dos redes que asignan direcciones incompatibles” por ende ese intercambio es entrada y salida (ida y vuelta), toma en cuenta que si es una aplicación en la que transportan la dirección de IP y el puerto TU dentro de la carga útil como es el SNMP no será sencillo más no imposible.

En resumen para lo que desea, acceso desde afuera a su red por cualquiera de los 4 ISP, NATeo, DMZ o combinación de ambos.


Y de forma caserá o PYME con 2 routeadores que permitan NATeo y manejo de DMZ sería suficiente, si buscas algo mas empresarial sería meternos a la parte del diseño de la red lo cual aquí seria muy difícil explicarlo

Un equipo no puede pertenecer a 4 subredes distintas, porque solo tienes una IP. Si tu router tiene un segmento 192.168.x.x/24 necesitas una ip en ese segmento. Lo que ha mostrado el OP son 4 segmentos diferentes los cual apuntan a los equipos. Por una sola conexión, el equipo no puede pertenecer a todos los segmentos. Puedes configurar tu router para rutear los paquetes a los demás segmentos sí... pero los equipos están en diferentes subredes. Simplemente así es como funciona IP. Encima hice la aclaración que usar el mismo dominio de broadcast (si es que no esta usando vlans) para dos segmentos no es lo más razonable.

Como dije antes, la tabla de ruteo de los 4 routers es fácil. De entrada todo va al mismo punto. Pero de salida no lo es. Si el paquete entra por el router periferico X, se mueve a tu router interno A, este hace nateo, el equipo recibe la peticion y contesta. Ahora el equipo envia el paquete al router A y de aqui lo envia por la ruta de acuerdo a la política de ruteo (shortest path, vector mas pequeño, etc). Y aquí no tienes ninguna garantía que lo envie por la ruta por la que vino. Mientras tanto, el equipo que inicio la petición esta esperando una respuesta de X pero e el paquete termino en Z o en W o en Y o quizás haya acabado en X pero no es seguro.

No se como piensas que NAT puede ayudarlo en este caso. Simplemente cuando el router que hizo la traducción este listo para mandarlo de regreso, no tiene forma de decir "Voy a enviarlo por la ruta en la que se me envio".

Alguna vez viste uno de estos?

Claro me hago el capo entrando al router de mi casa pero no tengo ni la menor idea de los equipos de backbone que hay detras...

Dos conceptos "subinterfaces y vLANs" buscarlos y te darás cuenta que un equipo puede pertenecer a 4 sub redes distintas ;)

No es tan sencillo... En primer lugar el esquema del OP es incorrecto. No puedes tener equipos que pertenezcan a 4 redes distintas. A menos que cada dispositivo haga 4 conexiones distintas. que lo dudo mucho.

¿Y de donde sacaste que el OP se está montando 4 subinterfaces? Yo dije:

4 interfaces (o sub interfaces o interfaces virtuales o como les quieras llamar) = 4 conexiones.

Es obvio que el OP no se ha montado algo así. De por sí no todos los equipos pueden configurar múltiples rutas (como las impresoras en red). Y tampoco sabemos nada de que VLANs tenga, el ha dicho que conecta todo a un switch pero en su diagrama no hay ni siquiera un switch.

Realmente, tener todos tus equipos conectados a las mismas 4 redes, no solo es estúpido, no es algo sencillo de realizar. El propósito de tener 4 segmentos diferentes es tener equipos en diferentes segmentos, no de ponerlos en los 4 segmentos.