Bem-vindo à Comunidade UBNT

2 Links - 1 para acesso externo à LAN e 1 para acesso da LAN à internet com Fail Over

epcruzepcruz 0 Pontos
Bom dia a Todos.
Tenho 2 links, configurados como fail over.
Gostaria que o link 1 fosse usado para acesso externo (conexão de fora para minha rede local), e que o link 2 fosse usado para acesso da rede local à internet, e quando um dos links cair, todos (externo e interno) acessem pelo link que estiver disponível.
Tem como fazer? Seria por VLAN? Rota estática? Regras de Firewall?
Gostaria de aplicar essa solução tanto na infraestrutura com USG quanto na infraestrutura com EdgeRouter X
Desde já agradeço.
Abraço a Todos

Ercolhes Pereira
Rotulado:

Comentários

  • R4V3RR4V3R 8455 Pontos
    USG não suporta esse tipo de configuração, EdgeRouter sim, aí está a primeira limitação.
    Com roteadores EdgeMAX é super tranquilo fazer isso, o wizard padrao com failover já te entrega 90% pronto, so vai restar fazer o NAT(redirecionamento/tradução de portas) pra segunda conexão de internet, e vai estar pronto.. ;)
  • UI-SamuelUI-Samuel 896 Pontos
    No USG não é possível isolar as regras de DNAT na WAN2 porque por padrão toda regra de DNAT é aplicada apenas na interface WAN1. No ER bastaria você aplicar as regras de DNAT (port-forwarding) apenas na interface do seu link WAN2, mantendo o SNAT (compartilhamento) com failover do assistente, já que o failover só usa o link secundário em caso de queda do primário. Só que fazendo apenas isso você ainda não teria acesso externo com DNAT via WAN1 em caso de queda do link secundário, então também seria necessário escrever as regras de DNAT repetidamente nas duas interfaces das conexões WAN. Para fazer essa configuração você não pode utilizar a opção Port-Forwarding (interface simplificada) porque nessa opção o DNAT é aplicado em uma única interface. Nesse caso você terá que usar a aba DNAT e escrever regras repetidas nas 2 interfaces WAN (+ regras firewall). Ainda assim você não está restringindo o DNAT apenas à WAN2 e acessos vindos da WAN1 serão permitidos, embora essa seja uma maneira simples de lidar com seu requisito.
  • epcruzepcruz 0 Pontos
    Opa. Boa tarde @R4V3R e @UI-Samuel.
    Primeiramente obrigado pelo feedback.
    Acho que compreendi o que ambos disseram. Terei que concentrar todas as configurações em redirecionamento de portas... 
    Irei pesquisar sobre comandos e dicas para isso ou buscar por algo já pronto e adaptar para meu contexto...
    Uma outra dúvida: e se eu estiver fazendo VPN Site-to-site (com EdgeRouter na filial (externa) e na matriz... daria pra aplicar as sugestões de vcs?
    mais uma vez obrigado

    ercolhes 
  • R4V3RR4V3R 8455 Pontos
    epcruz disse:
    Opa. Boa tarde @R4V3R e @UI-Samuel.
    Primeiramente obrigado pelo feedback.
    Acho que compreendi o que ambos disseram. Terei que concentrar todas as configurações em redirecionamento de portas... 
    Irei pesquisar sobre comandos e dicas para isso ou buscar por algo já pronto e adaptar para meu contexto...
    Uma outra dúvida: e se eu estiver fazendo VPN Site-to-site (com EdgeRouter na filial (externa) e na matriz... daria pra aplicar as sugestões de vcs?
    mais uma vez obrigado

    ercolhes 
    Claro que sim, já que VPN site to site não interfere nesse sentido.. embora seja, por si só, outra camada de complicação no seu setup, e que deve ser tratada de modo particular. ;)
Entre ou Registre-se para fazer um comentário.