Access Gate ofrece amplias capacidades de control de acceso para activos de infraestructura, sin necesidad de recableado costoso ni reasignación de direcciones, sino mediante la creación de una red superpuesta (overlay).
Esta guía está dirigida a administradores de red que están conectando Access Gate.
Paso 1: Seleccionar el rango overlay
El rango overlay es un conjunto de direcciones reservadas para los activos protegidos por Access Gate. Cada dirección underlay (real) de un activo se corresponde con una dirección overlay equivalente.
La configuración predeterminada de Access Gate utiliza el rango overlay 100.64.0.0/16 (pertenece al rango reservado CGNAT y normalmente no entra en conflicto con rangos IP existentes).
Un rango overlay es un mapeo bidireccional ("binat") sobre el rango underlay correspondiente. Cuando sea necesario, se puede especificar más de un rango overlay para cubrir múltiples underlays.
Los rangos overlay se definen en la interfaz de usuario de Access Gate:
Rangos de red virtual
En este ejemplo se definen dos redes overlay sobre dos rangos distintos:
- de 100.64.0.0/22 a 172.31.112.0/22 (una VLAN en el sitio actual)
- de 100.64.0.0/22 a 100.127.252.0/22 (una red WiFi segura)
Para que los binats funcionen correctamente, el tamaño de las máscaras de red debe coincidir y los rangos overlay y underlay no deben solaparse.
Paso 2: Crear la red de interconexión
La red de interconexión es una red pequeña (se recomienda un prefijo /29) que debe contener únicamente los routers de borde y los Access Gates.
Por defecto se recomienda la red 100.65.0.0/29 (también parte del rango CGNAT), ya que no entra en conflicto con el overlay predeterminado.
Esta red debe configurarse en los routers de borde. Por ejemplo, en un router Mikrotik:
/interface/vlan/add name=vlan-aginterco vlan-id=100
/ip/address/add address=100.65.0.1/29 interface=vlan-aginterco
En la página de configuración de Access Gate, la dirección de gateway se configura como una "secure twin interface":
Una vez seleccionado el tipo de puerto, se introducen los valores:
Se puede usar una solicitud de ping ICMP para verificar que el gateway está operativo.
Paso 3: Enrutar el rango overlay a través de Access Gate
El rango overlay completo queda ahora protegido por Access Gate y el router puede reenviar todo el tráfico. Una vez configurada la interconexión según el paso anterior, basta con insertar una única ruta en el router. Por ejemplo, continuando la configuración del mismo router:
/ip/route
add comment="overlay (2 nets)" dst-address=100.64.0.0/16 gateway=100.65.0.5
Suele ser más sencillo registrar una única ruta para todo el rango CGNAT y dejar que Access Gate gestione los distintos subrrangos y rutas de todas las vnets que administra. Si ya utiliza el rango CGNAT para fines internos, puede insertar rutas para rangos más pequeños en el router.
Paso 4: Configurar el DNS dividido (split DNS)
Access Gate proporciona un servicio de resolución de nombres dinámico para todos los activos registrados en el inventario, sin necesidad de configuración adicional.
Para redes locales existen dos opciones:
- Configurar el servidor DNS existente para split DNS
- Configurar Access Gate como proveedor de split DNS
Dado que la primera opción depende en gran medida del proveedor existente, aquí se describe la segunda.
En la página de configuración, configure el resolver DNS para que apunte a su resolver DNS existente (o mantenga el predeterminado, Quad9, que es público y preserva la privacidad).
Por defecto se ejecuta un servidor DNS en el puerto de gateway (100.65.0.6 en esta guía). Puede verificarlo consultando la dirección de un activo existente (10.0.0.10 en este ejemplo):
dig @100.65.0.6 10.0.0.10.blacklab.tr-sec.net
Una respuesta en el rango 100.64.0.0/12 (por ejemplo 100.64.0.10) confirma que el DNS funciona correctamente. A continuación se actualiza la configuración del servidor DHCP (normalmente en el router):
/ip/dhcp-server/network
add address=10.0.0.0/16 dns-server=100.65.0.6 gateway=10.0.0.1