Sonicwall Vpn e OSPF

Se ti stai chiedendo cos’è OSPF e a cosa serve allora non andare avanti in questo articolo, vai su google e cerca. Se invece sai dicosa parlo, implementare OSPF su Sonicwall è semplice: occorre usare le VPN in modalità tunnel anzichè “site to site” in modalità numbered. Le versioni si sonicOS che supportano questa modalità sono superiori alla V6.0. Occorre solo ricordarsi di comunicare al motore OSPF di non pubblicare i pool di indirizzi IP sulle interfaccie WAN. Purtroppo questa configurazione si fa soltanto in CLI e non è possibile farla da GUI.

Dopo aver abilitato “advanced routing” andando sulla CLI possiamo configurare OSPF in modo che non pubblichi certe reti. Normalmente si configura OSPF per “ridistribuire le reti direttamente connesse” e altrettanto ovviamente si deve configurare per non distribuire i pool di ip presenti sulle (o sulla) WAN. Si procede in questo modo:

admin@18B169529ADC> configure terminal
config(18B169529ADC)# routing
(config-routing)# ospf
ARS OSPF>configure terminal
ARS OSPF(config)>router ospf
ARS OSPF(config-router)>summary-address 81.81.81.8/29 not-advertise
ARS OSPF(config-router)>exit
ARS OSPF(config)>exit
ARS OSPF>write file
Configuration saved to OSPF
ARS OSPF>

Una volta che i tunnel sono attivi, devi aggiungere un’interfaccia in network/interface add “Virtual Tunnel Interface” in modo da poter dare un ip statico /30. In questo modo si crea una rete cosidetta di trasporto, tra il tuo firewall e l’altro partner. Resta da configurare i setting generali di OSPF in modo da dare un nome univoco al questo firewall a livello OSPF come in figura e scegliere quali sono le reti che devono essere redistribuite. Notare che sonicwall configlia di usare l’ip della X0 nel campo ‘OSPF Router’ in modo che sia univoco.

A questo punto occorre configurare configurare su quale interfaccia OSPF dovrà essere attivato, ovvero sulla rete di trasporto /30 che abbiamo creato con la VPN in modalita’ tunnel, come di seguito:

se abbiamo fatto tutto correttamente apparira’ una pallina verde che significa che OSPF è in comunicazione con il partner e la routing table si popolera’ di nuove rotte con peso 110 valore classico di OSPF. Se invece rimane una pallina rossa, la cosa piu’ probabile è che il tunnel non sia attivo. Nella figura si vedono due tunnel con OSPF abilitato.

Attenzione: occorre rimuovere dalla pubblicazione le reti che non interessano, ovviamente ci sono le WAN, che non si capisce come mai, nessun HOWTO le cita, ma sopratutto le reti ‘cosidette’ di trasporto, le varie /30 che si vanno a creare tra i vari Sonicwall, che inoltre generano conflitti negli aggiornamenti di rotte OSPF. Questo problema si evidenzia sempre tra due Sonicwall adiacenti. Entrambi annuncieranno che quella rete è di loro proprieta’.