24
2 Firewalls - 1 Internetanbindung
Hallo
Wie haben momentan eine Standard-Netzwerk mit einer Firewall an welcher die Internetanbindung per fixer IP am WAN-Port liegt.
Nun haben wir in absehbarer Zeit vor unseren Exchange auszulagern. Der neue Hosting Partner möchte dafür ein Fortigate 50 bei uns installieren.
Die Anbindung haben ich mir so gedacht, das unsere Firewall den Traffic bezüglich Exchange an das Fortigate weiterroutet und dieses dann ebenfalls eine fixe IP aus dem Pool unseres Internetproviders bekommt, welcher direkt weiter ins WAN führt.
Nun stellt sich für mich zum einen die Frage, ob das auch logisch richtig ist, damit es nicht zu Performance - Einbußen bezüglich Datendurchsatz der Internetanbindung kommt?
Und zum anderen würde ich gerne wissen, wie ich die beiden WAN-Ports beider Firewalls (Fortigate und der eigenen) wieder zusammenführe? Reicht da einfach ein kleiner Switch (ich bräuchte ja nur 3 Ports) und gut ist oder stelle ich mir das zu einfach vor?
Hab mal versucht das ganze aufzuzeichnen:
Wie haben momentan eine Standard-Netzwerk mit einer Firewall an welcher die Internetanbindung per fixer IP am WAN-Port liegt.
Nun haben wir in absehbarer Zeit vor unseren Exchange auszulagern. Der neue Hosting Partner möchte dafür ein Fortigate 50 bei uns installieren.
Die Anbindung haben ich mir so gedacht, das unsere Firewall den Traffic bezüglich Exchange an das Fortigate weiterroutet und dieses dann ebenfalls eine fixe IP aus dem Pool unseres Internetproviders bekommt, welcher direkt weiter ins WAN führt.
Nun stellt sich für mich zum einen die Frage, ob das auch logisch richtig ist, damit es nicht zu Performance - Einbußen bezüglich Datendurchsatz der Internetanbindung kommt?
Und zum anderen würde ich gerne wissen, wie ich die beiden WAN-Ports beider Firewalls (Fortigate und der eigenen) wieder zusammenführe? Reicht da einfach ein kleiner Switch (ich bräuchte ja nur 3 Ports) und gut ist oder stelle ich mir das zu einfach vor?
Hab mal versucht das ganze aufzuzeichnen:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 170096
Url: https://administrator.de/contentid/170096
Printed on: April 16, 2024 at 04:04 o'clock
24 Comments
Latest comment
Verstehe ich richtig das jede Firewall eine eigene offiziele IP bekommt?
Dann so?
INTERNET
|
MODEM
|
Kleiner Switch
/............\
/...............\
ZYXEL........Fortigate
/....................\
/.......................\
CLIENTS............Exchange
Ich weiß ich nicht die beste Zeichnung aber sollte verständlich sein (hoffentlich)
Gruß
Dann so?
INTERNET
|
MODEM
|
Kleiner Switch
/............\
/...............\
ZYXEL........Fortigate
/....................\
/.......................\
CLIENTS............Exchange
Ich weiß ich nicht die beste Zeichnung aber sollte verständlich sein (hoffentlich)
Gruß
triftt es fast , der Exchange ist ja nicht mehr intern und das Fortigate wäre zw. Zyxel und WAN
INTERNET
|
MODEM
|
Kleiner Switch
/............\
/...............\
/.............Fortigate
/............/
ZYXEL
/...............
/...............
CLIENTS.............
INTERNET
|
MODEM
|
Kleiner Switch
/............\
/...............\
/.............Fortigate
/............/
ZYXEL
/...............
/...............
CLIENTS.............
INTERNET
|
MODEM
|
Kleiner Switch
/............\
/...............\
ZYXEL........Fortigate
\..................../
\................../
SWITCH
|
CLIENTS (Gateway Zyxel)
Sollte so funktionieren, aber warum bindet ihr den Exchange nicht über RPC over HTTPS an?
Gruß
|
MODEM
|
Kleiner Switch
/............\
/...............\
ZYXEL........Fortigate
\..................../
\................../
SWITCH
|
CLIENTS (Gateway Zyxel)
Sollte so funktionieren, aber warum bindet ihr den Exchange nicht über RPC over HTTPS an?
Gruß
weil das kein offizieller Provider ist, sondern eine Art Verbundzusammenschluss und in Zukunft auch andere Server (nicht nur Exchange) dazukommen werden
Ist es egal was für einen "kleinen" Switch?
Ja er muss ja nur dafür sorgen das mehr Schnittstellen am Modem sind.
Sollte eigentlich auch ein HUB machen aber ist Performance mäßig schlechter.
Sonst wenn es ein Verbundzusammenschluß ist, könnt ihr das anders auch lösen, dürfte einfacher sein mit Netz2Netz VPN.
Gruß
Sollte eigentlich auch ein HUB machen aber ist Performance mäßig schlechter.
Sonst wenn es ein Verbundzusammenschluß ist, könnt ihr das anders auch lösen, dürfte einfacher sein mit Netz2Netz VPN.
Gruß
dann werden wir das mal so durchziehen und ich schreib dann nächste Woche wie es ausging
das mit der VPN werde ich mal vorschlagen.
das mit der VPN werde ich mal vorschlagen.
Das Aufsplitten mit dem Switch funktioniert nicht weil kein Provider mehrere PPPoE Verbindung parallel supportet.
Es sei denn man will immer nur die Fortigate und im Backup Falle den Zyxel aktiv haben....dann wäre das denkbar.
2 parallele PPPoE Links über einen Draht klappt wenigstens so nicht...
In der Regel bekommt man dafür auch 2 separate Internet Ansclüsse und koppelt die mit einem Load Balancing Router der ein automatisches Failover supportet wie z.B. ein Draytek 2910.
Intelligenterweise nimmt man dann auch 2 unterschiedliche Provider um nicht abhängig von einem einzigen zu sein falls es einen Leitungsausfall gibt.
So würde man das professionell lösen.
Es sei denn man will immer nur die Fortigate und im Backup Falle den Zyxel aktiv haben....dann wäre das denkbar.
2 parallele PPPoE Links über einen Draht klappt wenigstens so nicht...
In der Regel bekommt man dafür auch 2 separate Internet Ansclüsse und koppelt die mit einem Load Balancing Router der ein automatisches Failover supportet wie z.B. ein Draytek 2910.
Intelligenterweise nimmt man dann auch 2 unterschiedliche Provider um nicht abhängig von einem einzigen zu sein falls es einen Leitungsausfall gibt.
So würde man das professionell lösen.
Da muss ich dir Widersprechen.
Das Modem wählt sich in diesem Fall beim Provider ein und dahinter kann ich meinen gesamten zugewiesenen Adresspool per Switch aufsplitten.
So läuft das zumindest bei unseren Providern und uns selbst ab.
Gruß
Das Modem wählt sich in diesem Fall beim Provider ein und dahinter kann ich meinen gesamten zugewiesenen Adresspool per Switch aufsplitten.
So läuft das zumindest bei unseren Providern und uns selbst ab.
Gruß
Da muß ich wiedersprechen. Bei T-Online ging das eine ganze Weile, daß mehrere "Mitbenutzer" jeweils mit ihrer eigenen Kennung über PPPoE nline gegangen sind. Ob das imme rncoh geht kann ich nicht sagen, aber früher Habe ich das öfter probiert und auch bei anderen gesehen. Auch die paralele Benutzung mehrerer Provider über die gleiche DSL-Leitung ging ohne Probleme. habe es zwar seit 2 Jahren nicht mehr probiert, aber ich wüßte keine Grund warum das nicht mehr gehen sollte.
Zum Thread-Thema:
Ich interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere Portszu verfügugn stellt und auch mehrere fixe IPs fürs Transfernetz zwischen Router und Firewalls. Daher dürfte das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Zitat von @Lochkartenstanzer:
Ich interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere
Portszu verfügugn stellt
Und wenn nicht benötigt mann eben einen SwitchIch interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere
Portszu verfügugn stellt
und auch mehrere fixe IPs fürs Transfernetz zwischen Router und Firewalls. Daher dürfte
das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Genau so habe ich das gemeint.das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Gruß
Ok, die letzten beiden Beiträge sehe ich als Bestätigung, das es sehr wohl funktionieren sollte.
Zur Aufklärung:
Als Internetanbindung haben wir einen LWL Anschluss im Haus, an dessen Ende der Konverter mit EINEM Port zur Verfügung steht.
Was für eine Switch ist also egal? Da reicht der kleinste Noname?
Zur Aufklärung:
Als Internetanbindung haben wir einen LWL Anschluss im Haus, an dessen Ende der Konverter mit EINEM Port zur Verfügung steht.
Was für eine Switch ist also egal? Da reicht der kleinste Noname?
Und an diesem Port hast du jetzt ein Modem oder das Zxel Teil?
Gruß
Gruß
Ein "Modem" kann sich niemals einwählen, denn ein Modem ist immer passiv. Ein passiver Medienwandler zwischen einer 2 Draht DSL Leitung und einer Ethernet Schnittstelle.
Du verwechselst hier mal wieder fröhlich den begriff "Modem" mit dem begriff "Router". Ein himmelweiter Unterschied wenn man es technisch betrachtet !
Es ist aber zweifelsohne möglich, das der Provider dir dahinter ein Subnetz zur Verfügung stellt.
Du verwechselst hier mal wieder fröhlich den begriff "Modem" mit dem begriff "Router". Ein himmelweiter Unterschied wenn man es technisch betrachtet !
Es ist aber zweifelsohne möglich, das der Provider dir dahinter ein Subnetz zur Verfügung stellt.
Das solltest du nicht als Bestätigung ansehen, denn in der Regel geht es de facto NICHT das 2 aktive PPPoE Sessions zu ein und demselben Provider aufgemacht werden.
Auch wenn es mal "eine ganze Weile" ging geht es heute nicht mehr. Du solltest das also in jedem Falle mit deinem Provider abklären um keine böse Überraschung zu erleben.
In der Regel supportet kein Provider so ein Szenario das den PPPoE Link auf einem Switch aufsplittet. Technisch löst man sowas auch nicht auf diese Weise, schon gar nicht in einem Hochverfügbarkeits Zugriff wie du ihn anstrebst für ein Produktivnetz. Das erinnert eher an einen hilflose Bastelei an einem Home DSL Anschluss, sorry.
Allein der Name (PPPoE = Point to Point = Punkt zu Punkt) konterkariert so ein Basteldesign schon von Grund auf, denn das Protokoll ist dafür nicht gemacht !
Auch wenn es mal "eine ganze Weile" ging geht es heute nicht mehr. Du solltest das also in jedem Falle mit deinem Provider abklären um keine böse Überraschung zu erleben.
In der Regel supportet kein Provider so ein Szenario das den PPPoE Link auf einem Switch aufsplittet. Technisch löst man sowas auch nicht auf diese Weise, schon gar nicht in einem Hochverfügbarkeits Zugriff wie du ihn anstrebst für ein Produktivnetz. Das erinnert eher an einen hilflose Bastelei an einem Home DSL Anschluss, sorry.
Allein der Name (PPPoE = Point to Point = Punkt zu Punkt) konterkariert so ein Basteldesign schon von Grund auf, denn das Protokoll ist dafür nicht gemacht !
Das Modem baut die PPOE Verbindung auf. Die Firewalls stehen dahinter und haben eben shcon eine eigene offiziele IP mit dem Modem als Gateway.
Gruß
Gruß
@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Zitat von @aqui:
@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und
ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat
und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Dann bezeichnen wir das eben als Router des Providers.@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und
ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat
und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Okay das mit der falschen Bezeichnung sehe ich ein aber trotzdem baut dieser Router die Verbindung auf und dahinter kann der offiziele IP Pool den du vom Provider zugewiesen bekommst genutzt werden.
Gruß
Ja, dann ist das klar und das ist auch so normal und ein klassisches Allerweltszenario für einen Kundenanbindung !
Ändert aber nichts an der Tatsache das ein Splitting mit dem Switch ein nogo ist für die Konfiguration die vermutlich obendrauf auch nicht funktionieren wird.
Ändert aber nichts an der Tatsache das ein Splitting mit dem Switch ein nogo ist für die Konfiguration die vermutlich obendrauf auch nicht funktionieren wird.
Wenn man nur einen RJ45 Ausgang am Modem hat was sollte man sonst machen?
Ich habe das bei mehreren Kunden schon so gelöst (zwar meist nur kurzzeitig zur Überbrückung) und da hat es immer funktioniert.
Was spricht dagegen das das funktioniert?
Gruß
Ich habe das bei mehreren Kunden schon so gelöst (zwar meist nur kurzzeitig zur Überbrückung) und da hat es immer funktioniert.
Was spricht dagegen das das funktioniert?
Gruß
Wie sind Teil des Glasfasernetzwerks der Stadt, es hängt also am Schluss kein Modem, sondern ein Converter von RJ45 auf LWL.
Die Diskussion über PPPoE führt hier wohl in die falsche Richtung.
Ich habe das ganze gestern Abend ausgetestet (statt dem Fortigate habe ich einen 08/15 Router genommen). Etwas herausfordernd war nur das Routing, danach hat es funktioniert. Wirkliche Performance-Einbußen kann ich keine feststellen.
Wie testet ihr euren Datendurchsatz euerer Internetanbindung aus?
Die Diskussion über PPPoE führt hier wohl in die falsche Richtung.
Ich habe das ganze gestern Abend ausgetestet (statt dem Fortigate habe ich einen 08/15 Router genommen). Etwas herausfordernd war nur das Routing, danach hat es funktioniert. Wirkliche Performance-Einbußen kann ich keine feststellen.
Wie testet ihr euren Datendurchsatz euerer Internetanbindung aus?
Ich hab nen Juniper Router mit ner Netflow Auswertung.
Gruß
Gruß
"Wie sind Teil des Glasfasernetzwerks der Stadt..." na tolle Wurst ! Hättst du auch mal eher bemerken können dann hätte man sich das ganze PPPoE Gegurke hier sparen können 
Das das mit einem Popelswitch so wie oben funktioniert hätte dir auch jeder Praktikant sagen können....
Durchsatztest mit sFlow und NetIO oder jPerf über den Switch oder Router !
http://www.nwlab.net/art/netio/netio.html
bzw.
http://www.nwlab.net/know-how/JPerf/
Das das mit einem Popelswitch so wie oben funktioniert hätte dir auch jeder Praktikant sagen können....
Durchsatztest mit sFlow und NetIO oder jPerf über den Switch oder Router !
http://www.nwlab.net/art/netio/netio.html
bzw.
http://www.nwlab.net/know-how/JPerf/
Die Links gebe ich gleich dem Praktikant weiter