Designfrage - viele VLAN interfaces oder ein physikalisches Interface an Firewall?

Mitglied: JohnDorian

JohnDorian (Level 2) - Jetzt verbinden

03.03.2016 um 11:50 Uhr, 1123 Aufrufe, 4 Kommentare

Hallo zusammen,

ich stehe momentan in meiner Firma kurz vor der Neustrukturierung unseres Netzwerks.
Ganz grob sieht das ganze so aus:
0e5b4fd9f3734ff3bb3833cc3e8f8ffc - Klicke auf das Bild, um es zu vergrößern

Vorgesehen hatte ich für das Routing ins Internet ein eigenes Subnet (VLAN99) mit zwei Adressen, nämlich dem Subinterface am Router und dem Interface an der Firewall.
Auf der Firewall hätte ich dann Netzwerkdefinitionen für die Subnets angelegt um so den Netzwerkverkehr zwischen Subnets und Internet zu regulieren.

Ich kann auf der Firewall (die auch Proxy ist) jedoch ebenfalls Subinterfaces für VLAN's anlegen. Wäre es jetzt besser, die VLAN's auf dem Switchport am Firewall-Interface zu Taggen und auf der Firewall Subinterfaces anzulegen? Dann gäbe es eben für jedes Subnet eine eigene Proxy-IP für die Kommunikation ins Internet, während das Standard-Gateway immer noch das Interface auf dem Router wäre.

Versteht ihr was ich meine und könnt ihr mir da weiterhelfen, welche Version die bessere ist? Bzw. ob und warum eine der Versionen evtl. nicht funktionieren könnte?

Grüße, JD
Mitglied: Dobby
03.03.2016 um 14:15 Uhr
Hallo,

also wenn ich das richtig verstanden habe sollten dort zwei Geräte zusammen arbeiten, ein
Router und eine Firewall und die sollen dann mittels gebridgeden Ports arbeiten, oder?
Also die Firewall soll dann transparent arbeiten und der Router macht nur SPI & NAT
und das LAN wird dann mittels Firewallregeln gesichert, ist das so richtig?

Halte ich persönlich für den größten Mist den es gibt, funktioniert nur ab und an ordentlich
und meist nur mit viel Gefrickel und genau das sollte nicht am WAN Port und bezüglich
der Sicherheit nicht sein. Ich würde das einfach so halten wie alle anderen auch, entweder
ein Router am WAN Port oder eine Firewall am WAN Port und die bauen dann eine DMZ
und eine LAN Umgebung auf. Oder aber wenn es denn wirklich sein muss dann eben zwei
Router oder zwei Firewalls oder ein Router und eine Firewall aber ohne die Ports zu
bridgen sondern mittels Routing.

bbd925e0d8d4f6625fff42c9a52d6c9e - Klicke auf das Bild, um es zu vergrößern

Gruß
Dobby

Bitte warten ..
Mitglied: JohnDorian
08.03.2016 um 12:49 Uhr
Hi Dobby,

Danke erstmal!
Meine Lösung war schon eher so angedacht wie du das in deiner Grafik beschrieben hast. Evtl. hab ich eine ungünstige Grafik und umständliche Worte verwendet um es zu beschreiben :D

Die Frage ist eigentlich nur, zwischen dem Port an der UTM und dem Layer-3-Switch - hier ein eigenes VLAN anlegen und die Pakete durchrouten? Oder aber durch beide Ports getaggte Pakete durschicken und für jedes VLAN sein eigenes Subinterface an der UTM anlegen.

Verstehst du was ich meine?
Gefühlsmäßig ist die erste Lösung die bessere...

Gruß, JD
Bitte warten ..
Mitglied: Dobby
LÖSUNG 08.03.2016 um 17:40 Uhr
Hallo,

für die DMZ und die Server darin legst Du kein VLAN an und für den LAN Switch
muss man ein VLAN anlegen in dem dann die IP der UTM auch das Gateway von
diesem VLAN ist, fertig.

Gruß
Dobby

Bitte warten ..
Mitglied: freili
LÖSUNG 22.03.2016 um 21:52 Uhr
Hallo Dorian!

Prinzipiell ist das "Dobby-Design" zu empfehlen: der L3-Switch soll intern routen und die UTM "nur" mit dem Verkehr ins WAN/DMZ zu tun haben. Wenn Du allerdings zwischen den internen VLAN's nicht einfach nur routen willst, sondern den Zugriff steuern möchtest, dann würde ich zur Lösung mit den verschieden VLAN-Interfaces in der UTM übergehen.

Gruß Freili
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Wie komme ich von WIN10pro auf Windows 10 Enterprise
LegofrauVor 22 StundenFrageWindows 1058 Kommentare

Guten Tag, Wie komme ich auf legale weiße von Windows 10 professionell auf Windows 10 Enterprise? Ich habe viele widersprüchliche Antworten gefunden. Also muss ...

Off Topic
Bewerbungsfragen FISI
IT-ProVor 1 TagFrageOff Topic16 Kommentare

Hi, Ja, der Titel mag etwas komisch klingen. Aber das wird sich in den folgenden Zeilen hoffentlich lösen. Ich habe mich hier gerade durch ...

Microsoft
Client verhält sich im Home Office wie Gerät vor 10 Jahren
Finchen961988Vor 23 StundenFrageMicrosoft12 Kommentare

Hallo liebes Forum, ich mal wieder und ich habe riesen ??? über den Kopf! Das Verhalten zu beschreiben wird nicht ganz einfach, da ich ...

Off Topic
Verwaltungskosten von Passwörtern
IT-ProVor 1 TagFrageOff Topic6 Kommentare

Guten Morgen liebe Menschen. Ich benötigte für die Erstellung meiner IHK-Projektarbeit ein paar Informationen zu den Kosten von Passwörtern. Ich habe aus folgendem Beitrag ...

Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
gelöst dr.zetoVor 3 StundenFrageLinux Netzwerk36 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

Windows Server
Remotedesktopgateway Zertifikat - Zugriff überall
lukas0209Vor 1 TagFrageWindows Server9 Kommentare

Guten Abend zusammen, ich habe eine Frage bzgl. des Windows Remotedesktopgateways. Wir nutzen einen Windows Server 2016 Essentials, dieser bringt von Haus aus die ...

CPU, RAM, Mainboards
Laptop schaltet sich von selber aus
winlinVor 21 StundenFrageCPU, RAM, Mainboards4 Kommentare

Hallo zusammen Ich habe ein Laptop der sich nach kurzer Zeit abschaltet. Wenn das passiert und i h den wieder hier hochfahre sehe ich ...

Internet
Starlink SpaceX
chrisittVor 1 TagFrageInternet4 Kommentare

Hallo, ich suche dringend Informationen über Starlink, da wir planen Starlink in einem Unternehmen einzusetzen. Kennt einer von euch eine gute Informationsquelle oder hat ...