3
Routing mit Cisco SG350X und OPNSense
Hallo zusammen,
gleich vorab, die Frage ist mir etwas peinlich, aber was solls. Ich habe keine Test-Umgebung also frage ich lieber vorher nach.
Bisher macht das gesamte Routing die OPNSense. Jetzt möchte, das zwei VLANS direkt im Switch geroutet werden. Die Geräte-Konfiguration dazu ist mir klar. Nicht klar ist mir folgendes:
Können beide Router (OPNSense 192.168.0.1 und Cisco SG 192.168.0.2) jeweils ein Interface im selben Netz haben und jeweils eine Route aufeinander gesetzt haben:
192.168.0.1
192.168.0.2
*Route für Ziel 0.0.0.0 -> 192.168.0.1
Theoretisch müsste das ja gehen, aber dann würden bei Verbindungen zwischen Clients aus Netz 192.168.0.0/24 nach Clients in 192.168.1.0/24 Hinroute und Rückroute voneinander abweichen. Das würde ich dann nur mit statischen Routen auf den Clients beheben können können (Ziel 192.168.1.0/24 -> 192.168.0.2)
Oder sollte man lieber gleich ein Transfernetz zwischenschalten:
Grüße
lcer
gleich vorab, die Frage ist mir etwas peinlich, aber was solls. Ich habe keine Test-Umgebung also frage ich lieber vorher nach.
Bisher macht das gesamte Routing die OPNSense. Jetzt möchte, das zwei VLANS direkt im Switch geroutet werden. Die Geräte-Konfiguration dazu ist mir klar. Nicht klar ist mir folgendes:
Können beide Router (OPNSense 192.168.0.1 und Cisco SG 192.168.0.2) jeweils ein Interface im selben Netz haben und jeweils eine Route aufeinander gesetzt haben:
192.168.0.1
- Standartgateway für 192.168.0.0/24 auf WAN-Interface der OPNSense
- Route für Ziel 192.168.1.0/24 auf 192.168.0.2
192.168.0.2
*Route für Ziel 0.0.0.0 -> 192.168.0.1
Theoretisch müsste das ja gehen, aber dann würden bei Verbindungen zwischen Clients aus Netz 192.168.0.0/24 nach Clients in 192.168.1.0/24 Hinroute und Rückroute voneinander abweichen. Das würde ich dann nur mit statischen Routen auf den Clients beheben können können (Ziel 192.168.1.0/24 -> 192.168.0.2)
Oder sollte man lieber gleich ein Transfernetz zwischenschalten:
- OPNSense <-> CiscoSG 10.0.0.0/24
- CiscoSG mit 3 Interfaces: 10.0.0.2, 192.168.0.1, 192.168.0.2
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666457
Url: https://administrator.de/contentid/666457
Printed on: April 26, 2024 at 21:04 o'clock
3 Comments
Latest comment
Gibt ja nur peinliche Antworten deshalb also alles gut ! 😉
Die Antwort lautet ja. Es kann in einem Layer 2 Netz natürlich mehrere Router Beine geben. Das ist aber fatal weil man (oder auch du) das vermutlich gar nicht willst.
Dir geht es vermutlich darum das du primär alle VLANs lokal auf dem Layer 3 Switch routetst und alles dann via Transfer VLAN Richtung Firewall und Internet schickst wie es für ein klassisches Layer 3 Switch in Konzept üblich ist, richtig ?
Also alles was du in diesem_Tutorial siehtst was ein klassisches L3 Design beschreibt und illustriert ?!
Geraten hast du vermutlich die Anforderung ein Gastnetz oder ein anderes isoliertes netz was du nicht auf dem L3 Switch haben willst direkt an die Firewall durchzureichen. Das kann Sinn machen, denn ein öffentliches Gastnetz mit Unbekannten möchte man aus Sicherheitsgründen besser nicht auf dem zentralen L3 VLAN Switch seiner internen VLANs haben.
Generell geht das, erfordert dann aber massive Access Listen auf dem L3 Switch um diese Netze zu isolieren. Nachteil ist das Switch ACLs nicht stateful sind und der Konfig Aufwand höher wird.
Idealerweise macht man das also nicht und lässt schlicht und einfach das IP Interface auf dem L3 Switch weg und "schleift" diese isolierten VLANs mit einem Tagged Uplink dann direkt durch auf die Firewall die dann das L3 Interface in diesen isolierten VLANs darstellt.
Vermutlich ist es das was du erreichen willst, oder ?
Ein 2tes Layer 3 Interface wäre fatal, weil du dann immer einen Backdoor Router hast, sprich also einen weiteren Weg das Zielnetz zu erreichen was du dann bei Absicherung wieder mit Regeln zusätzlich sichern musst. Zusätzlich besteht die Gefahr eines asymetrischen Routings. Das wäre also sehr schlechter Stil und ein NoGo im Design.
Bei dir ist es also genau umgekehrt.... Du installierst für diese 2 VLANs ein IP Interface am Switch routest diese beiden VLANs lokal ohne sie auf der Firewall zu terminieren. Es sind also rein nur 2 VLANs am Switch die nicht mit der FW direkt verbunden sind sondern einzig nur über das Transfer VLAN (siehe L3 Tutorial oben !). Diese schickst du dann mit einem Transfer Netz auf die Firewall. Der Rest bleibt wie er ist.
Fazit:
Deine o.a. Schlußfolgerungen am Ende sind also absolut korrekt.
Die Antwort lautet ja. Es kann in einem Layer 2 Netz natürlich mehrere Router Beine geben. Das ist aber fatal weil man (oder auch du) das vermutlich gar nicht willst.
Dir geht es vermutlich darum das du primär alle VLANs lokal auf dem Layer 3 Switch routetst und alles dann via Transfer VLAN Richtung Firewall und Internet schickst wie es für ein klassisches Layer 3 Switch in Konzept üblich ist, richtig ?
Also alles was du in diesem_Tutorial siehtst was ein klassisches L3 Design beschreibt und illustriert ?!
Geraten hast du vermutlich die Anforderung ein Gastnetz oder ein anderes isoliertes netz was du nicht auf dem L3 Switch haben willst direkt an die Firewall durchzureichen. Das kann Sinn machen, denn ein öffentliches Gastnetz mit Unbekannten möchte man aus Sicherheitsgründen besser nicht auf dem zentralen L3 VLAN Switch seiner internen VLANs haben.
Generell geht das, erfordert dann aber massive Access Listen auf dem L3 Switch um diese Netze zu isolieren. Nachteil ist das Switch ACLs nicht stateful sind und der Konfig Aufwand höher wird.
Idealerweise macht man das also nicht und lässt schlicht und einfach das IP Interface auf dem L3 Switch weg und "schleift" diese isolierten VLANs mit einem Tagged Uplink dann direkt durch auf die Firewall die dann das L3 Interface in diesen isolierten VLANs darstellt.
Vermutlich ist es das was du erreichen willst, oder ?
Ein 2tes Layer 3 Interface wäre fatal, weil du dann immer einen Backdoor Router hast, sprich also einen weiteren Weg das Zielnetz zu erreichen was du dann bei Absicherung wieder mit Regeln zusätzlich sichern musst. Zusätzlich besteht die Gefahr eines asymetrischen Routings. Das wäre also sehr schlechter Stil und ein NoGo im Design.
Bei dir ist es also genau umgekehrt.... Du installierst für diese 2 VLANs ein IP Interface am Switch routest diese beiden VLANs lokal ohne sie auf der Firewall zu terminieren. Es sind also rein nur 2 VLANs am Switch die nicht mit der FW direkt verbunden sind sondern einzig nur über das Transfer VLAN (siehe L3 Tutorial oben !). Diese schickst du dann mit einem Transfer Netz auf die Firewall. Der Rest bleibt wie er ist.
Fazit:
Deine o.a. Schlußfolgerungen am Ende sind also absolut korrekt.
Danke aqui,
Hintergrund sind verschiede Netze die unterschiedlichen Sicherheitsanforderungen genügen sollen, was bisher alles über die Firewall geregelt wird. Aus Performance-gründen sollen jetzt 2 Netze am Switch geroutet werden. Die erforderlichen Firewallregeln werde ich lokal auf den betreffenden Servern setzen. Es ist übrigends kein Gast-VLAN dabei
Gefragt hatte ich, weil das mit dem Transfernetz in unserem Fall einiges an Aufwand bedeuten wird. Und eigentlich bin ich da eher faul....
OK, also keine Dreiecksrouten.
Grüße
lcer
Hintergrund sind verschiede Netze die unterschiedlichen Sicherheitsanforderungen genügen sollen, was bisher alles über die Firewall geregelt wird. Aus Performance-gründen sollen jetzt 2 Netze am Switch geroutet werden. Die erforderlichen Firewallregeln werde ich lokal auf den betreffenden Servern setzen. Es ist übrigends kein Gast-VLAN dabei
Gefragt hatte ich, weil das mit dem Transfernetz in unserem Fall einiges an Aufwand bedeuten wird. Und eigentlich bin ich da eher faul....
OK, also keine Dreiecksrouten.
Grüße
lcer
weil das mit dem Transfernetz in unserem Fall einiges an Aufwand bedeuten wird.
Man kann das natürlich etwas "quick and dirty" machen und eins dieser 2 Netze quasi als Transfer Netz missbrauchen.Der Switch hat dann eine Default Route auf die FW in diesem "Doppelnutzungs" Netz und die Firewall die entsprechende Route in das 2te Netz am Switch.
Endgeräte in den beiden VLANs haben dann immer die Switch IP als Gateway und routen damit dann lokal.
Idealerweise erlaubt man dann ICMP Redirects auf dem Switch und Firewall an diesem Port denn sonst würden alle Endgeräte im "Doppelnutzungs" Netz immer den Switch als Durchlauferhitzer nehmen wenn sie andere IP Netze wollen.
Mit ICMP Redirect sendet das L3 Interface dann einen ICMP Redirect an den Client der dann immer das direkte Routing Interface nutzt.
Bedeutet dann auch das am Client ICMP Redirect in der lokalen Firewall explizit erlaubt sein müsste. Besonders bei Windows gilt das da es dort deaktiviert ist.
All diese Anpassung würde bei einem reinen Transfer VLAN entfallen. Sie sind nicht zwingend schonen aber die Resourcen des Switches bei der "quick and dirty" Lösung.
