slaxxx
Goto Top

1 Internet Anschluss 3 Netzwerke

Hallo zusammen,
ich bin mal wieder dabei etwas zu basteln, nachdem wir etwas Hardware übernommen und unsere familiären Geschäftsräume/Tätigkeiten separieren, siehe VMWare VLANs Kommunkationsproblem , bin ich leider auf ein Thema gestoßen bei dem mir leider auch das lesen große Fragezeichen in den Kopf setzt.

Vorher war es so, dass eine Internetleitung für Bäcker, Versicherung und Privathaushalt genutzt wurde. Auch das interne Netzwerk war alles zusammen.

Die Struktur soll am Ende auf Wunsch meiner Eltern so aussehen, sehr vereinfachte Form:
netzwerk

Das meiste habe ich auch umsetzen können, von VLANs, über Firewall, bis zu WLAN und Guest WLAN, DHCP, DNS und VPN habe ich alles, auch mit einiger Hilfe von Euch, umsetzen können.

Wir haben bis dato nur eine Koxial Internetleitung von Vodafone gehabt, die einfach mal mehr als 30% Ausfallquote im Jahr hat. Das möchten wir dann mit der neuen Struktur und Hardware natürlich ändern.

Wir haben nur die Möglichkeit eine FTTH-Leitung der Telekom, über einen anderen Provider zu beziehen. Das haben wir jetzt auch gemacht.

Der Provider legt uns eine Glasfaser in das Haus, bis zum Rack installiert ein Patchpanel, von da wird es in ein Gerät des Providers angeschlossen. Das Gerät heißt ONE2515. Das Datasheet habe ich auf der Hersteller Seite gefunden: https://www.ekinops.com/images/resources/datasheets/03ds-one2515-ekinops ...

Wir bekommen vom Provider 8 IPs bereitgestellt, die erste IP bekommt der ONE2515 Router bereitgestellt, die restlichen sind frei verfügbar. Jetzt stelle ich mir die Frage wie ich kann den Geschäften jeweils über die Firewall eine eigene IP zustellen und wie „route“ ich das.

Ich habe mir dazu einige Beiträge im Forum angeschaut, auch die Anleitung von @aqui wo dieses Problem mit einem MikroTik Routerboard gelöst wird. Leider werde ich nicht schlau aus der Geschichte.

Folgende Fragen sind bei mir im Kopf:

  • Welche Funktion benötigt der Router überhaupt, um diese Funktionalität abzubilden und wie ist die Begrifflichkeit dafür.
  • Kann der ONE2515 das auch? da ich die Begrifflichkeit nicht kenne, weiß ich nicht wonach ich im Datasheet schauen soll.
  • Wenn man die Verteilung mit dem ONE2515 oder mit einem anderen Gerät gelöst hat, wie konfiguriert man das in der Firewall, gibt man dem WAN Interface eine der freien IPs mit der richtigen Submask und routet alles über das vom Provider gelieferte Gateway oder bekommt die Firewall auf dem WAN Inteface eine private IP und routet alles zu dem ONE2515 oder Router von einem anderen Hersteller, der es dann in das Internet sendet.

Bei dem Thema stehe ich auf dem Schlauch, ich hoffe jemand von Euch kann etwas Licht ins Dunkle bringen. Ich habe mich zwar nach 10 Jahren hobbymäßig hier wiedergefunden, allerdings sind meine Berührungspunkte immer noch recht wenig aber bin eigentlich recht stolz darauf was ich dennoch umsetzen konnte.

Vielen lieben Dank an Euch.

Content-Key: 72344298388

Url: https://administrator.de/contentid/72344298388

Printed on: July 19, 2024 at 17:07 o'clock

Member: Looser27
Looser27 Nov 08, 2023 updated at 10:04:57 (UTC)
Goto Top
Moin,

den vorgeschalteten Router kannst Du Dir sparen.

Wenn Du das sauber trennen willst, nutze eine Firewall mit min. 4 Ethernet-Ports.
1x WAN
3x LAN (1x privat, 1x Vers., 1x Bäckerei)

Dann musst Du nicht zwingend mit VLANs arbeiten. Wenn doch gewünscht, kannst Du die VLANs je LAN-Bereich separieren.

Du könntest hier z.B. eine pfSense auf einem APU-Board nutzen. Das sollte genug Leistung zur Verfügung stellen.

Der Vorteil ist, dass Du nur 1 Firewall warten musst und alle Bereiche sauber trennen kannst.

Gruß

Looser

Nachtrag:
Mit dem Board machst Du da nichts falsch: PC Engines APU.4D4 Board (4 GByte, 4xLAN)

Nachtrag 2:
Wie willst Du denn Telefonie lösen?
Member: Slaxxx
Slaxxx Nov 08, 2023 updated at 10:06:36 (UTC)
Goto Top
Hallo Looser,
vielen Dank für deine Antwort.

Die Struktur steht bereits schon, da sie neben einer Produktivumgebung in den letzten Monaten aufgebaut wurde. Der Wunsch war es, Hardware zu nutzen die aus einer Übernahme von einem Geschäft übernommen wurde, u.a Server, Firewalls etc. pp. (im verlinkten Beitrag zu finden). Somit haben beide Geschäfte einen "Serverraum" bekommen.

Ebenfalls ist der Wunsch, tatsächlich alles physisch zu trennen außer eben das Internet mit der Anbindung.
Es ist bereits alles eingerichtet, die VLANs etc. mir fehlt nur das technische Verständnis wie die Funktion heißt, oder ob der Router vom Provider, diese Verteilung der IPs übernehmen kann.

Nachtrag:
Die Telefonie ist ebenfalls getrennt, die eine Firma hat nur Mobilfunkkarten und die andere Firma hat eine Alcatel Telefonanlage für diese bereits ein VLAN mit QoS eingerichtet wurde. Funktioniert wunderbar.

Danke nochmals für deinen Input face-smile.
Member: aqui
aqui Nov 08, 2023 updated at 10:18:09 (UTC)
Goto Top
Die Kardinalsfrage ist WIE der Provider dir die 8 Adressen bereitstellt. v4 oder v6 oder beides (Dual Stack)? Das hast du leider nicht beantwortet. face-sad
Wenn es ein eigenes Subnetz ist, dann machst du an der Router/Firewall eben ein Segment auf was dieses IP Netz hält und vergibst dort deinen Geräten diese entsprechenden IPs aus dem Netz als WAN IPs.
Ist es nur ein Haufen IP Adressen im Providernetz selber, dann arbeitest du mit Virtual IPs (Secondary IPs) auf dem Router oder Firewall und NAT Mapping die diese Adressen dann auf interne IPs mappen.
pfSense und OPNsense haben dafür z.B. die "Virtual IP" Funktion.
vip
Member: Slaxxx
Slaxxx Nov 08, 2023 updated at 10:19:40 (UTC)
Goto Top
Hallo aqui, es ist ein eigenes IPv4 Subnet mit 8 IPs.

Ab "Ist es nur ein Haufen IP Adressen im Providernetz selber" verstehe ich leider nur chinesisch, entschuldige bitte.

Diese, meiner Meinung nach, relevanten Funktionen bietet der Router vom Provider:

router
Member: ukulele-7
ukulele-7 Nov 08, 2023 at 10:21:42 (UTC)
Goto Top
Das Bild ist doch aber Quatsch oder willst du wirklich den Traffic vom Switch durch den Server + Firewall zum Router schicken? Der Switch kann direkt an den Router, der macht Firewall wie hier schon beschrieben.
Member: Slaxxx
Slaxxx Nov 08, 2023 at 10:25:47 (UTC)
Goto Top
Zitat von @ukulele-7:

Das Bild ist doch aber Quatsch oder willst du wirklich den Traffic vom Switch durch den Server + Firewall zum Router schicken? Der Switch kann direkt an den Router, der macht Firewall wie hier schon beschrieben.

Nein und das ist auch nicht der relevante Punkt, sondern ich wollte einfach nur verdeutlichen, dass ich einen 1 Router vom Provider habe und von dort 2 Firewalls mit Internet, in getrennten physischen Netzwerken, bedienen möchte.

Vielen Dank für deine Antwort.
Member: aqui
aqui Nov 08, 2023 at 10:27:33 (UTC)
Goto Top
Ein Bild sagt mehr als 1000 Worte... face-wink

providersubn
Member: Slaxxx
Slaxxx Nov 08, 2023 at 10:34:28 (UTC)
Goto Top
Danke aqui, dass habe ich soweit verstanden.

Ich habe das Glasfaserkabel vom APL, dieses geht zu einem Patchpanel und von dir mit einem multi LWL Kabel in den WAN Anschluss von dem Router ONE2515. An diesem Router habe ich weitere RJ45 Anschlüsse, dort wird je ein Kabel zu der jeweiligen Firewall ebenfalls in den WAN Port verkabelt.

Ich gebe dem WAN Port auf der Firewall eine freie IP des Subnetzes, die Submask und nehme als Gateway, dass vom Provider angegeben Gateway.

Wo ich aktuell dumm bin und das trotz deiner Zeichnung, wie sage ich dem Router vom Provider, sende Pakete mit der IP A an Firewall A und Pakete mit der IP B an Firewall B. Ich weiß nicht wie diese Funktionalität zu beschreiben ist, wie sie heißt und ob der Router vom Provider das unterstützt.

Bitte verzeiht meine Unwissenheit.
Member: Lochkartenstanzer
Lochkartenstanzer Nov 08, 2023 at 11:23:22 (UTC)
Goto Top
Moin,

Das Problem ist eigentlich trivial zu lösen:

Fall1 1: Alle Teilnehmer wollen unabhängig voneinander sein:

Gib jedem einen eigenen Router (zur Not eine Fritte), verpaß dem am WAN-Port eine IP-Adrese ausp dem /29-er Bereich. und sorg dafür, daß die LANs getrennt bleiben (Notfalls durch VLAN-Infrastruktur).

Fall 2: Der Borderrouter wird gemeinsam verwaltet.

Variante 1:

Nim einen Router (oder gleich eine Firewall), der getrennte LAN-Segmente verwalten kann (Cisco, LanCom, bintec, pfsene, etc). Damit gibst Du jeder "Firma" eine eigens IP-netz. Hier kannst Du ggf noch einstellen, ob jede Firma ihre eigene NAT-IP-Adresse hat oder alle durch die gleiche IP-Adresse genattet werden.

Variante 2:

Wie bei Fall 1 gibst Du jedem trotzdem jedem seinen eigenen Router

LAN-Infrastruktur

Wenn die eizelnen bereich getrennt sind, mußt Du natürlich nichts weiter machen. Sollten hingegen gleiche Kabel gemeinsam genutzt werden müssen, legst Du da mehrere VLANs drauf, für jede firma eines und tauscht ggf die weitche gegen VLABN-fähige aus. Sorg dann druch passende beschriftung an den switchen dafür, daß da keiner "aus versehen" im faschen Netz landet.

lks
Member: aqui
aqui Nov 08, 2023 updated at 11:39:57 (UTC)
Goto Top
...und von dir
Von mir?? ­čĄö
in den WAN Anschluss von dem Router ONE2515
OK, und der hat dann jetzt auch Internet Zugang usw. sprich ist online?
An diesem Router habe ich weitere RJ45 Anschlüsse
Was schonmal gut ist. Einen davon separierst du dann und setzt den auf dein neues Subnetz und fertig ist der Lack.
wie sage ich dem Router vom Provider, sende Pakete mit der IP A an Firewall A und Pakete mit der IP B an Firewall B
Das hast du aber nicht gesagt das der Router ein Providerroute ist... face-sad
OK, dann ist die Sache ja noch viel trivialer, denn hängt das Subnetz ja direkt am Providerrouter dran.
Dann konfigurierst du deinen eigenen Firewalls und Routern die da dran drannhängen einfach IP Adressen aus diesem Subnetz und fertisch.
Wie Kollege @lks schon richtig sagt: Eigentlich das was der Azubi in 10 Minuten erledigt hat und dafür hätte es keinen Thread in einem Administrator Forum gebraucht. face-wink
Hilfreich wäre auch gewesen diese Missverständnisse zu vermeiden wenn du das in deiner Zeichnung klar gekennzeichent hättest was Provider Hardware ist und was nicht. face-sad
Member: Slaxxx
Slaxxx Nov 08, 2023 at 12:11:37 (UTC)
Goto Top
Hallo,
ich habe mir schon gedacht, dass es ich komplizierter mache als es ist.

Im ersten Post steht allerdings, dass es sich um einen Router vom Provider handelt face-smile

Dennoch vielen Dank für die Antworten.

Ich werde es einfach verkabeln und den Firewalls eine IP aus dem Subnetz geben.
Member: aqui
aqui Nov 08, 2023 at 12:49:53 (UTC)
Goto Top
Im ersten Post steht allerdings
Sorry! Ich nehme alles zurück und behaupte das Gegenteil... ­čśë
dass es ich komplizierter mache als es ist.
Ja, das stimmt. Einfach die Router/Firewall mit einer statischen IP aus diesem Netz am WAN Port versehen und das Default Gateway auf den Provider Router.
DNS auch auf den Provider Router... Fertisch!

Dadurch das du dann öffentliche Adressen an deinen Komponenten hast kannst du dann auch von außen direkt darauf zugreifen! Einfache Sache.
einfach verkabeln und den Firewalls eine IP aus dem Subnetz geben.
Bingo! ­čĹŹ

How can I mark a post as solved?
Member: elix2k
elix2k Nov 08, 2023 at 13:43:09 (UTC)
Goto Top
Würde das ungefähr so lösen
unbenanntes diagramm.drawio
Member: Lochkartenstanzer
Lochkartenstanzer Nov 08, 2023 updated at 14:38:30 (UTC)
Goto Top
Sicher das du alles auf demselben vlan haben willst?
Member: elix2k
elix2k Nov 08, 2023 at 14:46:03 (UTC)
Goto Top
Ja landet ja so wie so alles am selben Gateway. Das VLAN ist für die WAN-Schnittstellen der Firewalls gedacht.
Mit getrennten VLANs wärst du immer noch im selben Netz.
Member: aqui
aqui Nov 08, 2023 updated at 16:29:54 (UTC)
Goto Top
Muss ja auch auf demselben VLAN sein, weil das Subnetz ja innerhalb einer Layer 2 Broadcast Domain liegen muss. Wenn man Any to Any Kommunikation in dem VLAN vermeiden will setzt man das als Private- oder Isolated VLAN auf. Fragt sich ob die Switch HW des TOs sowas supportet, ist aber nicht zwingend.

Die generelle Frage ist ob man es überhaupt über ein VLAN schickt wenn auf dem Switch noch andere, gesicherte bzw. private VLANs werkeln. Ein Konfig Fehler kann da schnell mal böse enden.
Wenn man aber sicher im Umgang damit ist, ist das völlig korrekt so.
Alternativ nimmt man sonst einen separaten getrennten Switch (kann unmanaged sein) und trennt es physisch. Es führen viele Wege nach Rom...
Member: Lochkartenstanzer
Lochkartenstanzer Nov 08, 2023 at 16:29:27 (UTC)
Goto Top
Zitat von @elix2k:

Ja landet ja so wie so alles am selben Gateway. Das VLAN ist für die WAN-Schnittstellen der Firewalls gedacht.
Mit getrennten VLANs wärst du immer noch im selben Netz.

Sorry, habe übersehen, daß das das VLAN für das WAN ist. Dachte das wäre für das LAN.

lks