toni19
Goto Top

Ausbildung Aufgabe mehrere Netze

Hallöchen Administratoren,

ich mache gerade eine Ausbildung zum Fachinformatiker.
Bin zur Zeit bei den Netzwerkern eingesetzt.

Ich habe folgende Aufgabe bekommen, aber keinen Schimmer von der Umsetzung.
Vielleicht kann mir ja jemand helfen.

Ich habe 5 eingehende Leitungen mit öffentlichen IPs. Es sollen fünf Webserver angebunden werden.
Ich habe eine Firewall, welche konfiguriert ist und funktioniert mit zwei freien Netzwerkkarten.

Ich hatte das jetzt so gedacht, den Servern intern eine interne Adresse zu geben
und diese dann per NAT zu übersetzen.

Eine Maschine konnte ich anbinden. Dazu habe ich einer freien Netzwerkkarte einfach eine der public IPs gegeben.
Jetzt habe ich aber immer noch 4 Server welche ich anbinden soll...
In diese Firewall (ist eine Workstation) passen keine weiteren Netzwerkkarten mehr rein.
Also könnte ich mit meiner Methode noch eine Maschine anbinden.

Was mache ich aber mit den anderen drei?

Wie soll ich das anbinden? Kann ich alle 5 Maschinen z.B. per VLan über zwei Netzwerkkarten anbinden?
Wenn Ja wie sollte das aussehen?

Also ich komme da nicht weiter.
Meine Ausbilder wollen schon eine fundierte Antwort haben, warum es auch nicht gehen könnte.

Aber bevor ich da ankomme und sage, das geht nicht weil und die dann sagen... Ahh moment und so.
Deshalb will ich versuchen, das hinzubekommen. Switches und Router stünden auch zur Verfügung.

Weil eine Überlegung war auch schon mal von der Firewall aus alle 5 IPs auf den Router zu schicken.
Und dieser soll dann mit Hilfe der Routingtables weiterleiten. Von der Firewall aus, weil ich alle Badpackets etc. nicht ins Netz lassen will.

Wie soll ich es machen? Bitte euch um Unterstützung.

Danke.
Thomas

Content-ID: 114796

Url: https://administrator.de/forum/ausbildung-aufgabe-mehrere-netze-114796.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

maretz
maretz 27.04.2009 um 20:17:58 Uhr
Goto Top
Naja - du kannst da verschiedene Wege gehen...

Du kannst entweder deiner Netzwerkkarte 5 IPs geben (overkill - aber ok, in der Theorie muss nich alles Sinn machen). Dann musst du nur noch deinen Webserver so einrichten das er auf alle 5 IPs hört bzw. die entsprechenden Seiten gibt...

Du kannst das ganze mit 1 öffentlichen IP machen - indem du z.B. bei Linux mit Name-Based virtual Hosts arbeitest -> sofern die DNS-Einträge richtig sind kannst du dann mit www.server1.de und www.server2.de verschiedene Webseiten auf demselben Server aufrufen... (So würde ich das idR. machen).

Du kannst über den Router auch nen Port-Forward machen -> 5 Öffentliche IPs auf den Router und ein Forward auf jeweils einen dahinterliegenden Webserver (ebenfalls m.E. der technische Overkill).

Und ich glaube mir würden bei einigem Überlegen noch mehrere Lösungen einfallen (Port-Based virtual Hosts,...).
toni19
toni19 27.04.2009 um 23:11:20 Uhr
Goto Top
Hallo,

danke erst mal für deine Antwort.
Das Problem ist, das sind 5 eigene Maschinen. Das ist ja blos zum üben.
Jeder Server hat einie eigene Karte.

Das soll im Endeffekt so sein, das diese eben über die Firewall kommen.

Die sauberste Lösung ist doch sicher die, wie ich es gemacht habe.
Jede Karte eine public IP.

Wie machen das denn so Rechenzentren? Da gibts auch Firewalls.

Meine Idee war, jeglicher Verkehr kommt auf der Firewall an. Egal für welche IP.
Dann wird eben mit Packetfiltern etc. diese Pakete geprüft. Danach werden die an den Router geleitet, welcher dann die Verteilung.
Mein denken war, so komme ich aus dem Problem mit den fehlenden NICs raus.
Aber welche IP bekäm dann eben diese Netzwerkkarte wo sämtlicher Verkehr ankäm? Ich glaube, so ginge das nicht.
maretz
maretz 28.04.2009 um 07:13:24 Uhr
Goto Top
natürlich kannst du es so auch machen - der router/die firewall bekommt dann eben 5 öffentliche IPs und macht nen forward auf die privaten ips der Webserver.

Ggf. hinter die Firewall noch nen Switch geklemmt (8 ports -> 5 für die Webserver, 1 für das firewall-interface) -> thema erledigt.

Du kannst hier auch einfach die Webserver in die DMZ stellen -> dann können die auch die öffentliche IP behalten - und je nach Firewall lässt du einfach den Verkehr direkt überwachen (transparenter Proxy wäre das Stichwort hier u.a.)

Bei Rechenzentren hängt es davon ab wofür die sind...Firmeninterne Serversysteme haben meist nur bestimmte Dienste die die anbieten -> entsprechend stehen die hinter der Firewall... Rechenzentren von Hostern wie Strato & Co. überlassen es dagegen den Mieter des Servers/vHosts sich um die Firewall zu kümmern - da steht der Server dann in der DMZ mit öffentlicher IP

Wie gesagt - es gibt für sowas keinen "generell" richtigen Aufbau. Dies kommt auf die Anforderung an die der Admin / die Firma stellt... Ich z.B. mag es nicht wenn da 5 Server für etwas stehen was auch 1 bis 2 leisten können -> kostet nur unnötig Strom und erzeugt Wärme die ich wieder loswerden muss... Dann lieber nur 2 Server und nen Load-Balancer davor gepackt (wenn entsprechend Traffic zu erwarten is) ...
aqui
aqui 28.04.2009 um 09:36:57 Uhr
Goto Top
Nur nochmal ne Frage:
Du hast wirklich 5 (fünf) separate, eingehende Leitungen ???

Wenn dem wirklich so ist, dann ist ist der Vorschlag von maretz mit dem Load Balancer das Beste, denn wie willst du sonst diese 5 Leitungen sinnvoll ausnutzen ?? Das soll ja sicher das Ziel sein eine Bandbreitenverteilung zu erreichen auf alle 5 Server.
Es macht ja nur Sinn wenn man den Traffic der 5 Webserver auch sinnvoll auf die 5 Leitungen verteilt !!!

Ein klassisches Szeario für so eine Anwendung sähe dann so aus:

991272c2a029f6a146633ef866e01e29-loadbal

Wenn man es ganz toll (professionell) machst, dann nimmst du 2 Load Balancer im sog. "High Availability" Modus und damit hast du dann eine volle Redundanz und der LB ist dann nicht ein sog. Single Point of Failure.
Solch ein Design ist heute Standard bei großen Webshops und anderen größeren Web Server Installationen !
Einfach Public IPs auf den Server und gut is.. wie du es gemacht hast ist laienhaft und nicht professionell für einen Fachinformatiker, denn das kann auch jeder Laie !
Sowas macht heute kein Mensch mehr um den Server nicht DDoS Attacken und anderen vielfältigen Gefahren auszusetzen. Von erheblichen Performanceeinbußen bei gesichertem HTTPS Betrieb (z.B. Bestell- oder Banking Webserver !) mal ganz abgesehen.
Zusätzlich zum Angriffsschutz nimmt man allein schon aus Redundanzgründen (Ausfall) bei größeren Installationen immer Load Balancer in solch einem Szenario wie deinem.
Die Firewall im o.a. Szenario ist (fast) überflüssig, denn heutige Load Balancer bieten fast alle ein zusätzlichen Angriffsschutz vor DDoS, Syn Flooding und anderen Attacken. Mit HTTPS Offload schützen sie auch HTTPS Server sicher vor einem Performanceverlust. Wer aber zum Gürtel noch den Hosenträger benötigt fährt mit einer zusätzlichen Firewall noch etwas sicherer....
toni19
toni19 28.04.2009 um 10:40:30 Uhr
Goto Top
Hallo ich danke euch für die entsprechenden Antworten.

Also ich habe das jetzt noch einmal genau angeschaut.
Da ist es so, das ich in der Firewall die Zone internal habe und die Zone DMZ.

Internal sind dann alle internen Server hinter der Firewall. Mit einer privaten IP.

Die DMZ Zone hat ebenfalls einen privaten IP-Bereich bekommen.

Ist das so korrekt? Weil wenn ich der DMZ Zone jetzt den IP Bereich der öffentlichen IPs zuweise, muss ich ja auch den Servern diese IPs geben. Damit würde dann jeder Server eine public IP bekommen.

Aber dann könnte ich ja nicht mehr von Internal aus auf die Server in der DMZ zugreifen.

Sorry, ich lern ja noch. Will halt die Logik dahinter verstehen. Und ich bespreche natürlich auch viel mit den Ausbildern darüber. Was DMZ also DMZ heißt weiß ich.
Damit stehen die Server aber doch trotzdem irgendwo hinter der Firewall oder nicht?

Ich habe das Problem, das ich in diesem Webinterface der Netzwerkkarte eine IP zuweisen muss.
Wenn ich das mit den Routern aber jetzt so machen wollte, das gesamte Verkehr auf der Firewall ankommt und dann an die Router verweist, welche IP bekommt dann die Karte?
Müsste das dann eine der öffentlichen sein?

@ aqui

Ja, das sind fünf eigene Leitungen, für fünf eigene Server.
Unser Netzwerkadmin hat die extra dahin gelegt. Der hat in seiner Router / Switch Sterung einfach die Dosen ins public gelegt, vom internen Netz ausgeschlossen und dann gemeint, jetzt mach mal.
Bei Fragen steht er natürlich zur Verfügung. Aber ich will es erst mal so versuchen, daher frag ich euch so ein bisschen aus...
aqui
aqui 28.04.2009 um 12:26:51 Uhr
Goto Top
Mmmmhhh, vermutlich hat er selber wenig Ahnung von der Materie oder er will dich mal ein bischen testen was du so drauf hast ??!!
Die beiden Möglichkeiten bestehen ja bei diesen Voraussetzungen...

OK, wenn man dich richtig versteht (leider sind deine Beschreibungen da etwas dürftig und noch nicht Fachinformatiker like..face-sad ) dann hast du nicht 5 einzelne Links in jeweils separaten öffentlichen Netzen sondern lediglich ein einziges öffentliches Subnetz bekommen mit 5 (oder mehr) freien IP Adressen.
Dieses Subnetz liegt dann vermutlich an einem portbasierendem VLAN Switch in einem VLAN das dann 5 Ports hat für dich nach draussen hat ?!
Ist das so richtig ??

Was du dann machen willst ist eine laienhafte Banallösung mit einer Firewall und dahinter den Servern die wenig praxistauglich ist.... Sinnvolles Load Balancing spielt hier trotzt der 5 parallelen Links vermutlich dann keine Rolle, und diese Links sollen nur der Verwirrung dienen..???
Ist das auch richtig ?

Gut, wenn ja, dann ist die Lösung so banal wie einfach:
5 Ports benötigst du gar nicht wenn die Webserver hinter der NAT Firewall stehen und du kein Load Balancing machst wie oben beschrieben.
Vermutlich hat man das dann wirklich nur gemacht um dich in die Irre zu führen....einen Sinn hätte es dann nicht !

Was du dann machst ist ganz einfach wenn die FW nur 2 Ports hat.
  • Das DMZ Segment bekommt das öffentliche Netzwerk
  • Die Webserver dahinter sind in einem RFC 1918 Netzwerk sagen wir mal 172.16.1.0 /24
  • Auf der Firewall stellst du nun ein festes, statisches Port Forwarding ein indem du eine öffentliche IP der DMZ fest auf eine RFC 1918 IP im LAN mapst. Das kann entweder vollkommen protokolloffen geschehen so das alles rübergeht oder du begrenzt das auf die Ports TCP 80 und TCP 443 (HTTP u. HTTPS), das wär sinnvoll da es ja nur Webserver sind.

Fertig bist du !
Mit einem praxistauglichen Design unter den o.a. Vorausetzungen hat das aber nix zu tun...
toni19
toni19 28.04.2009 um 13:54:38 Uhr
Goto Top
Hallo aqui,

ähm also wenn ich jemanden kenne, der Ahnung vom netzwerken hat, das unser Netzwerkadmin.
Zumindest was ich so kennengelernt habe.
Jeder Azubi bekommt im Grunde von ihm die selben Aufgaben.
Ich denke mal, er will damit wissen, welches Problemlösungsverständnis man so hat.

Es ist so, ein public Subnet. Aus diesem habe ich 5 IPs bekommen.
Diese werden an jeglicher Firewall vorbei gelietet. Also quasi eine direkt Anbindung.
Wie er das genau gemacht hat, kann ich auch nicht sagen. Das Umfeld hier hat auch keinen Zugriff auf das wirkliche LAN. Ist im grunde so ein Test LAN.

Meine Aufgabe ist, entweder mit den gegebenen Mitteln alle fünf Webserver ans Web anzubinden.
Oder auch, so sagte er das... Vielleicht geht das auch nicht, dann einen triftigen Grund, warum das nicht geht.
Als ich ihm sagte, zu wenige Netzwerkkarten bzw. kein Platz in der Firewall sagte er, das wäre kein Grund, lediglich eine Herausforderung.

Edit:

Es ist so, das es drei NICs in der Firewall gibt.
Mein internal. Dann DMZ und WAN.

Mein internal ist 24er mit 192.168.1.x
Mein DMZ ist ein 24er mit 192.168.166.x
Als WAN habe ich eine der public IPs genommen. Sprich diese Netzwerkkarte hat eine der public IPs fest zugeordnet.
Alle Anfragen auf diese public IP werden in die DMZ 166.x geschickt.

Nur mir sind die Karten ausgegangen. Wenn ich jetzt genug Karten hätte, hätte ich das so fertig machen können...

Aqui du meinst das dann so?

Internal: 192.168.1.x
DMZ -> public IPs

Aber dann wären diese Server ja im internal Netz... Und damit doch ein totales Risikio oder?
aqui
aqui 29.04.2009 um 12:06:02 Uhr
Goto Top
Wenn du nur den Netzadmin kennst fehlt dir ja jeglicher Vergleich um beurteilen zu können ob er Ahnung hat oder nicht ??!!!

Egal, zurück zu deiner Aufgabe:
Wie er das macht ist so banal wie einfach: Er zieht dir einefach ein VLAN auf deinen Bastelswitch mit den öffentlichen IPs und schaltet dir im VLAN 5 untagged Ports frei. das ist Ethernet Grundschule 1. Klasse und kann jeder Fachinformatiker mit Links face-wink

Es bleibt immer noch die Frage offen warum er dir 5 Links gegeben hat. Entweder als Verwirrtaktik oder zum sharen der Bandbreite...nun ja das wird wohl ein Geheimnis bleiben, da du es ja auch nicht weisst oder mal nachgefragt hast ?!
Normalerweise hätte ein einzelner Port vollkommen ausgereicht als Link auf die Firewall !

Mit dem Platz in der FW hat er recht...eine Herausforderung aber eine recht einfach zu lösende die einen pfiffigen Fachinformatiker in spe eigentlich nur zum Schmunzeln verleiten sollte....

Die Lösung sieht so aus:
7027eb03403be52be2ab5775b5b3bbd5-fireweb

Da du ja nur FW und die Webserver hast bleibt kein anderes design übrig oder ist möglich.
So, da du ja nun 5 freie IPs hast trägst du diese IPs zusätzlich auf der Firewall mit einer statischen NAT Regel ein wie sie im Bild zu sehen ist.
Du mappst also mit dieser festen, statischen NAT (Network Adress Translation) Regel die 5 vorhandenen öffentlichen IPs vom WAN Interface auf die internen Webserver in der DMZ.

Auf Anfragen von außen an einer der 5 IP antwortet dann logischerweise die Firewall und forwardet diesen Datenstrom dann intern fest auf den zur NAT Regel korrespondierenden Webserver.
Fertig ist deine Aufgabe !!!

Das ist eine klassische Lösung für sowas ! Nicht besonders elegant aber mit dem was du zur Verfügung hast nicht anders zu machen !! Da kann auch dein kundiger Netzadmin nichts anderes zaubern. (Wenn man nur wüsste was er mit den 5 Ports will...???)

Wenn du jetzt deinem Netzwerkadmin zusätzlich etwas imponieren willst, dann legst du zusätzlich zur festen, statischen NAT Regel noch eine FW Regel auf für diese IP Adresspärchen an und filterst nur TCP Port 80 und TCP Port 443.
So erreichst du, das nur Webanfragen auf die Server kommen und keiner im Internet böse Dinge macht mit den Webservern !!