Dark Fiber bzw Direct Verbindung

oleg0815
Goto Top
Hallo zusammen,
ich habe eine Frage da ich derzeit bissl auf dem Schlau stehe.
Hintergrund
Wir haben zwei Standorte die mittels VPN verbunden sind. Auf die Firewall welche die VPN Verbindung an unseren Standort regelt habe keine Rechte um die entsprechenden Einstellungen durchzuführen oder einzusehen. Die Kommunikation zu dem Admin ist etwas schleppend.
Nun haben wir eine von htp net business direct Verbindung 1Gbit bekommen und wollen darüber die Verbindung herstellen, da wir ggf. auch auf 10GBit gehen müssten.
Aber anderes Thema.
Nun wollen wir diese Verbindung direkt bei uns in LAN bringen und dazu müssten ja entsprechende Einstellungen an den Switch vorgenommen werden.
Und hier habe ich ein kleines Verständnis Problem, was die praktische Umsetzung betrifft und würde so vorgehen.

1. Den Switch (Netgear M5300 Modell) von L2 auf L3 umstellen.
2. Ein Transportnetz erstellen was die später die Verbindung zwischen unserem VLAN z.B. 10.10.10.0/24 zu dem anderen VLAN 10.10.20.0/24 herstellt.
3. Die IP von 2 an den Port wo die Verbindung ankommt binden.
3. in der Routingtabelle die IP vom Transportnetz als Routing für das Netz am anderen Standort angeben.

Aber ich habe das Gefühl das ich hier irgendwo einen Gedankenfehler mache, da ja der Rest über das Default Gateway 10.10.10.254 laufen soll und im Bereich VPN es vielleicht Problemen kommen kann.
Ebenso wenn diese Verbindung ausfällt soll ja die VPN automatisch greifen.

Für die Netzwerker unter euch bestimmt eine einfache Sache aber ich habe irgendwo einen Knoten in dem Bereich und komme nicht weiter.

Content-Key: 3243488273

Url: https://administrator.de/contentid/3243488273

Ausgedruckt am: 15.08.2022 um 17:08 Uhr

Mitglied: tikayevent
Lösung tikayevent 03.07.2022 um 13:16:12 Uhr
Goto Top
Ebenso wenn diese Verbindung ausfällt soll ja die VPN automatisch greifen.
Da wird es schon lustig.

Mit dem Switch alleine ist es da nicht getan, da müssen sehr viele Komponenten mehr mitspielen, damit es klappt. Um genaue Aussagen liefern zu können, müsste man jetzt einen ziemlich vollständigen Netzwerkplan haben.

Es gibt jetzt die Möglichkeit, wenn die Firewall es schafft, dass diese das ganze übernimmt, da die damit beide Verbindungen in der Hand hat und auch sieht, wenn eine wegfällt. In der Regel haben Firewalls und die meisten professionellen Router Überwachungsmechanismen, um die Funktionsfähigkeit einer Verbindung auf IP-Ebene zu prüfen. Ein Switch kann es nicht. Der sieht nur Link da oder Link weg.
Im WAN-Bereich bekommst du aber in den seltensten Fällen ein Kabel hingeworfen, was durchgeht, sondern du bekommst das Access Device, also aktive Technik. Damit kann der Switch nur die Verbindung Switchport => Access Device überwachen. Die komplette Strecke dahinter ist unüberwacht, also würde der Switchport das Rerouting nur machen, wenn das Access Device ausfällt.

Wenn die Sache mit der Firewall keine Option ist, dann geht es mit dynamischem Routing los, also RIP, OSPF oder was auch immer. Darüber unterhalten sich beide Switches und tauschen ihre Routinginformationen aus. Darüber kennen dann beide Switches die internen Netzwerke und den Pfad. Fällt die Verbindung aus, bleiben die Informationen aus und nach einiger Zeit (teilweise im Minutenbereich) hat der Switch die Informationen nicht mehr und nimmt den nächstbesten Pfad, was dann hoffentlich die Firewall ist.

Im Idealfall sprich die Firewall dann auch noch dieses Routingprotokoll und kann dann ihre Informationen auch sinnvoll übergeben. Eine Default-Route geht aber auch.

Aber ohne genaues Umgebungswissen diese Möglichkeit passen, muss aber nicht und man muss hier ganz genau planen und vorab in der Testumgebung prüfen.
Mitglied: aqui
Lösung aqui 03.07.2022 um 14:10:20 Uhr
Goto Top
Du benötigst ja als allererstes erstmal einen Router oder Firewall für die htp net Business Verbindung.
Wenn du dann damit ein Layer 3 VLAN Konzept umsetzen willst (so hören sich die Ausführungen von dir zumindestens oben an) dann erklärt dir das hiesige Layer VLAN Tutorial alles was du dazu wissen musst!
Lesen und verstehen...
Mitglied: Dobby
Lösung Dobby 03.07.2022 um 14:14:31 Uhr
Goto Top
Hallo,

Wir haben zwei Standorte die mittels VPN verbunden sind. Auf die Firewall welche die VPN Verbindung an
unseren Standort regelt habe keine Rechte um die entsprechenden Einstellungen durchzuführen oder
einzusehen. Die Kommunikation zu dem Admin ist etwas schleppend.
Ok aber die sind doch genau dafür zuständig.

Nun haben wir eine von htp net business direct Verbindung 1Gbit bekommen und wollen darüber die
Verbindung herstellen, da wir ggf. auch auf 10GBit gehen müssten.
Nur dann sollten die Firewalls das auch bedienen und/oder filtern können.

Aber anderes Thema.
Nun wollen wir diese Verbindung direkt bei uns in LAN bringen und dazu müssten ja entsprechende
Einstellungen an den Switch vorgenommen werden.
Ungefiltert, also an der Firewall vorbei? Würde ich nicht machen wollen!

Und hier habe ich ein kleines Verständnis Problem, was die praktische Umsetzung betrifft und würde so vorgehen.
Ungefiltert Euer ganzes Netz an das Internet anbinden? Ich denke das wird dann wohl eher mehr als nur
ein Problem geben.

1. Den Switch (Netgear M5300 Modell) von L2 auf L3 umstellen.
Und wer schützt dann Euer internes Netzwerk (LAN)? Der M5300 kann das nicht.

2. Ein Transportnetz erstellen was die später die Verbindung zwischen unserem VLAN z.B. 10.10.10.0/24 zu dem
anderen VLAN 10.10.20.0/24 herstellt.
3. Die IP von 2 an den Port wo die Verbindung ankommt binden.
3. in der Routingtabelle die IP vom Transportnetz als Routing für das Netz am anderen Standort angeben.
Die 1 GBit/s Leitung an die Firewall anbinden.

Aber ich habe das Gefühl das ich hier irgendwo einen Gedankenfehler mache,
Lass das sein und sag den Admins sie sollen die 1 GBit/s an die Firewall anschließen, fertig.

Ebenso wenn diese Verbindung ausfällt soll ja die VPN automatisch greifen.
VPN macht aber die Firewall und nicht der Switch! Und dort sollte man dann eine Dual WAN Lösung
installieren.

Für die Netzwerker unter euch bestimmt eine einfache Sache aber ich habe irgendwo einen Knoten in
dem Bereich und komme nicht weiter.
Lass es sein!

Dobby
Mitglied: tikayevent
Lösung tikayevent 03.07.2022 um 14:24:15 Uhr
Goto Top
Und wer schützt dann Euer internes Netzwerk (LAN)? Der M5300 kann das nicht.
Ist an der Stelle vermutlich nicht nötig, denn laut TO ist es eine Leased Line. Ich bezweifel, dass der TO jetzt schon auf der VPN-Strecke filtert, also warum sollte er dann auf einer Leased Line filtern?

Bei einem Internetzugang ja, da wäre es tödlich, aber netzwerkintern, kann man, muss man aber nicht.

Oder hast du an jedem Netzwerkkabel eine gesonderte Firewall hängen? Mehr ist es ja nicht.

Vielleicht sollte man darauf hinweisen, dass man aber im Hinterkopf behalten sollte, dass die Daten unverschlüsselt übertragen werden und Glasfaserverbindungen beschädigungsfrei abgehört werden können. Je nach Sicherheitsbedürfnis sollte man dieses in die Planung einfließen lassen.

Ich arbeite nur für ein Handelsunternehmen, also keine sensitive Daten und dennoch wird jede Leitung, die meinen Überwachungsbereich verlässt und sei es nur der Übergang zwischen zwei Etagen im selben Gebäude, wird verschlüsselt. Meine persönliche Entscheidung.
Mitglied: oleg0815
oleg0815 03.07.2022 aktualisiert um 16:18:15 Uhr
Goto Top
Danke für die ganzen Informationen von eurer Seite aus.
Ich habe mir schon fast gedacht und lasse das ganze über die Firewall laufen, soweit wir mit der 1bit Lösung hinkommen.
Werde nun den Admin seitens unserer Leitung anschreiben lassen, damit dieser das Konzept umsetzt wird.
Wäre schon wenn dieser das "einfach" umsetzen würde, aber das spielt die Politik in Spiel.
Vermutlich müssen wir nächstes Jahr die Leitung auf 10Gbit aufrüsten und dann wird es noch komplizierter sei es von der Hardware und Ablauf.

Jetzt habe ich aber einen besseren Überblick und wieder einen klaren Kopf.

Auch wenn ich nur ein Kommentar als Lösung angeben kann, haben alle dazu beigetragen.

DANKE
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 03.07.2022 um 16:23:56 Uhr
Goto Top
Zitat von @oleg0815:

Auch wenn ich nur ein Kommentar als Lösung angeben kann, haben alle dazu beigetragen.

Du kannst jeden Kommentar anhaken, den Du als Beitrag zu der Lösung siehst, nicht nur einen.

lks
Mitglied: aqui
Lösung aqui 03.07.2022 um 17:16:57 Uhr
Goto Top
aber das spielt die Politik in Spiel.
Technisch das eine einfache Sache von 30 Minuten wenn man die entsprechende Hardware vor Ort hat und die neue Leitung nur anklemmen muss.
Politische Spielchen kann ein IT Forum natürlich nicht lösen. face-wink