Firewall Austausch

Mitglied: UnbekannterNR1

UnbekannterNR1 (Level 1) - Jetzt verbinden

12.12.2016 um 15:59 Uhr, 2644 Aufrufe, 7 Kommentare, 1 Danke

Hallo zusammen,
ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan erstellt. Zur Info ja es läuft tatsächlich so. Die Frage vorweg das Ziel ist es die Firewalls in Haus1 und Haus2 zu ersetzten einfach aus Altersgründen. Auf den Firewalls läuft nur Linux blanko mit einem IPTables script. Dazu kommt noch Keepalive s.u. und natürlich die RIP Funktionalität. Bei der Aktion soll das Netzwerk auch gleich ein wenig erweitert werden. Insbesondre um das MPLS Netz (Grün) was bereits im Einsatz ist(allerdings statisch auf Firewall Haus1). Und das Provider Netz(Rot) was neu angebunden werden muss. Intern gibt es diverse VLANs bei denen jeder Netz Übergang von den Firewalls geprüft wird. Momentan halten das ganze Netz die beiden Hauptfirewalls zusammen diese prüfen sich gegenseitig mit Keepalive und schwenken ggf. die IP Adressen zum Partner gerät. Das ist auch schon mein erstes Problem das passiert laut keepalived.conf wohl nur wenn das Master Device (Haus1) komplett ausfällt. Nicht bei Ausfall einer, oder einer bestimmten Verbindung. Bisher war halt alles über die VPN Router und RIP gelöst. Externe Standorte loggen sich je nach Verfügbarkeit auf VPN Router 1 oder 2 ein. Wahrscheinlich wird Router2 aber abgeschafft um dessen Internet Anbindung einzusparen da die wichtigen Systeme jetzt auf dem MPLS vom Anbieter liegen.
Die Switche intern sind natürlich doppelt und hochverfügbar. Die im DMZ Bereich nicht.
Es handelt sich bei Haus1 und Haus2 natürlich um zwei verschiedene Standorte die per LWL direkt verbunden sind. Das Ziel ist das man in Haus2 arbeiten kann falls Haus1 mal Brennen o.ä. sollte. Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Fragen: Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen? Und welche Software würdet Ihr nutzen. (Möglichst Open Source)
Ich habe schon ein zwei Ideen und würde auch gerne Kommerzielle Software einsetzen leider wie so häufig scheitert es dabei dann an den Finanziellen mitteln.
Deswegen wollte ich hier nochmal Fragen um zu sehen auf welche Ideen Ihr so kommt.

administrator - Klicke auf das Bild, um es zu vergrößern
Mitglied: ashnod
12.12.2016 um 16:26 Uhr
Ahoi ...

suche-administrator.de - Klicke auf das Bild, um es zu vergrößern

VG
Ashnod

Sorry ,,,
Bitte warten ..
Mitglied: Lochkartenstanzer
12.12.2016 um 16:57 Uhr
Moin,

pfsense oder checkpoint. :-) face-smile

lks
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.12.2016 um 17:00 Uhr
Mit RIP meinst du sicher das RIPv2 verwendet wird, oder ? Du wirst ja wohl hoffetlich nicht das olle RIPv1 verwenden was keine VLSM kennt, oder ?
Nicht bei Ausfall einer, oder einer bestimmten Verbindung.
Nee kann ja nicht. Denk mal nach. Relevant ist für den Master ja nur ob der Keepalive vom Slave irgendwie bei ihm ankommt. Solange das passiert sind ihm irgendwelche Links die ausfallen "Latte".
Bei guten Firewalls und Routern kann man aber den Failover auch durch einen Linkstatus steuern,
Vermutlich das schlicht und einfach bei dir bzw. den Firewalls nicht gemacht worden ?!
Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Dann musst du natürlich auch alle relevanten Layer 2 VLAN Segmente in beiden Häusern sharen, was ja nicht das Problem ist.
Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen?
Du meinst das speziell nur bezogen auf die Firewalls oder aufs Gesamtkonzept ?

Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.
Bitte warten ..
Mitglied: UnbekannterNR1
12.12.2016 um 22:30 Uhr
pfsense oder checkpoint. :-) face-smile
Die Antwort die ich erwartet hatte :) face-smile


Und das worauf ich gehofft habe:

Mit RIP meinst du sicher das RIPv2 verwendet wird, oder ? Du wirst ja wohl hoffetlich nicht das olle RIPv1 verwenden was keine VLSM kennt, oder ?
Kurz geschaut, ja ist version 2

Du meinst das speziell nur bezogen auf die Firewalls oder aufs Gesamtkonzept ?
Ich meinte wohl eher die Firewall, weil ändern des Gesamtkonzeptes ist kaum möglich da wie gesagt der Plan schon deutlich gekürzt ist. Habe einige weitere Router/netze gestrichen.

Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.

Ist auch genau das was ich erwartet habe. Ich werde das wohl auch mit pfSense angehen und erstmal ein paralleles Testsystem aufsetzen. Wenn es gar nicht geht kann ich immer-noch zurück zu Iptables ohne Menü oder Monitoring... :( face-sad
Hast du den zu dem Bericht? Ich konnte den jetzt nicht so richtig finden.

Danke erstmal, für weitere Vorschläge ist noch ein paar Tage zeit :) face-smile
Bitte warten ..
Mitglied: aqui
13.12.2016, aktualisiert um 10:22 Uhr
Ich habe mir auch schon einen Wolf gesucht, aber ich weiss das hier ein Forumskollege einen sehr positiven Erfahrungsbericht mit der Installation auf einem Supermicro Board gepostet hat.
Kann aber auch ein Thread gewesen sein...?!?
Nochmal suchen....

Gewusst wo... Gefunden !:
https://www.administrator.de/forum/pfsense-hardware-atom-prozessoren-sin ...

Kollege theoberlin hat das absolut perfekt gelöst wie man es nicht hätte besser machen können !
Bitte warten ..
Mitglied: IceAge
14.12.2016 um 12:29 Uhr
Mahlzeit,

schau dir ruhig auch mal OPNsense (Fork von pfsense) an... Läuft bei mir absolut problemlos.

Grüße I.
Bitte warten ..
Mitglied: aqui
14.12.2016 um 12:33 Uhr
...kann aber nur die Hälte der Features der pfSense. Ob die noch kommen und wann ist unklar bei dem Fork.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft Hilfe
gelöst tAmtAm44Vor 1 TagFrageWindows Server27 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 1 TagFrageDatenschutz42 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS15 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Server-Hardware
RPI4 nicht zugreifbar
winlinVor 9 StundenFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

Windows Server
Wann wird Computer-Richtlinie übernommen via VPN?
CubeHDVor 1 TagFrageWindows Server11 Kommentare

Hallo, ich habe eine Gruppenrichtlinie geändert die Einstellungen am Computer ändert. Genaugenommen habe ich den Punkt "Windows-Updates" etwas geändert, dass die Computer nicht mehr ...

Microsoft
Domänencontroller, Jugendschutz, Active-Directory und Benutzerkonten
TronBetaVersionVor 1 TagFrageMicrosoft7 Kommentare

Grüße an die Community, zur Zeit setze ich mich mit dem Thema "Einrichten von Benutzerkonten" auseinander. Ich habe einen Ein-Benutzer-PC viele Jahre verwendet, aber ...