unbekannternr1
Goto Top

Firewall Austausch

Hallo zusammen,
ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan erstellt. Zur Info ja es läuft tatsächlich so. Die Frage vorweg das Ziel ist es die Firewalls in Haus1 und Haus2 zu ersetzten einfach aus Altersgründen. Auf den Firewalls läuft nur Linux blanko mit einem IPTables script. Dazu kommt noch Keepalive s.u. und natürlich die RIP Funktionalität. Bei der Aktion soll das Netzwerk auch gleich ein wenig erweitert werden. Insbesondre um das MPLS Netz (Grün) was bereits im Einsatz ist(allerdings statisch auf Firewall Haus1). Und das Provider Netz(Rot) was neu angebunden werden muss. Intern gibt es diverse VLANs bei denen jeder Netz Übergang von den Firewalls geprüft wird. Momentan halten das ganze Netz die beiden Hauptfirewalls zusammen diese prüfen sich gegenseitig mit Keepalive und schwenken ggf. die IP Adressen zum Partner gerät. Das ist auch schon mein erstes Problem das passiert laut keepalived.conf wohl nur wenn das Master Device (Haus1) komplett ausfällt. Nicht bei Ausfall einer, oder einer bestimmten Verbindung. Bisher war halt alles über die VPN Router und RIP gelöst. Externe Standorte loggen sich je nach Verfügbarkeit auf VPN Router 1 oder 2 ein. Wahrscheinlich wird Router2 aber abgeschafft um dessen Internet Anbindung einzusparen da die wichtigen Systeme jetzt auf dem MPLS vom Anbieter liegen.
Die Switche intern sind natürlich doppelt und hochverfügbar. Die im DMZ Bereich nicht.
Es handelt sich bei Haus1 und Haus2 natürlich um zwei verschiedene Standorte die per LWL direkt verbunden sind. Das Ziel ist das man in Haus2 arbeiten kann falls Haus1 mal Brennen o.ä. sollte. Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Fragen: Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen? Und welche Software würdet Ihr nutzen. (Möglichst Open Source)
Ich habe schon ein zwei Ideen und würde auch gerne Kommerzielle Software einsetzen leider wie so häufig scheitert es dabei dann an den Finanziellen mitteln.
Deswegen wollte ich hier nochmal Fragen um zu sehen auf welche Ideen Ihr so kommt.

administrator

Content-Key: 323637

Url: https://administrator.de/contentid/323637

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: ashnod
ashnod 12.12.2016 um 16:26:28 Uhr
Goto Top
Ahoi ...

suche-administrator.de

VG
Ashnod

Sorry ,,,
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.12.2016 um 16:57:50 Uhr
Goto Top
Moin,

pfsense oder checkpoint. face-smile

lks
Mitglied: aqui
Lösung aqui 12.12.2016 um 17:00:19 Uhr
Goto Top
Mit RIP meinst du sicher das RIPv2 verwendet wird, oder ? Du wirst ja wohl hoffetlich nicht das olle RIPv1 verwenden was keine VLSM kennt, oder ?
Nicht bei Ausfall einer, oder einer bestimmten Verbindung.
Nee kann ja nicht. Denk mal nach. Relevant ist für den Master ja nur ob der Keepalive vom Slave irgendwie bei ihm ankommt. Solange das passiert sind ihm irgendwelche Links die ausfallen "Latte".
Bei guten Firewalls und Routern kann man aber den Failover auch durch einen Linkstatus steuern,
Vermutlich das schlicht und einfach bei dir bzw. den Firewalls nicht gemacht worden ?!
Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Dann musst du natürlich auch alle relevanten Layer 2 VLAN Segmente in beiden Häusern sharen, was ja nicht das Problem ist.
Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen?
Du meinst das speziell nur bezogen auf die Firewalls oder aufs Gesamtkonzept ?

Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.
Mitglied: UnbekannterNR1
UnbekannterNR1 12.12.2016 um 22:30:07 Uhr
Goto Top
pfsense oder checkpoint. face-smile
Die Antwort die ich erwartet hatte face-smile


Und das worauf ich gehofft habe:

Mit RIP meinst du sicher das RIPv2 verwendet wird, oder ? Du wirst ja wohl hoffetlich nicht das olle RIPv1 verwenden was keine VLSM kennt, oder ?
Kurz geschaut, ja ist version 2

Du meinst das speziell nur bezogen auf die Firewalls oder aufs Gesamtkonzept ?
Ich meinte wohl eher die Firewall, weil ändern des Gesamtkonzeptes ist kaum möglich da wie gesagt der Plan schon deutlich gekürzt ist. Habe einige weitere Router/netze gestrichen.

Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.

Ist auch genau das was ich erwartet habe. Ich werde das wohl auch mit pfSense angehen und erstmal ein paralleles Testsystem aufsetzen. Wenn es gar nicht geht kann ich immer-noch zurück zu Iptables ohne Menü oder Monitoring... face-sad
Hast du den zu dem Bericht? Ich konnte den jetzt nicht so richtig finden.

Danke erstmal, für weitere Vorschläge ist noch ein paar Tage zeit face-smile
Mitglied: aqui
aqui 13.12.2016 aktualisiert um 10:22:13 Uhr
Goto Top
Ich habe mir auch schon einen Wolf gesucht, aber ich weiss das hier ein Forumskollege einen sehr positiven Erfahrungsbericht mit der Installation auf einem Supermicro Board gepostet hat.
Kann aber auch ein Thread gewesen sein...?!?
Nochmal suchen....

Gewusst wo... Gefunden !:
Pfsense Hardware Atom Prozessoren Sinnvoll?

Kollege theoberlin hat das absolut perfekt gelöst wie man es nicht hätte besser machen können !
Mitglied: IceAge
IceAge 14.12.2016 um 12:29:40 Uhr
Goto Top
Mahlzeit,

schau dir ruhig auch mal OPNsense (Fork von pfsense) an... Läuft bei mir absolut problemlos.

Grüße I.
Mitglied: aqui
aqui 14.12.2016 um 12:33:23 Uhr
Goto Top
...kann aber nur die Hälte der Features der pfSense. Ob die noch kommen und wann ist unklar bei dem Fork.