7
Firewall Austausch
Hallo zusammen,
ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan erstellt. Zur Info ja es läuft tatsächlich so. Die Frage vorweg das Ziel ist es die Firewalls in Haus1 und Haus2 zu ersetzten einfach aus Altersgründen. Auf den Firewalls läuft nur Linux blanko mit einem IPTables script. Dazu kommt noch Keepalive s.u. und natürlich die RIP Funktionalität. Bei der Aktion soll das Netzwerk auch gleich ein wenig erweitert werden. Insbesondre um das MPLS Netz (Grün) was bereits im Einsatz ist(allerdings statisch auf Firewall Haus1). Und das Provider Netz(Rot) was neu angebunden werden muss. Intern gibt es diverse VLANs bei denen jeder Netz Übergang von den Firewalls geprüft wird. Momentan halten das ganze Netz die beiden Hauptfirewalls zusammen diese prüfen sich gegenseitig mit Keepalive und schwenken ggf. die IP Adressen zum Partner gerät. Das ist auch schon mein erstes Problem das passiert laut keepalived.conf wohl nur wenn das Master Device (Haus1) komplett ausfällt. Nicht bei Ausfall einer, oder einer bestimmten Verbindung. Bisher war halt alles über die VPN Router und RIP gelöst. Externe Standorte loggen sich je nach Verfügbarkeit auf VPN Router 1 oder 2 ein. Wahrscheinlich wird Router2 aber abgeschafft um dessen Internet Anbindung einzusparen da die wichtigen Systeme jetzt auf dem MPLS vom Anbieter liegen.
Die Switche intern sind natürlich doppelt und hochverfügbar. Die im DMZ Bereich nicht.
Es handelt sich bei Haus1 und Haus2 natürlich um zwei verschiedene Standorte die per LWL direkt verbunden sind. Das Ziel ist das man in Haus2 arbeiten kann falls Haus1 mal Brennen o.ä. sollte. Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Fragen: Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen? Und welche Software würdet Ihr nutzen. (Möglichst Open Source)
Ich habe schon ein zwei Ideen und würde auch gerne Kommerzielle Software einsetzen leider wie so häufig scheitert es dabei dann an den Finanziellen mitteln.
Deswegen wollte ich hier nochmal Fragen um zu sehen auf welche Ideen Ihr so kommt.
ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan erstellt. Zur Info ja es läuft tatsächlich so. Die Frage vorweg das Ziel ist es die Firewalls in Haus1 und Haus2 zu ersetzten einfach aus Altersgründen. Auf den Firewalls läuft nur Linux blanko mit einem IPTables script. Dazu kommt noch Keepalive s.u. und natürlich die RIP Funktionalität. Bei der Aktion soll das Netzwerk auch gleich ein wenig erweitert werden. Insbesondre um das MPLS Netz (Grün) was bereits im Einsatz ist(allerdings statisch auf Firewall Haus1). Und das Provider Netz(Rot) was neu angebunden werden muss. Intern gibt es diverse VLANs bei denen jeder Netz Übergang von den Firewalls geprüft wird. Momentan halten das ganze Netz die beiden Hauptfirewalls zusammen diese prüfen sich gegenseitig mit Keepalive und schwenken ggf. die IP Adressen zum Partner gerät. Das ist auch schon mein erstes Problem das passiert laut keepalived.conf wohl nur wenn das Master Device (Haus1) komplett ausfällt. Nicht bei Ausfall einer, oder einer bestimmten Verbindung. Bisher war halt alles über die VPN Router und RIP gelöst. Externe Standorte loggen sich je nach Verfügbarkeit auf VPN Router 1 oder 2 ein. Wahrscheinlich wird Router2 aber abgeschafft um dessen Internet Anbindung einzusparen da die wichtigen Systeme jetzt auf dem MPLS vom Anbieter liegen.
Die Switche intern sind natürlich doppelt und hochverfügbar. Die im DMZ Bereich nicht.
Es handelt sich bei Haus1 und Haus2 natürlich um zwei verschiedene Standorte die per LWL direkt verbunden sind. Das Ziel ist das man in Haus2 arbeiten kann falls Haus1 mal Brennen o.ä. sollte. Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Fragen: Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen? Und welche Software würdet Ihr nutzen. (Möglichst Open Source)
Ich habe schon ein zwei Ideen und würde auch gerne Kommerzielle Software einsetzen leider wie so häufig scheitert es dabei dann an den Finanziellen mitteln.
Deswegen wollte ich hier nochmal Fragen um zu sehen auf welche Ideen Ihr so kommt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323637
Url: https://administrator.de/contentid/323637
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
7 Kommentare
Neuester Kommentar
Ahoi ...
VG
Ashnod
Sorry ,,,
VG
Ashnod
Sorry ,,,
Moin,
pfsense oder checkpoint.
lks
pfsense oder checkpoint.
lks
1
Mit RIP meinst du sicher das RIPv2 verwendet wird, oder ? Du wirst ja wohl hoffetlich nicht das olle RIPv1 verwenden was keine VLSM kennt, oder ?
Bei guten Firewalls und Routern kann man aber den Failover auch durch einen Linkstatus steuern,
Vermutlich das schlicht und einfach bei dir bzw. den Firewalls nicht gemacht worden ?!
Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.
Nicht bei Ausfall einer, oder einer bestimmten Verbindung.
Nee kann ja nicht. Denk mal nach. Relevant ist für den Master ja nur ob der Keepalive vom Slave irgendwie bei ihm ankommt. Solange das passiert sind ihm irgendwelche Links die ausfallen "Latte".Bei guten Firewalls und Routern kann man aber den Failover auch durch einen Linkstatus steuern,
Vermutlich das schlicht und einfach bei dir bzw. den Firewalls nicht gemacht worden ?!
Und das die Ressourcen von Haus2 in Haus1 genutzt werden können für eventuelle Hardware/Anschluss Ausfälle.
Dann musst du natürlich auch alle relevanten Layer 2 VLAN Segmente in beiden Häusern sharen, was ja nicht das Problem ist.Was würdet Ihr machen, um eine Möglichst hohe Verfügbarkeit zu erreichen?
Du meinst das speziell nur bezogen auf die Firewalls oder aufs Gesamtkonzept ?Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.
pfsense oder checkpoint.
Die Antwort die ich erwartet hatte Und das worauf ich gehofft habe:
Mit RIP meinst du sicher das RIPv2 verwendet wird, oder ? Du wirst ja wohl hoffetlich nicht das olle RIPv1 verwenden was keine VLSM kennt, oder ?
Kurz geschaut, ja ist version 2Du meinst das speziell nur bezogen auf die Firewalls oder aufs Gesamtkonzept ?
Ich meinte wohl eher die Firewall, weil ändern des Gesamtkonzeptes ist kaum möglich da wie gesagt der Plan schon deutlich gekürzt ist. Habe einige weitere Router/netze gestrichen.Hier im Forum gibt es einen sehr guten Erfahrungsbericht mit der Installation einer pfSense auf einem Supermicro Board was für sich spricht, deshalb muss man zu dem Thema Firewall eigentlich nicht mehr viel sagen.
Ist auch genau das was ich erwartet habe. Ich werde das wohl auch mit pfSense angehen und erstmal ein paralleles Testsystem aufsetzen. Wenn es gar nicht geht kann ich immer-noch zurück zu Iptables ohne Menü oder Monitoring...
Hast du den zu dem Bericht? Ich konnte den jetzt nicht so richtig finden.
Danke erstmal, für weitere Vorschläge ist noch ein paar Tage zeit
Ich habe mir auch schon einen Wolf gesucht, aber ich weiss das hier ein Forumskollege einen sehr positiven Erfahrungsbericht mit der Installation auf einem Supermicro Board gepostet hat.
Kann aber auch ein Thread gewesen sein...?!?
Nochmal suchen....
Gewusst wo... Gefunden !:
Pfsense Hardware Atom Prozessoren Sinnvoll?
Kollege theoberlin hat das absolut perfekt gelöst wie man es nicht hätte besser machen können !
Kann aber auch ein Thread gewesen sein...?!?
Nochmal suchen....
Gewusst wo... Gefunden !:
Pfsense Hardware Atom Prozessoren Sinnvoll?
Kollege theoberlin hat das absolut perfekt gelöst wie man es nicht hätte besser machen können !
Mahlzeit,
schau dir ruhig auch mal OPNsense (Fork von pfsense) an... Läuft bei mir absolut problemlos.
Grüße I.
schau dir ruhig auch mal OPNsense (Fork von pfsense) an... Läuft bei mir absolut problemlos.
Grüße I.
...kann aber nur die Hälte der Features der pfSense. Ob die noch kommen und wann ist unklar bei dem Fork.
