11
Firewall gesucht die als transparenter Paketfilter, VLAN-Makierer und Bandbreitenmanagement fungiert
Hallo,
ich suche für ein "Problem" eine Lösung.
Ein Kunde von uns vermietet Büroräumen und vermietet auch seinen Internet-Anschluss unter.
Es ist ein SDSL-Anschluss mit 20MBit und vielen festen IP-Adressen (v4).
Die "normalen" Kunden gekommen auf seiner Firewall (Gateprotect) ein Subnetz mit eigenem Adressbereich und DHCP.
Einige benötige eine feste ausgehende IP und bestimmte Regeln zur Firewall: Auch kein Problem.
Einige wollen aber direkte die externe IP, da deren Router nicht störungsfrei funktionieren.
Ich suche also eine Möglichkeite (Firewall, oder Linux-Kiste mit Firewall) welches wie folgt funktionieren.
Das Geräte hat 2 Netzwerkkarte (LAN und WAN).
An WAN ist der Router des Providers angeschlossen. An LAN ein Switch mit VLAN Fähigkeiten.
Eingehende Datenpackete an feste IP x werden ohne routen direkt auf der LAN-Seite ausgegeben und das VLAN Tag x hinzugefügt.
Dabei wird der Port anhand einer Liste von freigeben Ports überprüft und das Paket ggf gelöscht.
Ausgehende Datenpakete werden auf der LAN-Seite angenommen und auf der WAN-Seite ausgebene.
Dabei wird geprüft ob VLAN-ID und feste IP zusammenpast und dass der Zielport erlaubt ist.
Zusätzlich wird die maximale Bandbreite festgelegt.
Also quasi ein transparenter Paketfilter.
Natürlich könnte ich den Kundenrouter direkt anschliessen.
Dann kann ich aber nicht verhindern, dass er zeitweise für illegale Zwecke eine andere feste IP konfiguriert (weiterzählen ist ja nicht so schwer). Auch darf der Kunden über diese IP nur VPN nutzen. Kein surfen ist erlaubt. und ein Bandbreitenmanagement ist auch nicht möglich.
Jemand eine Idee?
Danke
Stefan
ich suche für ein "Problem" eine Lösung.
Ein Kunde von uns vermietet Büroräumen und vermietet auch seinen Internet-Anschluss unter.
Es ist ein SDSL-Anschluss mit 20MBit und vielen festen IP-Adressen (v4).
Die "normalen" Kunden gekommen auf seiner Firewall (Gateprotect) ein Subnetz mit eigenem Adressbereich und DHCP.
Einige benötige eine feste ausgehende IP und bestimmte Regeln zur Firewall: Auch kein Problem.
Einige wollen aber direkte die externe IP, da deren Router nicht störungsfrei funktionieren.
Ich suche also eine Möglichkeite (Firewall, oder Linux-Kiste mit Firewall) welches wie folgt funktionieren.
Das Geräte hat 2 Netzwerkkarte (LAN und WAN).
An WAN ist der Router des Providers angeschlossen. An LAN ein Switch mit VLAN Fähigkeiten.
Eingehende Datenpackete an feste IP x werden ohne routen direkt auf der LAN-Seite ausgegeben und das VLAN Tag x hinzugefügt.
Dabei wird der Port anhand einer Liste von freigeben Ports überprüft und das Paket ggf gelöscht.
Ausgehende Datenpakete werden auf der LAN-Seite angenommen und auf der WAN-Seite ausgebene.
Dabei wird geprüft ob VLAN-ID und feste IP zusammenpast und dass der Zielport erlaubt ist.
Zusätzlich wird die maximale Bandbreite festgelegt.
Also quasi ein transparenter Paketfilter.
Natürlich könnte ich den Kundenrouter direkt anschliessen.
Dann kann ich aber nicht verhindern, dass er zeitweise für illegale Zwecke eine andere feste IP konfiguriert (weiterzählen ist ja nicht so schwer). Auch darf der Kunden über diese IP nur VPN nutzen. Kein surfen ist erlaubt. und ein Bandbreitenmanagement ist auch nicht möglich.
Jemand eine Idee?
Danke
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202175
Url: https://administrator.de/forum/firewall-gesucht-die-als-transparenter-paketfilter-vlan-makierer-und-bandbreitenmanagement-fungiert-202175.html
Ausgedruckt am: 15.04.2025 um 20:04 Uhr
11 Kommentare
Neuester Kommentar
Hi Stefan,
hast Du Dir mal die pfSense genauer angeschaut.
Das Teil auf einem PC laufen lassen, jederzeit erweiterbar.
Ist natürlich mit einem ganz schönen Aufwand verbunden, das dann nach Deinen Gesichtspunkten zurecht zu biegen, sollte aber machbar sein.
Gruß orcape
hast Du Dir mal die pfSense genauer angeschaut.
Das Teil auf einem PC laufen lassen, jederzeit erweiterbar.
Ist natürlich mit einem ganz schönen Aufwand verbunden, das dann nach Deinen Gesichtspunkten zurecht zu biegen, sollte aber machbar sein.
Gruß orcape
Das Konzept hört sich etwas nach Frickelei an und sollte man auch nicht so machen.
Wenn er ein Kontingent an festen öffentlichen IPs hat fasst man die in ein Subnetz zusammen und hängt das an einen freine Port des Routers oder Firewall.
In diesem Subnetz hängt man die Kundenrouter oder FWs ein für die die eine feste IP benötigen. Deren lokales LAN verteilt man dann mit einem VLAN Switch.
Kunden die keine feste IP brauchen kann man über ein normales Office Netz und NAT abfackeln.
So würde man das pragmatisch lösen ohne komplizierte Konfiguration und einfach zu handeln für den Bürodienstleister.
Ansonsten kann die FW von oben das was du willst:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
aber auch jegliche andere Firewall am Markt.
Wenn er ein Kontingent an festen öffentlichen IPs hat fasst man die in ein Subnetz zusammen und hängt das an einen freine Port des Routers oder Firewall.
In diesem Subnetz hängt man die Kundenrouter oder FWs ein für die die eine feste IP benötigen. Deren lokales LAN verteilt man dann mit einem VLAN Switch.
Kunden die keine feste IP brauchen kann man über ein normales Office Netz und NAT abfackeln.
So würde man das pragmatisch lösen ohne komplizierte Konfiguration und einfach zu handeln für den Bürodienstleister.
Ansonsten kann die FW von oben das was du willst:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
aber auch jegliche andere Firewall am Markt.
Moin,
wenn man "Handarbeit" mag würde ich einfach eine standad-linux-Installation nehmen (debian oder ubuntu-lts server).
Da kann man das bridging zwischen den Netzwerken einschalten und auch VLANs konfigurieren.
Durch Iptables kann man dann den Datenverkehr sehr granular regeln.
Howtos für die einzelnen punkte gibt es genügend im Netz. Sollte nicht schwer sein, ist aber bei guter Planung auch nicht wartungsintensiver als Kauflösungen. Nur beim Aufsetzen kostet es etwas mehr (Zeit-)Aufwand.
lks
wenn man "Handarbeit" mag würde ich einfach eine standad-linux-Installation nehmen (debian oder ubuntu-lts server).
Da kann man das bridging zwischen den Netzwerken einschalten und auch VLANs konfigurieren.
Durch Iptables kann man dann den Datenverkehr sehr granular regeln.
Howtos für die einzelnen punkte gibt es genügend im Netz. Sollte nicht schwer sein, ist aber bei guter Planung auch nicht wartungsintensiver als Kauflösungen. Nur beim Aufsetzen kostet es etwas mehr (Zeit-)Aufwand.
lks
sofern der Paketfilter nicht stateful arbeiten muss und die Bandbreiten fest zugewiesen werden, sollten sich diese Anforderungen auch von vielen Switches erfüllen lassen. Ich denke da z.B. an die 3000er und 4000er von ZyXEL. Möglicherweise wären auch die 2200er geeignet - müsste ich testen. Voraussetzung wäre natürlich, dass am Modem direkt Ethernet mit einem IP-Netz "herausfällt" - keine ppp(oE)-Einwahl. Aber das ist bei SDSL idR gegeben.
Moin,
Stimmt. So wie der TO geschildert hat, ist das sogar noch einfacher. Aber warum einfach, wenns auch kompliziert geht.
lks
Stimmt. So wie der TO geschildert hat, ist das sogar noch einfacher. Aber warum einfach, wenns auch kompliziert geht.
lks
Ich verstehe nicht, wo das Problem ist:
Den Filter "Incoming von vlan30 nur IP 1.2.3.18 zulassen" kann auch jede Firewall...
1
2
3
2
3
1.2.3.0/24 1.2.3.18
Internet ----- Gateprotect ------[1.2.3.16/30]------ Kunden-Router ----[192.168.1.0/24]---- Kunden-LAN
1.2.3.17 vlan30 192.168.1.1Den Filter "Incoming von vlan30 nur IP 1.2.3.18 zulassen" kann auch jede Firewall...
Zitat von @dog:
Ich verstehe nicht, wo das Problem ist:
Den Filter "Incoming von vlan30 nur IP 1.2.3.18 zulassen" kann auch jede Firewall...
Ich verstehe nicht, wo das Problem ist:
1
2
3
4
2
3
4
> 1.2.3.0/24 1.2.3.18
> Internet ----- Gateprotect ------[1.2.3.16/30]------ Kunden-Router ----[192.168.1.0/24]---- Kunden-LAN
> 1.2.3.17 vlan30 192.168.1.1
> Den Filter "Incoming von vlan30 nur IP 1.2.3.18 zulassen" kann auch jede Firewall...
Er will kein Routing sondern eine Bridge. Und offensichtlich kann seine FW keine Bridge spielen zumidenst habe ich das so verstanden. kann natürlich sein, daß die gateprotect das schon kann und er nur nciht den richtigen Knopf nicht gefunden hat. Dazu kenne ich die Gateprotec zu wenig.
lks
Zitat von @dog:
Ich verstehe nicht, wo das Problem ist:
...
Den Filter "Incoming von vlan30 nur IP 1.2.3.18 zulassen" kann auch jede Firewall...
Ich verstehe nicht, wo das Problem ist:
...
Den Filter "Incoming von vlan30 nur IP 1.2.3.18 zulassen" kann auch jede Firewall...
Ich kenne die Gateprotect leider nur vom Namen. Bei vielen Firewalls ergibt sich jedoch folgende Problematik: Er muss ja sein outside-Netz mit den VLANs der Kunden bridgen. In diesem Fall ist es eben häufig so, dass er dann nur noch das neue Bridge-Interface als Filterkriterium zur Verfügung hat - nicht aber die einzelnen VLANs/Bridgeports. Er will aber verhindern, dass sich Kunden eine andere IP des öff. Netzes nehmen. Möglicherweise kann er diese Policy auf dem vorhandenen Switch durchsetzen (nennt sich meist IP-Source-Guard).
Eigentlich will er eine Lösung für das Problem:
Und da ist nunmal Routing das Mittel der Wahl.
So wie ich das verstanden habe hat er eher für jeden Kunden ein VLAN und die Gateprotect spielt Multi-Tenant NAT-Router (so ein Setup habe ich mit einem MT auch, wo sich mehrere "Kunden" einen Internetanschluss teilen), jetzt wollen aber ein paar Kunden selbst das NAT übernehmen.
Einige wollen aber direkte die externe IP, da deren Router nicht störungsfrei funktionieren.
[...]
Natürlich könnte ich den Kundenrouter direkt anschliessen.
Dann kann ich aber nicht verhindern, dass er zeitweise für illegale Zwecke eine andere feste IP konfiguriert (weiterzählen ist ja nicht so schwer). Auch darf der Kunden über diese IP nur VPN nutzen. Kein surfen ist erlaubt. und ein Bandbreitenmanagement ist auch nicht möglich.
[...]
Natürlich könnte ich den Kundenrouter direkt anschliessen.
Dann kann ich aber nicht verhindern, dass er zeitweise für illegale Zwecke eine andere feste IP konfiguriert (weiterzählen ist ja nicht so schwer). Auch darf der Kunden über diese IP nur VPN nutzen. Kein surfen ist erlaubt. und ein Bandbreitenmanagement ist auch nicht möglich.
Und da ist nunmal Routing das Mittel der Wahl.
Er muss ja sein outside-Netz mit den VLANs der Kunden bridgen
So wie ich das verstanden habe hat er eher für jeden Kunden ein VLAN und die Gateprotect spielt Multi-Tenant NAT-Router (so ein Setup habe ich mit einem MT auch, wo sich mehrere "Kunden" einen Internetanschluss teilen), jetzt wollen aber ein paar Kunden selbst das NAT übernehmen.
Zitat von @dog:
So wie ich das verstanden habe hat er eher für jeden Kunden ein VLAN und die Gateprotect spielt Multi-Tenant NAT-Router (so
ein Setup habe ich mit einem MT auch, wo sich mehrere "Kunden" einen Internetanschluss teilen), jetzt wollen aber ein
paar Kunden selbst das NAT übernehmen.
So wie ich das verstanden habe hat er eher für jeden Kunden ein VLAN und die Gateprotect spielt Multi-Tenant NAT-Router (so
ein Setup habe ich mit einem MT auch, wo sich mehrere "Kunden" einen Internetanschluss teilen), jetzt wollen aber ein
paar Kunden selbst das NAT übernehmen.
Ja so verstehe ich das auch. Und er will sicherstellen, dass diejenigen, denen er eine öff. IP-Adresse zuweist, nur diese verwenden können.
Blankes Routing ist m.E. jedoch nicht die Lösung, da er scheinbar kein separat geroutetes öff. IP-Netz hat (sprich - da ist kein Transfernetz zwischen seiner Firewall und dem Provider, sondern das Netz liegt outside an). M.E. muss er dann inside bzw. Kunden-VLANs und outside bridgen oder wie würdest Du das mit Mikrotik lösen?
Zum Kunden hin könnte man ja mit point-to-point-Adressierung (/32) arbeiten. Insbesondere ein PPPoE-Server würde sich zum Kunden hin anbieten.
Gruß
sk
(sprich - da ist kein Transfernetz zwischen seiner Firewall und dem Provider, sondern das Netz liegt outside an)
Das ist unüblich, aber ja, der Fall wäre problematisch.
Da müsste man wahrscheinlich tatsächlich eine Bridge machen. Bei Mikrotik hat man dann ja immernoch die Bridge Firewall oder kann die IP Firewall für den Bridged Traffic aktivieren.
PPPoE bietet sich an, um IPs von Transfernetzen zu sparen (wobei zumindest MT untereinander kein Problem damit hat, auch auf normalem Ethernet /32 zu benutzen), setzt aber auch erstmal voraus, dass die IPs auf die Firewall geroutet sind.
