technike
Goto Top

FortiGate 50D - VLANS

Guten Morgen

Ich habe eine Frage zu VLANS.

In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.

Das erste VLAN wäre für die Abteilung Geschäftsleitung 192.168.136.0/24 das zweite VLAN für die Abteilung Buchhaltung 192.168.137.0/24.
Die Abteilung Geschäftsleitung soll auf die Abteilung Buchhaltung Zugriff haben, jedoch soll die Buchhaltung keinen Zugriff auf die Abteilung Geschäftsleitung haben.

VLAN1
Gateway IP 192.168.136.254 / 255.255.255.0
Clients bekommen IP Adressen aus dem Bereich 192.168.136.100 - 192.168.136.200 / 255.255.255.0

VLAN2
Gateway IP 192.168.137.254 / 255.255.255.0
Clients bekommen die IP Adressen aus dem Bereich 192.168.137.100 - 192.168.137.150 / 255.255.255.0
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.

Wie muss ich hier vorgehen?
Schon einmal vielen Dank für eure Zeit und Antworten!

FG TechNike

Content-ID: 372419

Url: https://administrator.de/contentid/372419

Ausgedruckt am: 23.11.2024 um 15:11 Uhr

Yannosch
Yannosch 27.04.2018 um 09:24:50 Uhr
Goto Top
Hi face-smile

Zitat von @TechNike:

Guten Morgen

Ich habe eine Frage zu VLANS.

In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.

Das erste VLAN wäre für die Abteilung Geschäftsleitung 192.168.136.0/24 das zweite VLAN für die Abteilung Buchhaltung 192.168.137.0/24.
Die Abteilung Geschäftsleitung soll auf die Abteilung Buchhaltung Zugriff haben, jedoch soll die Buchhaltung keinen Zugriff auf die Abteilung Geschäftsleitung haben.

Was meinst du mit "Zugriff"?
Sollte es Zugriff auf definierten Protokollen geben sprich TCP ICMP [von A nach B aber nicht von B nach A] usw. dann gibt es eine bestimmte VLAN Access-List - Stichwort "reflexive" Siehe hier. Wie die Sache bei Fortigate aussieht weiß ich leider nicht.

In diesem Fall hast du einfach mehr Zeilen in der ACL und muss halt die gewünschten Protokolle einzeln setzen.

VLAN1
Gateway IP 192.168.136.254 / 255.255.255.0
Clients bekommen IP Adressen aus dem Bereich 192.168.136.100 - 192.168.136.200 / 255.255.255.0

VLAN2
Gateway IP 192.168.137.254 / 255.255.255.0
Clients bekommen die IP Adressen aus dem Bereich 192.168.137.100 - 192.168.137.150 / 255.255.255.0
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.

Wie muss ich hier vorgehen?

Eine fertige Konfiguration wirst du mit hoher Wahrscheinlichkeit nicht von uns bekommen können. Außerdem bist du ja in der Ausbildung & sollst im Optimalfall auch noch was dabei lernen - das klappt aber nicht wenn wir dir hier eine Komplettanleitung schreiben.

Schon einmal vielen Dank für eure Zeit und Antworten!

Gerne - präzisiere die aufkommenden Fragen einfach genau - dann bekommst du auch wirklich Hilfe.

Hier noch bisschen Lektüre:

VLAN Grundlagen
Fortigate VLAN Configuration


FG TechNike

LG Yannosch
gierig
gierig 27.04.2018 um 10:39:35 Uhr
Goto Top
Yannosch hat ja schon alles gesagt.

ABER weil Freitag is:
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.

File Server aus dem Finanz Vlan entfernen und ein drittes"Server Vlan" stellen.
Über System und Datei Berechtigungen sicherstellen das die Buchungsleute nur auf ihren Kram kommen
und die Geschäftsleitung auf alles.
Geschäftsleitung darüber informieren das die Server Landschaft auf Grund
der besseren Ausnutzung der vorhandenen Ressourcen Zentral zu Verfügung gestellt werden,
und die 80er angerufen haben und ihre "das ist aber mein Abteilungsserver" zurückgaben wollten.
Dazu noch das "gesparte" Angebot über die nicht benötigte Firewall und zusätzliche Server.

Dazu noch der Dezente hinweis das der Laden wohl mehr hat als die Chefetage und die Buchhaltung
und noch alle anderen auch ihren Kram dort ablegen (bis auf der alte Huber der seit 15 Jahren die gleiche
Diskette benutzt und schon das 5 USB Diskettenlaufwerk durch hat)

Danach Kuchen bei den Mädels aus der Buchhaltung abholen die sich feiern weil der
Laute Server endlich aus dem Büro geflogen ist.


Nicht Unbedingt die Antwort die dein Ausbilder / Lehrer hören will .....
aqui
aqui 27.04.2018 aktualisiert um 10:58:12 Uhr
Goto Top
Weitere Grundlagen vermittelt auch dieses Forums Tutorial zum Thema:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Die Vorgehensweise ist kinderleicht.
Weil heute ja Freitag und unser Hausaufgaben Lösungstag ist, hier mal die groben und immer gleichen ToDos. Das o.a. Tutorial deckt aber auch diverse HW Produkte und die Kommando Syntax dazu ab.
  • VLANs auf dem VLAN Switch einrichten
  • Den VLANs Untagged Ports für Endgeräte zuweisen
  • Einen Switchport beiden VLANs Tagged (802.1q) zuweisen. Dieser Port endet auf einer Firewall z.B. pfSense oder deiner FortiGate.
  • Die Firewall ebenso mit einem 802.1q VLAN tagged Uplink einrichten und damit zwei Layer 3 FW Interfaces erzeugen (Siehe o.a. VLAN Tutorial)
  • Auf diesen VLAN Interfaces die folgenden FW Regeln einrichten.

Auf die Regeln sind sehr einfach da du ja nur 2 IP Netze hast.
1.) FW Regel auf dem Buchhaltungs Interface VLAN2:
ALLOW 192.168.137.0 /24, SourcePort: any, ==> 192.168.136.0 /24, DestPort: any EQ: Established
DENY any any


2.) FW Regel auf dem Geschäftsführungs Interface VLAN1:
ALLOW 192.168.136.0 /24, SourcePort: any, DestPort: any, ==> ANY


Fertig ist der Lack !
Th0mKa
Th0mKa 27.04.2018 um 11:51:18 Uhr
Goto Top
Zitat von @TechNike:
In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
In diesem Zusammenhang hat die Fortigate ein schönes Feature das da VDOM heißt, damit macht man quasi aus einer Fortigate zwei oder drei oder vier oder...

/Thomas
aqui
aqui 27.04.2018 aktualisiert um 11:55:21 Uhr
Goto Top
Ist dann sowas wie VRF auf einem Router oder L3 Switch face-wink
Das ist aber für den TO mit Kanonen auf Spatzen.
Er braucht lediglich einen simplen Tagged Uplink auf der FortiGate zum VLAN Switch was die ja mit links und ein paar Mausklicks im GUI kann:
http://kb.fortinet.com/kb/viewContent.do?externalId=FD30883
Th0mKa
Th0mKa 27.04.2018 um 14:15:35 Uhr
Goto Top
Zitat von @aqui:
Das ist aber für den TO mit Kanonen auf Spatzen.
Ja klar, aber gerade in der Ausbildung ist es doch immer mal gut über den Tellerrand hinauszuschauen udn zu sehen was es noch so gibt.
Vielleicht braucht man so ein Feature ja im späteren Berufsleben mal.

/Thomas
aqui
aqui 27.04.2018 um 20:48:31 Uhr
Goto Top
Dazu muss der Auszubildende aber auch erstmal verstehen was eine Route Domain Virtualisierung ist. Wenn er denn überhaupt schon verstanden hat was Routing und Routing Protokolle sind ?!
Das ist schon ein sehr hohes Niveau für einen Netzwerker und sicher unüblich in einer Ausbildung. An den Freitagsfragen sehen wir hier ja wöchentlich das nichtmal die Ausbilder es richtig verstehen. face-wink
Aber generell hast du natürlich absolut Recht. Es schadet nie, wie immer im Leben, mal über den Tellerrand zu sehen.