FortiGate 50D - VLANS
Guten Morgen
Ich habe eine Frage zu VLANS.
In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
Das erste VLAN wäre für die Abteilung Geschäftsleitung 192.168.136.0/24 das zweite VLAN für die Abteilung Buchhaltung 192.168.137.0/24.
Die Abteilung Geschäftsleitung soll auf die Abteilung Buchhaltung Zugriff haben, jedoch soll die Buchhaltung keinen Zugriff auf die Abteilung Geschäftsleitung haben.
VLAN1
Gateway IP 192.168.136.254 / 255.255.255.0
Clients bekommen IP Adressen aus dem Bereich 192.168.136.100 - 192.168.136.200 / 255.255.255.0
VLAN2
Gateway IP 192.168.137.254 / 255.255.255.0
Clients bekommen die IP Adressen aus dem Bereich 192.168.137.100 - 192.168.137.150 / 255.255.255.0
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.
Wie muss ich hier vorgehen?
Schon einmal vielen Dank für eure Zeit und Antworten!
FG TechNike
Ich habe eine Frage zu VLANS.
In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
Das erste VLAN wäre für die Abteilung Geschäftsleitung 192.168.136.0/24 das zweite VLAN für die Abteilung Buchhaltung 192.168.137.0/24.
Die Abteilung Geschäftsleitung soll auf die Abteilung Buchhaltung Zugriff haben, jedoch soll die Buchhaltung keinen Zugriff auf die Abteilung Geschäftsleitung haben.
VLAN1
Gateway IP 192.168.136.254 / 255.255.255.0
Clients bekommen IP Adressen aus dem Bereich 192.168.136.100 - 192.168.136.200 / 255.255.255.0
VLAN2
Gateway IP 192.168.137.254 / 255.255.255.0
Clients bekommen die IP Adressen aus dem Bereich 192.168.137.100 - 192.168.137.150 / 255.255.255.0
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.
Wie muss ich hier vorgehen?
Schon einmal vielen Dank für eure Zeit und Antworten!
FG TechNike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372419
Url: https://administrator.de/contentid/372419
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
7 Kommentare
Neuester Kommentar
Hi
Was meinst du mit "Zugriff"?
Sollte es Zugriff auf definierten Protokollen geben sprich TCP ICMP [von A nach B aber nicht von B nach A] usw. dann gibt es eine bestimmte VLAN Access-List - Stichwort "reflexive" Siehe hier. Wie die Sache bei Fortigate aussieht weiß ich leider nicht.
In diesem Fall hast du einfach mehr Zeilen in der ACL und muss halt die gewünschten Protokolle einzeln setzen.
Eine fertige Konfiguration wirst du mit hoher Wahrscheinlichkeit nicht von uns bekommen können. Außerdem bist du ja in der Ausbildung & sollst im Optimalfall auch noch was dabei lernen - das klappt aber nicht wenn wir dir hier eine Komplettanleitung schreiben.
Gerne - präzisiere die aufkommenden Fragen einfach genau - dann bekommst du auch wirklich Hilfe.
Hier noch bisschen Lektüre:
VLAN Grundlagen
Fortigate VLAN Configuration
LG Yannosch
Zitat von @TechNike:
Guten Morgen
Ich habe eine Frage zu VLANS.
In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
Das erste VLAN wäre für die Abteilung Geschäftsleitung 192.168.136.0/24 das zweite VLAN für die Abteilung Buchhaltung 192.168.137.0/24.
Die Abteilung Geschäftsleitung soll auf die Abteilung Buchhaltung Zugriff haben, jedoch soll die Buchhaltung keinen Zugriff auf die Abteilung Geschäftsleitung haben.
Guten Morgen
Ich habe eine Frage zu VLANS.
In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
Das erste VLAN wäre für die Abteilung Geschäftsleitung 192.168.136.0/24 das zweite VLAN für die Abteilung Buchhaltung 192.168.137.0/24.
Die Abteilung Geschäftsleitung soll auf die Abteilung Buchhaltung Zugriff haben, jedoch soll die Buchhaltung keinen Zugriff auf die Abteilung Geschäftsleitung haben.
Was meinst du mit "Zugriff"?
Sollte es Zugriff auf definierten Protokollen geben sprich TCP ICMP [von A nach B aber nicht von B nach A] usw. dann gibt es eine bestimmte VLAN Access-List - Stichwort "reflexive" Siehe hier. Wie die Sache bei Fortigate aussieht weiß ich leider nicht.
In diesem Fall hast du einfach mehr Zeilen in der ACL und muss halt die gewünschten Protokolle einzeln setzen.
VLAN1
Gateway IP 192.168.136.254 / 255.255.255.0
Clients bekommen IP Adressen aus dem Bereich 192.168.136.100 - 192.168.136.200 / 255.255.255.0
VLAN2
Gateway IP 192.168.137.254 / 255.255.255.0
Clients bekommen die IP Adressen aus dem Bereich 192.168.137.100 - 192.168.137.150 / 255.255.255.0
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.
Wie muss ich hier vorgehen?
Gateway IP 192.168.136.254 / 255.255.255.0
Clients bekommen IP Adressen aus dem Bereich 192.168.136.100 - 192.168.136.200 / 255.255.255.0
VLAN2
Gateway IP 192.168.137.254 / 255.255.255.0
Clients bekommen die IP Adressen aus dem Bereich 192.168.137.100 - 192.168.137.150 / 255.255.255.0
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.
Wie muss ich hier vorgehen?
Eine fertige Konfiguration wirst du mit hoher Wahrscheinlichkeit nicht von uns bekommen können. Außerdem bist du ja in der Ausbildung & sollst im Optimalfall auch noch was dabei lernen - das klappt aber nicht wenn wir dir hier eine Komplettanleitung schreiben.
Schon einmal vielen Dank für eure Zeit und Antworten!
Gerne - präzisiere die aufkommenden Fragen einfach genau - dann bekommst du auch wirklich Hilfe.
Hier noch bisschen Lektüre:
VLAN Grundlagen
Fortigate VLAN Configuration
FG TechNike
LG Yannosch
Yannosch hat ja schon alles gesagt.
ABER weil Freitag is:
File Server aus dem Finanz Vlan entfernen und ein drittes"Server Vlan" stellen.
Über System und Datei Berechtigungen sicherstellen das die Buchungsleute nur auf ihren Kram kommen
und die Geschäftsleitung auf alles.
Geschäftsleitung darüber informieren das die Server Landschaft auf Grund
der besseren Ausnutzung der vorhandenen Ressourcen Zentral zu Verfügung gestellt werden,
und die 80er angerufen haben und ihre "das ist aber mein Abteilungsserver" zurückgaben wollten.
Dazu noch das "gesparte" Angebot über die nicht benötigte Firewall und zusätzliche Server.
Dazu noch der Dezente hinweis das der Laden wohl mehr hat als die Chefetage und die Buchhaltung
und noch alle anderen auch ihren Kram dort ablegen (bis auf der alte Huber der seit 15 Jahren die gleiche
Diskette benutzt und schon das 5 USB Diskettenlaufwerk durch hat)
Danach Kuchen bei den Mädels aus der Buchhaltung abholen die sich feiern weil der
Laute Server endlich aus dem Büro geflogen ist.
Nicht Unbedingt die Antwort die dein Ausbilder / Lehrer hören will .....
ABER weil Freitag is:
In diesem Netz gibt es ein Dateiserver mit der IP Adresse 192.168.137.10 dieser soll für die Geschäftsleitung zur Verfügung stehen.
File Server aus dem Finanz Vlan entfernen und ein drittes"Server Vlan" stellen.
Über System und Datei Berechtigungen sicherstellen das die Buchungsleute nur auf ihren Kram kommen
und die Geschäftsleitung auf alles.
Geschäftsleitung darüber informieren das die Server Landschaft auf Grund
der besseren Ausnutzung der vorhandenen Ressourcen Zentral zu Verfügung gestellt werden,
und die 80er angerufen haben und ihre "das ist aber mein Abteilungsserver" zurückgaben wollten.
Dazu noch das "gesparte" Angebot über die nicht benötigte Firewall und zusätzliche Server.
Dazu noch der Dezente hinweis das der Laden wohl mehr hat als die Chefetage und die Buchhaltung
und noch alle anderen auch ihren Kram dort ablegen (bis auf der alte Huber der seit 15 Jahren die gleiche
Diskette benutzt und schon das 5 USB Diskettenlaufwerk durch hat)
Danach Kuchen bei den Mädels aus der Buchhaltung abholen die sich feiern weil der
Laute Server endlich aus dem Büro geflogen ist.
Nicht Unbedingt die Antwort die dein Ausbilder / Lehrer hören will .....
Weitere Grundlagen vermittelt auch dieses Forums Tutorial zum Thema:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Vorgehensweise ist kinderleicht.
Weil heute ja Freitag und unser Hausaufgaben Lösungstag ist, hier mal die groben und immer gleichen ToDos. Das o.a. Tutorial deckt aber auch diverse HW Produkte und die Kommando Syntax dazu ab.
Auf die Regeln sind sehr einfach da du ja nur 2 IP Netze hast.
1.) FW Regel auf dem Buchhaltungs Interface VLAN2:
ALLOW 192.168.137.0 /24, SourcePort: any, ==> 192.168.136.0 /24, DestPort: any EQ: Established
DENY any any
2.) FW Regel auf dem Geschäftsführungs Interface VLAN1:
ALLOW 192.168.136.0 /24, SourcePort: any, DestPort: any, ==> ANY
Fertig ist der Lack !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Vorgehensweise ist kinderleicht.
Weil heute ja Freitag und unser Hausaufgaben Lösungstag ist, hier mal die groben und immer gleichen ToDos. Das o.a. Tutorial deckt aber auch diverse HW Produkte und die Kommando Syntax dazu ab.
- VLANs auf dem VLAN Switch einrichten
- Den VLANs Untagged Ports für Endgeräte zuweisen
- Einen Switchport beiden VLANs Tagged (802.1q) zuweisen. Dieser Port endet auf einer Firewall z.B. pfSense oder deiner FortiGate.
- Die Firewall ebenso mit einem 802.1q VLAN tagged Uplink einrichten und damit zwei Layer 3 FW Interfaces erzeugen (Siehe o.a. VLAN Tutorial)
- Auf diesen VLAN Interfaces die folgenden FW Regeln einrichten.
Auf die Regeln sind sehr einfach da du ja nur 2 IP Netze hast.
1.) FW Regel auf dem Buchhaltungs Interface VLAN2:
ALLOW 192.168.137.0 /24, SourcePort: any, ==> 192.168.136.0 /24, DestPort: any EQ: Established
DENY any any
2.) FW Regel auf dem Geschäftsführungs Interface VLAN1:
ALLOW 192.168.136.0 /24, SourcePort: any, DestPort: any, ==> ANY
Fertig ist der Lack !
Zitat von @TechNike:
In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
In diesem Zusammenhang hat die Fortigate ein schönes Feature das da VDOM heißt, damit macht man quasi aus einer Fortigate zwei oder drei oder vier oder...In unserer Ausbildung arbeiten wir gerade mit Firewalls und müssen aus einem Netzt zwei machen.
Das heisst es soll zwei Abteilungen geben.
/Thomas
Ist dann sowas wie VRF auf einem Router oder L3 Switch
Das ist aber für den TO mit Kanonen auf Spatzen.
Er braucht lediglich einen simplen Tagged Uplink auf der FortiGate zum VLAN Switch was die ja mit links und ein paar Mausklicks im GUI kann:
http://kb.fortinet.com/kb/viewContent.do?externalId=FD30883
Das ist aber für den TO mit Kanonen auf Spatzen.
Er braucht lediglich einen simplen Tagged Uplink auf der FortiGate zum VLAN Switch was die ja mit links und ein paar Mausklicks im GUI kann:
http://kb.fortinet.com/kb/viewContent.do?externalId=FD30883
Ja klar, aber gerade in der Ausbildung ist es doch immer mal gut über den Tellerrand hinauszuschauen udn zu sehen was es noch so gibt.
Vielleicht braucht man so ein Feature ja im späteren Berufsleben mal.
/Thomas
Vielleicht braucht man so ein Feature ja im späteren Berufsleben mal.
/Thomas
Dazu muss der Auszubildende aber auch erstmal verstehen was eine Route Domain Virtualisierung ist. Wenn er denn überhaupt schon verstanden hat was Routing und Routing Protokolle sind ?!
Das ist schon ein sehr hohes Niveau für einen Netzwerker und sicher unüblich in einer Ausbildung. An den Freitagsfragen sehen wir hier ja wöchentlich das nichtmal die Ausbilder es richtig verstehen.
Aber generell hast du natürlich absolut Recht. Es schadet nie, wie immer im Leben, mal über den Tellerrand zu sehen.
Das ist schon ein sehr hohes Niveau für einen Netzwerker und sicher unüblich in einer Ausbildung. An den Freitagsfragen sehen wir hier ja wöchentlich das nichtmal die Ausbilder es richtig verstehen.
Aber generell hast du natürlich absolut Recht. Es schadet nie, wie immer im Leben, mal über den Tellerrand zu sehen.