herrhemul
Goto Top

Internetverkehr über VLAN separiert durchs LAN an die Firewall führen

Hallo

Ich darf gerade zentrale Vorgaben der Konzernmutter zum Thema Netzwerkharmonisierung umsetzen.

Jetzt wird mir da folgendes zum Thema Internetanbindung empfohlen:

Das Kundeninterface des Routers des Inetproviders soll direkt auf einen LAN Switch geführt werden, separiert durch ein eigenes, nicht geroutetes, VLAN.
Das outside Interface der Firewall hängt wiederum an einem anderen LAN Switch aber im selben VLAN, zwischen den Switches besteht natürlich ein Trunk (Ciscosprech).
Das inside Interface residiert in einem anderen VLAN.

Vorteil der Lösung soll sein, dass ich flexibel mit der Positionierung der Firewall bin, es heißt ich könnte die ja dann überall bei mir ins Netzwerk stellen.
Der Internettraffic ist vom Rest ja durch ein VLAN getrennt. Das sei gängiges Netzwerkdesign.

Wie seht ihr das?
Wird das bei euch auch so gehandhabt?

Content-Key: 299772

Url: https://administrator.de/contentid/299772

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: NetzwerkDude
Lösung NetzwerkDude 22.03.2016 um 14:48:43 Uhr
Goto Top
Erinnert mich an diese Frage hier:
WAN durch LAN mittels VLAN durchschleifen - wie sicher ist es?
Da war das Feedback auch nicht so begeistert.

Grundsätzlich würde ich würde es in die Kategorie "unnötig kompliziert" stecken. Und alles was unnötig kompliziert ist, kann lücken enthalten die übersehen werden. Weil eines Tages steckt man versehentlich ein Ethernet Kabel an den falschen Port/VLAN und schon hat man irgend ne blödsinnige konfiguration wo im vlan "vor der firewall" clients sind oder sonstwas.

Ich bekomme Zahnschmerzen bei WAN Traffic per VLAN zu "trennen" - irgendwie "fühlt" es sich einfach unsicher an - wobei ich nicht mit dem finger zeigen könnte wo das problem wäre
Mitglied: HerrHemul
HerrHemul 22.03.2016 aktualisiert um 14:54:58 Uhr
Goto Top
Das ist eben genau mein Problem.
Ich fühl mich ja schon schmutzig wenn ich nur dran denke das so umzusetzen face-smile

Was mich aber wirklich irritiert ist dieses "das ist gängiges Netzwerkdesign". Ich hab ja mittlerweile auch schon ein bisschen was an Netzwerken gesehen aber so ein Konstrukt ist mir noch nicht untergekommen. Darum wollte ich mal hier nachfragen.

Wenn hier jetzt 10 Leute kommen und sagen: Kein Ding, machen wir auch so.
Dann wird am Spruch "gängiges Netzwerkdesign" wenigstens was dran sein, schmutzig hin oder her face-smile
Mitglied: BernhardMeierrose
BernhardMeierrose 22.03.2016 um 15:01:46 Uhr
Goto Top
Moin,

wenn es keine wirkliche Notwendigkeit für das VLAN-Konstrukt gibt, würde ich es eher auf klassische Methode machen (WAN-Router direkt an Firewall)
Aber es kann durchaus Konstellationen geben, wo man das über in VLAN löst, z.B. bei virtualisierter Firewall, Entfernung des WAN-Routers zum Serverschrank oder mehreren WAN-Routern auf einen Port der FW legen.
Aber wie schon der Netzwerkdude korrekt schrieb: nicht unnötig verkomplizieren..

Gruß
Bernhard
Mitglied: aqui
aqui 23.03.2016 um 08:58:23 Uhr
Goto Top
Ist ja ein lächerliches VLAN Konzept und in 5 Minuten umgesetzt. Eigentlich kein Thema für einen Thread in einem Administrator Forum face-sad
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
So hat es wohl jeder Netzwerk Admin gelöst...
Mitglied: NetzwerkDude
NetzwerkDude 23.03.2016 um 11:11:37 Uhr
Goto Top
Naja, wobei bei deinem Link alle szenarien es ganz klassich machen mit Firewall direkt am WAN
der Threadersteller würde jedoch das WAN über ein eigenes VLAN erstmal über ein paar switche jagen bis es an der Firewall hängen würde

Oder übersehe ich dieses Szenario in deinenem Link?
Mitglied: aqui
aqui 23.03.2016 um 12:14:14 Uhr
Goto Top
Nein da hast du Recht. Das Tutorial geht da schon weiter.
Für den TO ist es ja ein Kinderspiel, denn er spannt ein banales L2 VLAN auf und transportiert sein Netz darüber..fertig.
Über solche simplen Dinge wie VLANs auf Switches einrichten muss man in einem Administrator Forum sicher keine Tutorials schreiben face-wink
Mitglied: HerrHemul
HerrHemul 24.03.2016 um 15:12:59 Uhr
Goto Top
Mir geht es nicht um ein Tutorial wie man VLANs auf Switches einrichtet und dazwischen routet, das krieg ich schon hin face-smile

Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen um dann den Internettraffic in einem separaten VLAN zur Firewall zu führen. Bisher bin ich nämlich noch nirgends auf ein White Paper gestoßen in dem ein solches vorgehen empfohlen wird.
Mitglied: 90948
90948 24.03.2016 um 15:39:54 Uhr
Goto Top
Generell würde ich das WAN vom internen Netz nur über physikalisch getrennte Interfaces verteilen und nicht via VLAN im hauseigenen Netz mit anschließen. VLAN sind nur vom Switch getrennte Bereiche sind aber keine Sicherheitsbereiche. Für sowas brauchst minimum einen Router um dein interenes Netz halbwegs zu schützen.
Wenn man es via VLAN an die Firewall bringt und nur einen Switch falsch parametriert hängt u.U. sofort ein Server am WAN alleine das wäre mir schon zu kritisch

Gruß
Mitglied: aqui
aqui 24.03.2016 aktualisiert um 17:40:02 Uhr
Goto Top
Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen
Das ist einen Frage die in erheblichen Maße abhängig ist von bestehenden (oder nicht bestehenden) Sicherheits Policies in einer Firma oder Unternehmen.
Ein Punkt den du hier völlig außer Acht lässt bzw. uns nicht mitteilst in so fern kannst du dir sicher selber denken das eine zielführende Antwort eher in Raterei ausartet, da man diese relevanten Fakten alle nicht kennt um objektiv zu sein !

Das es technisch eine Lachnummer ist sowas zu realisieren steht außer Frage. Die Frage nach einem Whitepaper dafür ist also recht sinnfrei, denn ausschlaggebend sind hier Softfacts.
Klar besteht immer die erhebliche Gefahr das einer was falsch steckt und dann nimmt das Unglück seinen Lauf. Von der Abhängigkeit von STP oder RSTP Prozessen im Redundanzfall und anderem mal nicht zu reden, da eher sekundär.
Die Frage ist aber welche Option du noch hast ?? Dediziertes Kabel ziehen oder patchen...wäre ja sinnvoller aber ggf. nicht machbar.
Hier musst du also abwägen nach Nutzen und Gefahr. Sowas kann man als Externer in einem Forum doch gar nicht leisten ohne interne Details...