Internetverkehr über VLAN separiert durchs LAN an die Firewall führen
Hallo
Ich darf gerade zentrale Vorgaben der Konzernmutter zum Thema Netzwerkharmonisierung umsetzen.
Jetzt wird mir da folgendes zum Thema Internetanbindung empfohlen:
Das Kundeninterface des Routers des Inetproviders soll direkt auf einen LAN Switch geführt werden, separiert durch ein eigenes, nicht geroutetes, VLAN.
Das outside Interface der Firewall hängt wiederum an einem anderen LAN Switch aber im selben VLAN, zwischen den Switches besteht natürlich ein Trunk (Ciscosprech).
Das inside Interface residiert in einem anderen VLAN.
Vorteil der Lösung soll sein, dass ich flexibel mit der Positionierung der Firewall bin, es heißt ich könnte die ja dann überall bei mir ins Netzwerk stellen.
Der Internettraffic ist vom Rest ja durch ein VLAN getrennt. Das sei gängiges Netzwerkdesign.
Wie seht ihr das?
Wird das bei euch auch so gehandhabt?
Ich darf gerade zentrale Vorgaben der Konzernmutter zum Thema Netzwerkharmonisierung umsetzen.
Jetzt wird mir da folgendes zum Thema Internetanbindung empfohlen:
Das Kundeninterface des Routers des Inetproviders soll direkt auf einen LAN Switch geführt werden, separiert durch ein eigenes, nicht geroutetes, VLAN.
Das outside Interface der Firewall hängt wiederum an einem anderen LAN Switch aber im selben VLAN, zwischen den Switches besteht natürlich ein Trunk (Ciscosprech).
Das inside Interface residiert in einem anderen VLAN.
Vorteil der Lösung soll sein, dass ich flexibel mit der Positionierung der Firewall bin, es heißt ich könnte die ja dann überall bei mir ins Netzwerk stellen.
Der Internettraffic ist vom Rest ja durch ein VLAN getrennt. Das sei gängiges Netzwerkdesign.
Wie seht ihr das?
Wird das bei euch auch so gehandhabt?
Antworten
- Mehr
Auf Facebook teilen
Auf Twitter teilen9 Antworten
- LÖSUNG NetzwerkDude schreibt am 22.03.2016 um 14:48:43 Uhr
- LÖSUNG HerrHemul schreibt am 22.03.2016 um 14:54:40 Uhr
- LÖSUNG BernhardMeierrose schreibt am 22.03.2016 um 15:01:46 Uhr
- LÖSUNG aqui schreibt am 23.03.2016 um 08:58:23 Uhr
- LÖSUNG NetzwerkDude schreibt am 23.03.2016 um 11:11:37 Uhr
- LÖSUNG aqui schreibt am 23.03.2016 um 12:14:14 Uhr
- LÖSUNG HerrHemul schreibt am 24.03.2016 um 15:12:59 Uhr
- LÖSUNG Reini82 schreibt am 24.03.2016 um 15:39:54 Uhr
- LÖSUNG aqui schreibt am 24.03.2016 um 17:38:26 Uhr
- LÖSUNG Reini82 schreibt am 24.03.2016 um 15:39:54 Uhr
- LÖSUNG HerrHemul schreibt am 24.03.2016 um 15:12:59 Uhr
- LÖSUNG aqui schreibt am 23.03.2016 um 12:14:14 Uhr
- LÖSUNG NetzwerkDude schreibt am 23.03.2016 um 11:11:37 Uhr
- LÖSUNG aqui schreibt am 23.03.2016 um 08:58:23 Uhr
LÖSUNG 22.03.2016 um 14:48 Uhr
Erinnert mich an diese Frage hier:
https://www.administrator.de/forum/wan-lan-vlan-durchschleifen-sicher-es ...
Da war das Feedback auch nicht so begeistert.
Grundsätzlich würde ich würde es in die Kategorie "unnötig kompliziert" stecken. Und alles was unnötig kompliziert ist, kann lücken enthalten die übersehen werden. Weil eines Tages steckt man versehentlich ein Ethernet Kabel an den falschen Port/VLAN und schon hat man irgend ne blödsinnige konfiguration wo im vlan "vor der firewall" clients sind oder sonstwas.
Ich bekomme Zahnschmerzen bei WAN Traffic per VLAN zu "trennen" - irgendwie "fühlt" es sich einfach unsicher an - wobei ich nicht mit dem finger zeigen könnte wo das problem wäre
https://www.administrator.de/forum/wan-lan-vlan-durchschleifen-sicher-es ...
Da war das Feedback auch nicht so begeistert.
Grundsätzlich würde ich würde es in die Kategorie "unnötig kompliziert" stecken. Und alles was unnötig kompliziert ist, kann lücken enthalten die übersehen werden. Weil eines Tages steckt man versehentlich ein Ethernet Kabel an den falschen Port/VLAN und schon hat man irgend ne blödsinnige konfiguration wo im vlan "vor der firewall" clients sind oder sonstwas.
Ich bekomme Zahnschmerzen bei WAN Traffic per VLAN zu "trennen" - irgendwie "fühlt" es sich einfach unsicher an - wobei ich nicht mit dem finger zeigen könnte wo das problem wäre
LÖSUNG 22.03.2016, aktualisiert um 14:54 Uhr
Das ist eben genau mein Problem.
Ich fühl mich ja schon schmutzig wenn ich nur dran denke das so umzusetzen
Was mich aber wirklich irritiert ist dieses "das ist gängiges Netzwerkdesign". Ich hab ja mittlerweile auch schon ein bisschen was an Netzwerken gesehen aber so ein Konstrukt ist mir noch nicht untergekommen. Darum wollte ich mal hier nachfragen.
Wenn hier jetzt 10 Leute kommen und sagen: Kein Ding, machen wir auch so.
Dann wird am Spruch "gängiges Netzwerkdesign" wenigstens was dran sein, schmutzig hin oder her
Ich fühl mich ja schon schmutzig wenn ich nur dran denke das so umzusetzen
Was mich aber wirklich irritiert ist dieses "das ist gängiges Netzwerkdesign". Ich hab ja mittlerweile auch schon ein bisschen was an Netzwerken gesehen aber so ein Konstrukt ist mir noch nicht untergekommen. Darum wollte ich mal hier nachfragen.
Wenn hier jetzt 10 Leute kommen und sagen: Kein Ding, machen wir auch so.
Dann wird am Spruch "gängiges Netzwerkdesign" wenigstens was dran sein, schmutzig hin oder her
LÖSUNG 22.03.2016 um 15:01 Uhr
Moin,
wenn es keine wirkliche Notwendigkeit für das VLAN-Konstrukt gibt, würde ich es eher auf klassische Methode machen (WAN-Router direkt an Firewall)
Aber es kann durchaus Konstellationen geben, wo man das über in VLAN löst, z.B. bei virtualisierter Firewall, Entfernung des WAN-Routers zum Serverschrank oder mehreren WAN-Routern auf einen Port der FW legen.
Aber wie schon der Netzwerkdude korrekt schrieb: nicht unnötig verkomplizieren..
Gruß
Bernhard
wenn es keine wirkliche Notwendigkeit für das VLAN-Konstrukt gibt, würde ich es eher auf klassische Methode machen (WAN-Router direkt an Firewall)
Aber es kann durchaus Konstellationen geben, wo man das über in VLAN löst, z.B. bei virtualisierter Firewall, Entfernung des WAN-Routers zum Serverschrank oder mehreren WAN-Routern auf einen Port der FW legen.
Aber wie schon der Netzwerkdude korrekt schrieb: nicht unnötig verkomplizieren..
Gruß
Bernhard
LÖSUNG 23.03.2016 um 08:58 Uhr
Ist ja ein lächerliches VLAN Konzept und in 5 Minuten umgesetzt. Eigentlich kein Thema für einen Thread in einem Administrator Forum 
Guckst du hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
So hat es wohl jeder Netzwerk Admin gelöst...
Guckst du hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
So hat es wohl jeder Netzwerk Admin gelöst...
LÖSUNG 23.03.2016 um 11:11 Uhr
Naja, wobei bei deinem Link alle szenarien es ganz klassich machen mit Firewall direkt am WAN
der Threadersteller würde jedoch das WAN über ein eigenes VLAN erstmal über ein paar switche jagen bis es an der Firewall hängen würde
Oder übersehe ich dieses Szenario in deinenem Link?
der Threadersteller würde jedoch das WAN über ein eigenes VLAN erstmal über ein paar switche jagen bis es an der Firewall hängen würde
Oder übersehe ich dieses Szenario in deinenem Link?
LÖSUNG 23.03.2016 um 12:14 Uhr
Nein da hast du Recht. Das Tutorial geht da schon weiter.
Für den TO ist es ja ein Kinderspiel, denn er spannt ein banales L2 VLAN auf und transportiert sein Netz darüber..fertig.
Über solche simplen Dinge wie VLANs auf Switches einrichten muss man in einem Administrator Forum sicher keine Tutorials schreiben
Für den TO ist es ja ein Kinderspiel, denn er spannt ein banales L2 VLAN auf und transportiert sein Netz darüber..fertig.
Über solche simplen Dinge wie VLANs auf Switches einrichten muss man in einem Administrator Forum sicher keine Tutorials schreiben
LÖSUNG 24.03.2016 um 15:12 Uhr
Mir geht es nicht um ein Tutorial wie man VLANs auf Switches einrichtet und dazwischen routet, das krieg ich schon hin
Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen um dann den Internettraffic in einem separaten VLAN zur Firewall zu führen. Bisher bin ich nämlich noch nirgends auf ein White Paper gestoßen in dem ein solches vorgehen empfohlen wird.
Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen um dann den Internettraffic in einem separaten VLAN zur Firewall zu führen. Bisher bin ich nämlich noch nirgends auf ein White Paper gestoßen in dem ein solches vorgehen empfohlen wird.
LÖSUNG 24.03.2016 um 15:39 Uhr
Generell würde ich das WAN vom internen Netz nur über physikalisch getrennte Interfaces verteilen und nicht via VLAN im hauseigenen Netz mit anschließen. VLAN sind nur vom Switch getrennte Bereiche sind aber keine Sicherheitsbereiche. Für sowas brauchst minimum einen Router um dein interenes Netz halbwegs zu schützen.
Wenn man es via VLAN an die Firewall bringt und nur einen Switch falsch parametriert hängt u.U. sofort ein Server am WAN alleine das wäre mir schon zu kritisch
Gruß
Wenn man es via VLAN an die Firewall bringt und nur einen Switch falsch parametriert hängt u.U. sofort ein Server am WAN alleine das wäre mir schon zu kritisch
Gruß
LÖSUNG 24.03.2016, aktualisiert um 17:40 Uhr
Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen
Das ist einen Frage die in erheblichen Maße abhängig ist von bestehenden (oder nicht bestehenden) Sicherheits Policies in einer Firma oder Unternehmen.Ein Punkt den du hier völlig außer Acht lässt bzw. uns nicht mitteilst in so fern kannst du dir sicher selber denken das eine zielführende Antwort eher in Raterei ausartet, da man diese relevanten Fakten alle nicht kennt um objektiv zu sein !
Das es technisch eine Lachnummer ist sowas zu realisieren steht außer Frage. Die Frage nach einem Whitepaper dafür ist also recht sinnfrei, denn ausschlaggebend sind hier Softfacts.
Klar besteht immer die erhebliche Gefahr das einer was falsch steckt und dann nimmt das Unglück seinen Lauf. Von der Abhängigkeit von STP oder RSTP Prozessen im Redundanzfall und anderem mal nicht zu reden, da eher sekundär.
Die Frage ist aber welche Option du noch hast ?? Dediziertes Kabel ziehen oder patchen...wäre ja sinnvoller aber ggf. nicht machbar.
Hier musst du also abwägen nach Nutzen und Gefahr. Sowas kann man als Externer in einem Forum doch gar nicht leisten ohne interne Details...
