Internetverkehr über VLAN separiert durchs LAN an die Firewall führen

Mitglied: HerrHemul

HerrHemul (Level 1) - Jetzt verbinden

22.03.2016, aktualisiert 14:38 Uhr, 1137 Aufrufe, 9 Kommentare

Hallo

Ich darf gerade zentrale Vorgaben der Konzernmutter zum Thema Netzwerkharmonisierung umsetzen.

Jetzt wird mir da folgendes zum Thema Internetanbindung empfohlen:

Das Kundeninterface des Routers des Inetproviders soll direkt auf einen LAN Switch geführt werden, separiert durch ein eigenes, nicht geroutetes, VLAN.
Das outside Interface der Firewall hängt wiederum an einem anderen LAN Switch aber im selben VLAN, zwischen den Switches besteht natürlich ein Trunk (Ciscosprech).
Das inside Interface residiert in einem anderen VLAN.

Vorteil der Lösung soll sein, dass ich flexibel mit der Positionierung der Firewall bin, es heißt ich könnte die ja dann überall bei mir ins Netzwerk stellen.
Der Internettraffic ist vom Rest ja durch ein VLAN getrennt. Das sei gängiges Netzwerkdesign.

Wie seht ihr das?
Wird das bei euch auch so gehandhabt?
Mitglied: NetzwerkDude
LÖSUNG 22.03.2016 um 14:48 Uhr
Erinnert mich an diese Frage hier:
https://www.administrator.de/forum/wan-lan-vlan-durchschleifen-sicher-es ...
Da war das Feedback auch nicht so begeistert.

Grundsätzlich würde ich würde es in die Kategorie "unnötig kompliziert" stecken. Und alles was unnötig kompliziert ist, kann lücken enthalten die übersehen werden. Weil eines Tages steckt man versehentlich ein Ethernet Kabel an den falschen Port/VLAN und schon hat man irgend ne blödsinnige konfiguration wo im vlan "vor der firewall" clients sind oder sonstwas.

Ich bekomme Zahnschmerzen bei WAN Traffic per VLAN zu "trennen" - irgendwie "fühlt" es sich einfach unsicher an - wobei ich nicht mit dem finger zeigen könnte wo das problem wäre
Bitte warten ..
Mitglied: HerrHemul
22.03.2016, aktualisiert um 14:54 Uhr
Das ist eben genau mein Problem.
Ich fühl mich ja schon schmutzig wenn ich nur dran denke das so umzusetzen :) face-smile

Was mich aber wirklich irritiert ist dieses "das ist gängiges Netzwerkdesign". Ich hab ja mittlerweile auch schon ein bisschen was an Netzwerken gesehen aber so ein Konstrukt ist mir noch nicht untergekommen. Darum wollte ich mal hier nachfragen.

Wenn hier jetzt 10 Leute kommen und sagen: Kein Ding, machen wir auch so.
Dann wird am Spruch "gängiges Netzwerkdesign" wenigstens was dran sein, schmutzig hin oder her :) face-smile
Bitte warten ..
Mitglied: BernhardMeierrose
22.03.2016 um 15:01 Uhr
Moin,

wenn es keine wirkliche Notwendigkeit für das VLAN-Konstrukt gibt, würde ich es eher auf klassische Methode machen (WAN-Router direkt an Firewall)
Aber es kann durchaus Konstellationen geben, wo man das über in VLAN löst, z.B. bei virtualisierter Firewall, Entfernung des WAN-Routers zum Serverschrank oder mehreren WAN-Routern auf einen Port der FW legen.
Aber wie schon der Netzwerkdude korrekt schrieb: nicht unnötig verkomplizieren..

Gruß
Bernhard
Bitte warten ..
Mitglied: aqui
23.03.2016 um 08:58 Uhr
Ist ja ein lächerliches VLAN Konzept und in 5 Minuten umgesetzt. Eigentlich kein Thema für einen Thread in einem Administrator Forum :-( face-sad
Guckst du hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
So hat es wohl jeder Netzwerk Admin gelöst...
Bitte warten ..
Mitglied: NetzwerkDude
23.03.2016 um 11:11 Uhr
Naja, wobei bei deinem Link alle szenarien es ganz klassich machen mit Firewall direkt am WAN
der Threadersteller würde jedoch das WAN über ein eigenes VLAN erstmal über ein paar switche jagen bis es an der Firewall hängen würde

Oder übersehe ich dieses Szenario in deinenem Link?
Bitte warten ..
Mitglied: aqui
23.03.2016 um 12:14 Uhr
Nein da hast du Recht. Das Tutorial geht da schon weiter.
Für den TO ist es ja ein Kinderspiel, denn er spannt ein banales L2 VLAN auf und transportiert sein Netz darüber..fertig.
Über solche simplen Dinge wie VLANs auf Switches einrichten muss man in einem Administrator Forum sicher keine Tutorials schreiben ;-) face-wink
Bitte warten ..
Mitglied: HerrHemul
24.03.2016 um 15:12 Uhr
Mir geht es nicht um ein Tutorial wie man VLANs auf Switches einrichtet und dazwischen routet, das krieg ich schon hin :) face-smile

Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen um dann den Internettraffic in einem separaten VLAN zur Firewall zu führen. Bisher bin ich nämlich noch nirgends auf ein White Paper gestoßen in dem ein solches vorgehen empfohlen wird.
Bitte warten ..
Mitglied: Reini82
24.03.2016 um 15:39 Uhr
Generell würde ich das WAN vom internen Netz nur über physikalisch getrennte Interfaces verteilen und nicht via VLAN im hauseigenen Netz mit anschließen. VLAN sind nur vom Switch getrennte Bereiche sind aber keine Sicherheitsbereiche. Für sowas brauchst minimum einen Router um dein interenes Netz halbwegs zu schützen.
Wenn man es via VLAN an die Firewall bringt und nur einen Switch falsch parametriert hängt u.U. sofort ein Server am WAN alleine das wäre mir schon zu kritisch

Gruß
Bitte warten ..
Mitglied: aqui
24.03.2016, aktualisiert um 17:40 Uhr
Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen
Das ist einen Frage die in erheblichen Maße abhängig ist von bestehenden (oder nicht bestehenden) Sicherheits Policies in einer Firma oder Unternehmen.
Ein Punkt den du hier völlig außer Acht lässt bzw. uns nicht mitteilst in so fern kannst du dir sicher selber denken das eine zielführende Antwort eher in Raterei ausartet, da man diese relevanten Fakten alle nicht kennt um objektiv zu sein !

Das es technisch eine Lachnummer ist sowas zu realisieren steht außer Frage. Die Frage nach einem Whitepaper dafür ist also recht sinnfrei, denn ausschlaggebend sind hier Softfacts.
Klar besteht immer die erhebliche Gefahr das einer was falsch steckt und dann nimmt das Unglück seinen Lauf. Von der Abhängigkeit von STP oder RSTP Prozessen im Redundanzfall und anderem mal nicht zu reden, da eher sekundär.
Die Frage ist aber welche Option du noch hast ?? Dediziertes Kabel ziehen oder patchen...wäre ja sinnvoller aber ggf. nicht machbar.
Hier musst du also abwägen nach Nutzen und Gefahr. Sowas kann man als Externer in einem Forum doch gar nicht leisten ohne interne Details...
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 23 StundenFrageFestplatten, SSD, Raid13 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 23 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...