9
M0n0wall mit Transfernetz, public IP Netz und privaten Netzen
Hallo,
wir haben bei uns einen Provider managed Router zu stehen und dahinter unsere m0n0wall. Der Provider routet über das Transfer 62.x.x.152/30 in unser public IP Netz 213.x.x136/29. Der Provider managed Router soll wegfallen, da wir das selbst managen wollen. Nachfolgende Abbildung stellt den Ist-Zustand dar.
Nachfolgende Abbildung stellt den Soll-Zustand ohne den Provider managed Router dar.
Nun meine Fragen:
Kann ich den abgebildeten Soll-Zustand mit nur einer m0n0wall realisieren oder muss ich den Provider Edge Router durch eigene Hardware ersetzen? Es soll ja z. B. 213.x.x.140 Port 80 auf 10.x.x.x genatted werden. Und normaler ausgehender Verkehr soll ja auch so genatted werden, dass als Absender IP eine aus unserem public IP Netz und nicht aus dem Transfernetz zu sehen ist.
Besten Dank und Grüße,
tonabnehmer
wir haben bei uns einen Provider managed Router zu stehen und dahinter unsere m0n0wall. Der Provider routet über das Transfer 62.x.x.152/30 in unser public IP Netz 213.x.x136/29. Der Provider managed Router soll wegfallen, da wir das selbst managen wollen. Nachfolgende Abbildung stellt den Ist-Zustand dar.
Nachfolgende Abbildung stellt den Soll-Zustand ohne den Provider managed Router dar.
Nun meine Fragen:
Kann ich den abgebildeten Soll-Zustand mit nur einer m0n0wall realisieren oder muss ich den Provider Edge Router durch eigene Hardware ersetzen? Es soll ja z. B. 213.x.x.140 Port 80 auf 10.x.x.x genatted werden. Und normaler ausgehender Verkehr soll ja auch so genatted werden, dass als Absender IP eine aus unserem public IP Netz und nicht aus dem Transfernetz zu sehen ist.
Besten Dank und Grüße,
tonabnehmer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169439
Url: https://administrator.de/contentid/169439
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
9 Kommentare
Neuester Kommentar
Nein, das kann eine simple Monowall mit 3 Ports wie z.B. diese einfach realisieren:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das ist ja gerade der tiefere Sinn das du diese eigentliche Kaskade durch ein gerät ersetzt !! Sonst hättest du ja gar nix gewonnen dzzz !
Allerdings müsstest du die 10er Netze dann über einen 802.1q VLAN Trunk auf einem VLAN Switch übertragen wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hängt ein bischen vom Traffic Volumen ab was zwischen den 10er Netzen bewegt wird oder ob die nur Internet machen so. Sind das nicht mehr als 20 Mbit intern ist das kein Thema...bei mehr hast du etwas überbuchung aber nur wenn auch allen Netzen zeitgleich immer die gleiche Auslastung herrscht. Bei Ethernet eigentlich nie der Fall so das man auch höhere Volumina mit so einen Konzept sauber bedien kann !
Wenn du aber direkte, sprich physische Links haben willst muss die Monowall 6 Interfaces (NICs) haben !
Der Rest ist einfacher Standard....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das ist ja gerade der tiefere Sinn das du diese eigentliche Kaskade durch ein gerät ersetzt !! Sonst hättest du ja gar nix gewonnen dzzz !
Allerdings müsstest du die 10er Netze dann über einen 802.1q VLAN Trunk auf einem VLAN Switch übertragen wie hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hängt ein bischen vom Traffic Volumen ab was zwischen den 10er Netzen bewegt wird oder ob die nur Internet machen so. Sind das nicht mehr als 20 Mbit intern ist das kein Thema...bei mehr hast du etwas überbuchung aber nur wenn auch allen Netzen zeitgleich immer die gleiche Auslastung herrscht. Bei Ethernet eigentlich nie der Fall so das man auch höhere Volumina mit so einen Konzept sauber bedien kann !
Wenn du aber direkte, sprich physische Links haben willst muss die Monowall 6 Interfaces (NICs) haben !
Der Rest ist einfacher Standard....
Hallo aqui,
den VLAN Bereich für die 10er Netze zwischen m0n0wall und VLAN Switch habe ich Dank Deinen Anleitungen und Hilfe im Forum schon realisiert. Was mir nicht klar ist, wie ich den Traffic geNATed und geroutet bekomme. Sämtliche Server und Dienste stehen bei uns in den 10er Netzen und sind über die public IPs 213.x.x.136/29 erreichbar. Ausgehender Verkehr muss dann ja auch als aus dem public IP Adressbereich kommend zu sehen sein. Die WAN IP wäre aber aus dem 62er Transfernetz. (siehe meine 2. Grafik oben)
Danke und Grüße,
tonabnehmer
den VLAN Bereich für die 10er Netze zwischen m0n0wall und VLAN Switch habe ich Dank Deinen Anleitungen und Hilfe im Forum schon realisiert. Was mir nicht klar ist, wie ich den Traffic geNATed und geroutet bekomme. Sämtliche Server und Dienste stehen bei uns in den 10er Netzen und sind über die public IPs 213.x.x.136/29 erreichbar. Ausgehender Verkehr muss dann ja auch als aus dem public IP Adressbereich kommend zu sehen sein. Die WAN IP wäre aber aus dem 62er Transfernetz. (siehe meine 2. Grafik oben)
Danke und Grüße,
tonabnehmer
Du hast Recht...hab ich übersehen, sorry. Man kann so ohne weiteres das NAT auf dem WAN Port nicht abschalten. Müsste man aber für alles was aus dem 213er Netz kommt, denn das kann (und muss auch) nativ geroutet werden 
Kann also doch sein das du noch einen transparenten Router davor klemmen muss. Mal nachdenken obs da einen Workaround gibt.....?!
Ansonsten musst du einen preiswerten Mikrotik Router (750er) nehmen, Damit geht das problemlos..inkl. Firewall.
Kann also doch sein das du noch einen transparenten Router davor klemmen muss. Mal nachdenken obs da einen Workaround gibt.....?!
Ansonsten musst du einen preiswerten Mikrotik Router (750er) nehmen, Damit geht das problemlos..inkl. Firewall.
Ok, dann klemme ich pfSense als Router dazwischen. Bei pfSense kann man NAT ganz abschalten und es so in einen Router und Traffic Shaper verwandeln. Evtl. probiere ich auch einen vorhandenen Linksys. Da war aber der Shaper nicht so ganz zuverlässig.
Kann man m0n0wall/pfSense eigentlich auf den Mikrotik Router Boards installieren? Die Alix Boards haben ja alle nur 100 Mbit. Das reicht für Internet, aber nicht für die Kopplung unserer internen VLANs. Mikrotik Bords haben z. T. Gbit und sind zudem noch preiswerter.
Kann man m0n0wall/pfSense eigentlich auf den Mikrotik Router Boards installieren? Die Alix Boards haben ja alle nur 100 Mbit. Das reicht für Internet, aber nicht für die Kopplung unserer internen VLANs. Mikrotik Bords haben z. T. Gbit und sind zudem noch preiswerter.
Wozu willst du das darauf installieren ?? Das wäre doch Unsinn, die kommen doch alle mit dem RouterOS schon an Bord !
Das kann 10mal mehr noch als die Monowall/pfSense Firmware, ist also erheblich mächtiger von seinen Features. Wäre also kontraproduktiv das umändern zu wollen, denn damit könntest du dein Vorhaben dann komplett problemlos in einer Box realisieren und der 750G supported Gigabit Ethernet.
http://www.mikrotik-shop.de/Komplettsysteme/MikroTik-RouterBOARD-750GL: ...
Besser dann eher andersrum und RouterOS auf dem ALIX benutzen...das ist supported
Das kann 10mal mehr noch als die Monowall/pfSense Firmware, ist also erheblich mächtiger von seinen Features. Wäre also kontraproduktiv das umändern zu wollen, denn damit könntest du dein Vorhaben dann komplett problemlos in einer Box realisieren und der 750G supported Gigabit Ethernet.
http://www.mikrotik-shop.de/Komplettsysteme/MikroTik-RouterBOARD-750GL: ...
Besser dann eher andersrum und RouterOS auf dem ALIX benutzen...das ist supported
In RouterOS müsste ich mich erst einarbeiten. Wir brauchen aber eine schnelle Lösung, die ich sofort im Produktivbetrieb einsetzen kann. Daher der Gedanke zwar schon die Gbit Mikrotik Hardware zu kaufen, aber eben pfSense drauf zu installieren. RouterOS würde ich mir dann später in Ruhe anschauen, vielleicht in einer VM installieren.
Na ja "einarbeiten" braucht man sich da nicht wirklich. Mit der WinBox Oberfläche und den Kenntnissen von Monowall/pfSense erschliesst sich das intuitiv...aber egal.
Dann bleibt dir nur dieser Weg.
Dann bleibt dir nur dieser Weg.
Ich bin mit diesem Thema nun im pfSense Forum. Ggf. kann man die Anforderungen mit nur einer Hardware basierend auf pfSense oder gar m0n0wall mittels Advanced NAT lösen. Vielleicht benötigt man dazu auch noch policy based routing (pfSense kann das). Ich lassen den Thread hier so lange offen und berichte später über das Ergebnis.
Ja, das wäre mal ganz spannend....
