kartoffelesser
Goto Top

Netzwerk mit 15 Subnetzen, PFSense und Mikrotik X2AH Routerboard

Hallo zusammen,
ich habe ein Schulnetz übernommen. Es besteht aus 15 Subnetzen, PFSense als Firewall, 15 Linksys WRT54GL, 4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
In den Ferien möchte ich es endlich auf VLAN umstellen und mich von den Linksys Routern verabschieden.
Dazu hätte ich folgende Frage:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten? Auf diese Weise könnte ich zwar die Firewall und die VLANs trennen hätte aber wieder doppeltes NAT. Wir haben eine 150 Mbit/s Leitung von Unitymedia die sich ca. 80 Rechner teilen.

Würde mich über jede Antwort freuen!

Gruß Kartoffelesser

Content-Key: 323864

Url: https://administrator.de/contentid/323864

Printed on: July 20, 2024 at 06:07 o'clock

Member: ashnod
ashnod Dec 14, 2016 at 19:23:00 (UTC)
Goto Top
Ahoi
Etwas wenig Angaben für ein größeres Projekt.
Wo siehst du die doppelte NAT?

VG
Ashnod
Member: sk
sk Dec 14, 2016 updated at 19:30:57 (UTC)
Goto Top
Zitat von @kartoffelesser:
ich habe ein Schulnetz übernommen. Es besteht aus 15 Subnetzen, PFSense als Firewall, 15 Linksys WRT54GL, 4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
Wo kommen denn die 15 Subnetze her? Werden die Linksys als Router betrieben und haben jeweils ein eigenes IP-Netz?
Wenn ja, warum ist das so?

Zitat von @kartoffelesser:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten?
Welches Ziel verfolgst Du damit?

Gruß
sk
Member: Lochkartenstanzer
Lochkartenstanzer Dec 15, 2016 at 05:04:48 (UTC)
Goto Top
Moin,

Wenn Du dem Mikrotik sagst, er soll kein NAT machen, macht er auch keins. face-smile

Aber was spricht dagegen, einfach VLAN-fähige switches zu nehmen und das direkt an die pfsense zu führen? Die könnte dann auch die 15 Subnetze reglementieren.

lks
Member: kartoffelesser
kartoffelesser Dec 15, 2016 at 13:07:06 (UTC)
Goto Top
VIELEN Dank für die Antworten!
@ashnod
ich habe mich bewusst kurz gehalten. Wollte nur grundsäzlich wissen ob ich doppeltes NAT (aus Performancegründen) vermeiden soll. Dies habe ich schon öfters, auch hier im Forum, gelesen. Das doppelte NAT sehe ich bei der Nutzung Kabelmodem zu PFSence und PFSence zu Mikrotek. Moment - mache ich da einen Denkfehler? Kabelmodem zu PFSense macht kein NAT? Sorry!!

@sk
habe es bewusst kurz gehalten. Das Netz habe ich übernommen. Einzelne Schulungsräume, Lehrerzimmer, Fachräume sind via Linksysrouter in Subnetze mit jeweils eigener IP unterteilt worden. Warum - aus Sicherheitsgründen. Die Schüler sind sehr neugierig und versuchen immer was zu ändern.
Ich denke aus Geschwindigkeitsgründen und um die einzelnen Geräte zu entlasten wäre es besser die Aufgaben zu verteilen. Der Mikrotik Router könnte das VLAN aufspannen und die PFSense nur als Firewall arbeiten. Die VLAN fähigen Switches von Zyxel machen dan den Rest.

@Lochkartenstanzer
wie schon bei "sk" geschrieben denke ich es würde die Geräte entlasten zumal wir den Mikrotikrouter haben.

@all
wie würdet ihr das Netz (grundsätzlich - nicht im Detail) aufbauen?
Modem -> PFSense -> Mikrotik -> VLAN fähige Switch -> Rechner
oder
Modem -> PFSense -> VLAN fähige Switch -> Rechner
oder
nur die vorhanden Linksys Router gegen die kleinen Mikrotik RB750 (hex) austauschen und alles so belassen?

Danke und Gruß,
kartoffelesser
Member: ashnod
ashnod Dec 15, 2016 at 13:25:02 (UTC)
Goto Top
Zitat von @kartoffelesser:

VIELEN Dank für die Antworten!
@ashnod
Das doppelte NAT sehe ich bei der Nutzung Kabelmodem zu PFSence und PFSence zu Mikrotek. Moment - mache ich da einen Denkfehler? Kabelmodem zu PFSense macht kein NAT? Sorry!!

Du kannst sowohl pfSense als auch Mikrotik ohne NAT betreiben, von daher hast du ausreichend Spielraum.
Handelt es sich um ein wirkliches Kabelmodem oder ist das auch ein Router?
Ansonsten kannst du die ersten beiden Varianten umsetzen, je nach Geschmäckle .

Die Router einzeln austauschen würde ich eher lassen ..

VG
Ashnod
Member: kartoffelesser
kartoffelesser Dec 15, 2016 updated at 17:23:57 (UTC)
Goto Top
@ashnod,
Danke für die Antwort!
Wir haben ein Modemrouter der Firma Hitron (CGN-V4) von Unitymedia. Dieses ist seitens UM in einen reinen Modembetrieb (Bridge) geschaltet worden. Wir haben EINE statische IP (V4) zugewiesen bekommen. Eigentlich sind es vier fortlaufende IP-Adressen. Zuerst eine sog. Netzwerkadresse (was das soll konnte mir keiner erklären), eine IP für das Modem, eine für den nachgeschalteten Router (PFSense o. Mikrotik) - diese ist WAN seitig erreichbar - und die Letzte (Höchste) ist die UM-Broadcastadresse.

Ich denke die folgende Reihenfolge wäre, um die einzelnen Geräte zu entlasten, am Besten:
Modem -> PFSense -> Mikrotik -> Zyxcel VLAN Switch -> Rechner
Dadurch ergeben sich folgende NAT(en):
Modem -> PFSense = natürlich kein NAT
PFSense -> Mikrotik = NAT
Mikrotik -> VLAN Switches = NAT

Jetzt hätte ich aber noch 2* NAT. Immerhin einmal weniger als vorher face-smile Würdet ihr auch die Konfiguration so ändern, dass es insgesamt nur einmal NAT gibt? Sind die Verluste bei 2* NAT wirklich so groß?

Die PFSense arbeitet zur Zeit als tranparenter Proxy mit Squid und als Firewall. Dies würde ich gerne so belassen. Könnte ich die PFSense denn dazu überreden die genannten Funktionen weiter auszuführen aber nicht zu NAT(en)?

Der eingeschleifte Mikrotikrouter (1100 / X2-AH) sollte dann ohne Firewall aber mit 15 aktivierten VLANs inkl. DHCP-Server arbeiten. Was haltet ihr von dieser Option?

Freue mich über jeden Input!

Danke und Gruß,
kartoffelesser
Member: ashnod
ashnod Dec 15, 2016 at 18:15:10 (UTC)
Goto Top
Ahoi ...

Liegt evtl. an mir, aber das mit deinem NAT-Problem verstehe ich nicht wirklich.
Du kannst dein Setup so gestalten, das du nur einmal NAT verwenden wirst
Wo du das NAT haben wirst hängt eigentlich nur von deinem Verbindungstyp ab, das musst du mal genauer klären was dir der Anbieter da hinstellt.

Gehen wir mal davon aus das NAT auf der pfSense liegen wird dann kannst du das im Mikrotik ausstellen.
Ein zusätzliches NAT hinter der FW macht einfach keinen Sinn mehr.

pfSense würde ohne NAT wie gewohnt arbeiten ... nur eben ohne NAT.

Du könntest dein VLANs genauso auf der pfSense anlegen und verwalten oder den Mikrotik in einem Netz dahinter die Aufgabe übernehmen lassen .. oder auch einen L3 Switch besorgen der noch besser harmonieren würde.

Eine andere Frage die ich mir noch stelle, haben die 15 WRT-Router evtl. auch als AP gedient und WLAN verteilt?

Dein Hauptproblem ist eigentlich das du mit deinem Netzwerk und der vorhandenen Hardware etliche Konfigurationsmöglichkeiten hast die alle gut funktionieren.

Du musst dich jetzt nur für einen weg entscheiden. Der wichtigste aus meiner Sicht ist der herauszufinden was an deinem Anschluss nun wirklich liegt.

VG
Ashnod
Member: kartoffelesser
kartoffelesser Dec 15, 2016 at 18:37:46 (UTC)
Goto Top
Hallo Ashnod,
nochmal VIELEN Dank das du dir die Mühe machst mir so ausführlich zu antworten!
Vielleicht habe ich mich zu kompliziert ausgedrückt. Also, ich möchte das Netz so aufziehen, dass es möglichst wenig Bremsen hat. Dazu gehört wenig NAT.
Deine Frage zum Verbindungstyp: Unitymedia Business Anschluss mit 150Mbit/s (Download). Wir haben ein Modemrouter der Firma Hitron (CGN-V4) von Unitymedia. Dieses ist seitens UM in einen reinen Modembetrieb (Bridge) geschaltet worden. Sind das die Informationen die du benötigst? Oder meinst Du mit Verbindungstyp etwas anderen?

Viele Gruß,
kartoffelesser
Member: sk
sk Dec 15, 2016 updated at 18:58:46 (UTC)
Goto Top
Aus meinser Sicht ist das bisherige Design grundsätzlich zu hinterfragen. Dass z.B. jeder Linksys-AP bisher ein separates IP-Netz bereitstellt erscheint mir jedenfalls weitgehend sinnlos und dürfte schlicht aus Unkenntnis so implementiert worden sein.

Üblicherweise unterteilt man ein Netzwerk (am gleichen Standort) aus folgenden Gründen in mehrere IP-Netze:
1) Um die Broadcastdomain klein zu halten (Performence)
2) Um Bereiche mit unterschiedlichen Sicherheitsanforderungen gegeneinander abschotten zu können.

Bei 1) genügt es, zwischen diesen Netzen zu routen.
Bei 2) bedarf es auf der Routinginstanz eines entsprechenden Regelwerkes (z.B. statische ACLs auf einem L3-Switch oder besser SPI auf einer Firewall)

Mal als Blaupause:
Ich betreibe an knapp 20 Standorten Schulnetze. Alle haben jeweils folgende Sicherheitszonen:

a) Management-Netz für Aktivkomponenten wie Switche, Router etc. (hierauf haben nur die Admins Zugriff)
b) Management-Netz für die Accesspoints (separat, weil diese Ports in der Regel ungeschützt zugänglich sind - sich da also jeder ranklemmen könnte; Hier kann nur mit dem WLAN-Controller kommuniziert werden - sonst nix)
c) GLT-Netz (Heizungssteuerung, PV-Anlage, Überwachungskamaeras etc.)
d) ggf. VOIP-Netz für Telefonie
e) Verwaltungsnetz (Arbeitsplätze für Sekretärin, Schulleitung etc.)
f) pädagogisches Netz (schuleigene Geräte für den Unterricht; i.d.R. von Schülern genutzt; je nach Endgerät kabelgebunden oder per WLAN)
g) Gäste-Netz für Fremdgeräte (nur Internet; in der Regel nur per WLAN bereitgestellt; Authentifizierung per WPA2-Enterprise)

Jedes dieser Netze ist eine eigene Sicherheitszone. Der Übergang von einer Zone zur anderen wird per Firewall reglementiert. Aus dem pädagogischen Netz darf z.B. nicht aufs Verwaltungsnetz zugegriffen werden usw.
Innerhalb der gleichen Sicherheitszone kann es bei Bedarf selbst am gleichen Standort durchaus mehrere VLANs/IP-Netze geben. So z.B. haben wir an einigen Standorten nur im pädagogischen Netz bereits mehr als 255 Hosts und da wir mit /24er IP-Netzen arbeiten, gibt es innerhalb der gleichen Zone und am gleichen Standort dann z.B. 2 VLANs und 2 IP-Netze für das pädagogische Netzwerk. Dazwischen wird dann aber aus Performencegründen nur geroutet (kein Firewalling).

Gruß
sk
Member: ashnod
ashnod Dec 15, 2016 at 18:50:59 (UTC)
Goto Top
Als Berliner kann ich mit Unitymedia halt nicht viel anfangen und kenne das Angebot so gar nicht geschweige denn die Technik.

Ich gehe mal von einem Router aus sonst klappt das mit dem Bridge-Modus auch kaum ... face-wink

also IP wie du selbst schreibst auf die pfSense ... die macht dann auch das NAT als einziges Gerät in deinem Netz

Hinter der pfSense sind deine Möglichkeiten dann fast unbegrenzt.

Mal abgesehen von deinem etwas gestörten Verhältnis zu NAT face-wink funtionieren alle Varianten die du vorschlägst.

Eigentlich die Stelle an der du dich für eine entscheiden mußt und dann frisch und frei ans Werk face-wink

Ashnod
Member: kartoffelesser
kartoffelesser Dec 15, 2016 updated at 20:43:07 (UTC)
Goto Top
@sk
Danke für die Antwort!
Bei uns gilt hauptsächlich Punkt 2 - also Abschottung. Ein Routen zwischen den Netzen ist nicht erforderlich. Das Verwaltungsnetz ist physikalisch vom pädagogischen Netz getrennt. Hast Du, mit Ausnahme des pädagogischen Netzes, weitere VLANs oder machst du die Trennung in Sicherheitszonen nur mit statische ACLs oder SPIs? Das Management-Netz könnte man doch auch mit VLANs machen?
VIELEN DANK für die Blaupause. So etwas suche ich schon lange. Kennst Du URLs oder Literatur wo noch weitere und mehr in die Tiefe gehende Beispiele genannt werden. Es gibt viele gute Literatur wo die einzelnen Netzwerkkomponenten vorgestellt und deren Funktion beschrieben werden aber so gut wie nichts wo diese im Verbund dargestellt werden. face-sad . Also komplette Netzwerke mit detailierten Angaben und Erklärungen. Kannst Du mir einen Tipp geben?

@ashnod,
O.K. soweit habe ich dich verstanden - Danke! Erlaube mir eine letzte Frage:
wenn auf der PFSense nur NAT "getrieben" wird bleiben in meinem Beispiel die VLAN Grundeinstellungen für die Mikrotik übrig. Danach geht es LAN-seitig zu den VLAN fähigen Switches und weiter zu den Clients.

Jedes VLAN würde ja dann auf der Mikrotik erstellt und bekommt dabei eine eigene Netzwerkadresse VLAN10 = 172.16.10.0 VLAN20 = 172.16.20.0 VLAN30 = ........ . Wenn nun die Clients ins I-Netz wollen werden sie an die PFSense weitergeleitet. Findet dabei nicht auch ein NAT statt? Oder mache ich schon wieder einen Denkfehler? Oder müssen jetzt im Mikrotik und der PFSense statische Routen für die einzelnen VLANs gesetzt um zur PFSense und damit ins Internet und zurück zu kommen?

Jaja, ich habe wirklich ein "besonderes" Verhältnis zum NAT face-smile

Dank und Gruß,
kartoffelesser
Member: ashnod
ashnod Dec 15, 2016 updated at 20:45:16 (UTC)
Goto Top
Zitat von @kartoffelesser:
Jedes VLAN würde ja dann auf der Mikrotik erstellt und bekommt dabei eine eigene Netzwerkadresse VLAN10 = 172.16.10.0 VLAN20 = 172.16.20.0 VLAN30 = ........ . Wenn nun die Clients ins I-Netz wollen werden sie an die PFSense weitergeleitet. Findet dabei nicht auch ein NAT statt? Oder mache ich schon wieder einen Denkfehler?

Der Rest wird über Routing gelöst.

In das Netz (Transportnetz) der pfsense hängst du den router ein x.x.x.254

Legst dann statische Routen auf der pfs an da diese die Netze die der Router verwaltet nicht kennen kann.

172.16.10.0/24 > x.x.x.254

Und für den weg zur pfsense die default Route auf dem mikrotik zur pfsense

Ashnod
Member: kartoffelesser
kartoffelesser Dec 15, 2016 at 20:49:25 (UTC)
Goto Top
@ashnod
nochmal Vielen Dank! Ich hatte meine letztes Posting gerade überarbeitet als du dich gemeldet hattest. Also kein NAT face-smile sondern statische Routen!

Viele Grüße,
kartoffelesser
Member: sk
sk Dec 15, 2016 updated at 21:43:07 (UTC)
Goto Top
Zitat von @kartoffelesser:

@sk
Hast Du, mit Ausnahme des pädagogischen Netzes, weitere VLANs oder machst du die Trennung in Sicherheitszonen nur mit statische ACLs
oder SPIs? Das Management-Netz könnte man doch auch mit VLANs machen?

Ich habe den Eindruck, dass Dir nicht klar ist, was Layer 2 und was Layer 3 und höher ist und wie das letztlich alles zusammenspielt.
Selbstverständlich sind das bei uns alles VLANs. Jedes IP-Netz wird in einem eigenen VLAN geführt. VLANs sind doch nur eine Virtualsierungstechnologie (von vielen). Alternativ könnte man auch für jedes Netz eigene Switche verwenden. Ab einer gewissen Komplexitätsstufe macht das aber heute niemand mehr. Viel zu teuer und unflexibel!
Mit VLANs kannst Du auf der gleichen Switch-Hardware auf Layer2 voneinander isolierte Netze bereitstellen. Von Spezialfällen wie asymmetrischen VLANs mal abgesehen können diese Netze nur noch dann miteinander kommunizieren, wenn es einen vermittelnden Mechanismus dazwischen gibt. Dieser Mechanismus wird einen logischen Layer höher (Layer 3) abgebildet. In aller Regel verwendet man heute auf Layer 3 das IP-Protokoll v4 und/oder v6. Der Vermittler nennt sich Router und trifft seine Routing- und Forwardingentscheidungen anhand von Ziel- und Absender-IP-Adressen. Erst auf dieser Ebene erfolgt ggf. eine Betrachtung nach Sicherheitskriterien bzw. die von mir oben eingeführte logische Klassifizierung nach Sicherheitszonen. Ein normaler Router würde einfach zwischen allen ihm bekannten IP-Netzen vermitteln. Wenn dies je nach Klassifizierung der beteiligten Netze nicht gewünscht ist, bedarf es an dieser Stelle einer entsprechenden Filterung. Ob man dies per statischer ACL oder per stateful Firewall macht, hängt von den Anforderungen ab.
Statische ACLs sind sehr perfomant und die erforderliche Hardware in Relation zum Durchsatz billig (idR ein sog. Layer3-Switch). Jedoch sind deren Möglichkeiten sehr begrenzt - eigentlich nur zum kompletten Unterbinden von Traffic wirklich zu gebrauchen. Sobald es differenzierter wird, kommt man um Stateful Packet Inspection nicht herum. Das erfordert aber wesentlich mehr Rechenleistung. Bei gleicher Durchsatzanforderung ist die Hardware für SPI daher deutlich teurer. Deshalb implenentiert man in größeren Umgebungen meist Mischformen.

Bei uns ist es z.B. so, dass sich alle Schulen gemeinsame Server teilen, welche jeweils in einem gesonderten IP-Netz/VLAN der gleichen Sicherheitszone liegen.

Beispiel:

A) Sicherheitszone "pädagogische Netze"
aa) Netz für gemeinsame pädagogische Server
ab) pädagogisches Netz Schule 1
ac) pädagogisches Netz Schule 2

B) Sicherheitszone "Verwaltungsnetze"
ba) Netz für gemeinsame Verwaltungsserver
bb) Verwaltungs-Netz Schule 1
bc) Verwaltungs-Netz Schule 2

ab) und ac) benötigen performanten Zugriff auf aa). Untereinander sollen sie nach Möglichkeit nicht direkt kommunizieren dürfen (wenn aus Versehen doch, wäre es aber auch kein Weltuntergang). Deshalb wird am Übergang zwischen diesen 3 Netzen vom Layer3-Switch geroutet und es gibt eine ACL auf dem Layer3-Switch, die (nur) den Zugriff der Schulen untereinander verbietet.
Selbiges gilt auch analog für die Sicherheitszone "Verwaltungsnetz". Auch hier erledigt das IP-Forwarding zum Netz ba) ein Router, welcher lediglich die Kommunikation zwischen bb) und bc) per statischer ACL verhindert.

Da sich aber die Sicherheitszone A und B einen gemeinsamen zentralen Internetzugang teilen und zudem teilweise Zugriffe von B) nach A) gewünscht sind (z.B. Drucker ansprechen) braucht es eine weitere Routinginstanz, welche differenzierter filtern kann. Hier kommt dann eine SPI-Firewall zum Einsatz. Diese muss aber nur noch den gemeinsamen Internetverkehr sowie den gewollten zonenübergreifenden Traffic verarbeiten und kann daher entsprechend günstiger ausfallen, als wenn alles über die Firewall laufen würde.
Das Szenario benötigt also eine gemeinsame (Backend-)Firewall sowie pro Sicherheitszone je einen Router mit statischen ACLs. Da wir etliche Sicherheitszonen mit mehreren Teilnetzen haben, bräuchten wir entweder sehr viele Router oder einen Router an dem alle Netze anliegen und bei dessen ACLs auf keinen Fall Fehlerkonfigurationen auftreten dürfen (was mir zu gefährlich wäre). Gott sei Dank hilft auch hier wieder die Virtualsierung: Auf den gleichen Coreswitches bilden wir einfach virtuell mehrere Routinginstanzen ab. Je Sicherheitszone eine eigene.


Gruß
sk
Member: kartoffelesser
kartoffelesser Dec 16, 2016 at 08:37:24 (UTC)
Goto Top
@sk
VIELEN Dank für die Infos. Um das alles zu verinnerlichen werde ich wohl das Wochende brauchen. Das ISO-Model mit seinen unterschiedlichen Layern sind mir "grob" bekannt. Layer2 und Layer3 Switches bzw. Router sind mir natürlich geläufig. Die Möglichkeiten der Trennung via ACL waren / sind mir nicht bekannt. Auch die Virtualisierungoptionen im Netzwerk ist mir nicht vertraut.

Hier nochmal meine Bitte und Frage:

Kannst Du mir aktuelle Literatur zum Thema empfehlen?

Danke und Gruß,
Kartoffelesser
Member: sk
sk Dec 16, 2016 updated at 12:46:11 (UTC)
Goto Top
Zitat von @kartoffelesser:
@sk
Hier nochmal meine Bitte und Frage:
Kannst Du mir aktuelle Literatur zum Thema empfehlen?

Ich kenne einige Designguides z.B. von Cisco, aber dabei geht es um große Netze. Um Sicherheit, Verfügbarkeit und Performence. Insbesondere in Rechenzentren. Virtualisierung ist ein riesen Thema. Auch und gerade im Netzwerk. Das ist aber vermutlich alles mindestens fünf Nummern zu groß für Euch.
Selbstverständlich gibt es auch Bücher zu elementaren Grundlagen für kleine Netze. Das kann man sich aber auch sehr schnell im Netz zusammensuchen. Bitte die Suchmaschine Deines Vertrauens füttern.

Zielführender hier wäre, wenn Du mal das bisherige Netzdesign als Skizze darstellen würdest (physische und logische Topologie).
Bitte lege dar, wie das Vorhandene aktuell genutzt wird, was gut funktioniert und was nicht. Was soll künftig anders werden und warum? Rein funktional gesehen. Erst dann machen wir uns Gedanken um die Möglichkeiten zur Erreichung der Ziele. Du kommst hier von Beginn an mit vermeintlichen Lösungen um die Ecke (Einsatz von VLANs, Mikrotik, Ablösung Linksys-Router) und möchtest, dass wir das bewerten. Das ist aber nicht möglich, ohne die Anforderungen, die altuellen Defizite nebst der Ursachen, die Ziele und die konkret geplanten Konfigurationsänderungen zu kennen.
Wichtig wäre auch zu wissen, wer das dauerhaft administrieren soll, welches Skillevel und wieviel Zeit er dafür hat sowie welche Budget für Änderungen und für den späteren Betrieb (Folgekosten) zur Verfügung steht.

Gruß
sk
Mitglied: 108012
108012 Dec 16, 2016 at 12:51:54 (UTC)
Goto Top
Hallo,

ich habe ein Schulnetz übernommen.
Also Volladmin oder nur so für 4 Stunden nebenbei, oder Dein eigenes oder, oder, oder.....

Es besteht aus 15 Subnetzen,
VLANs mit eigenem IP Adressbereich?

PFSense als Firewall,
Auf welcher Hardware bitte?

15 Linksys WRT54GL,
Und die sollen nun alle ersetzt werden?

4 Zyxel Layer2 Switch und 1 Cisco Layer2 Switch.
Warum keinen gebrauchten Cisco SG300 oder anderen Layer3 Switch dazu der die eventuellen VLANs dann selber routet?

Sind Server und NAS oder gar SAN vorhanden?

In den Ferien möchte ich es endlich auf VLAN umstellen und mich von den Linksys Routern verabschieden.
Ok, dann solltest Du aber vorher wissen das die VLANs wenn die pfSense diese routen muss, eventuell zu schwach
ist wenn man dort richtig viele große Dateien hin und her schieben muss!

Dazu hätte ich folgende Frage:
Macht es Sinn die PFSense als reine Firewall zu benutzen und ein Mikrotik X2AH Routerboard direkt dahinter zu schalten?
Soll das RouterBoard dann die VLANs routen weil die pfSense dafür zu schwach ist oder was soll das MikroTik RB1100AHx2
machen? Oder was soll die doppel NAT Situation die Du dann aufbaust?

Auf diese Weise könnte ich zwar die Firewall und die VLANs trennen hätte aber wieder doppeltes NAT.
Also soll das MikroTik RB die VLANs routen und die pfSense soll dann das Captive Portal bereitstellen und den Squid Proxy
oder was soll das denn nun wirklich?

Wir haben eine 150 Mbit/s Leitung von Unitymedia die sich ca. 80 Rechner teilen.
Mit dem RB kann man natürlich Queues anlegen zur Bandbreitenaufteilung.

Gruß
Dobby
Member: MemoryLeak
MemoryLeak Dec 21, 2016 at 10:49:14 (UTC)
Goto Top
Also ich verstehe das Doppel-NAT Problem nicht.
Abgesehen davon, dass man einfach kein Doppel-NAT macht. Für was auch?
Du kannst das NAT entweder auf der PF Sense oder der MTik machen.
Wenn du am Unitymedia Modem (weil Bridge Mode) die PF Sense als FW dranhängst und die MTik die VLANs verwalten lässt brauchst du doch nur ein SrcNAT auf die Schnittstelle nach aussen legen. Ob das dann die PFSense macht oder die MTik ist egal. Wenn du ein SrcNAT auf die Schnittstelle nach aussen legst wird dieses von allen anderen Schnittstellen auch genutzt. Ob das jetzt dahinter 1, 3 oder 200 interne Netze sind, macht keinen Unterschied - alles was dann besagte "genattete" Schnittstelle (die nach Aussen) nutzt wird über das NAT gefahren.

Wo willst du dann danach ein weiteres NAT betreiben und wofür? Da fehlt mir noch der richtige Ansatz um dein Problem zu verstehen. Vielleicht stehe ich aber gerade auch nur am Schlauch, da ich krank bin und vermutlich im Fieberwahn hier schreibe face-smile