4
Netzwerkkonzeption mit 2 Gateways... möglich?
Hallo Leute,
Ich habe die Situation bei einem Kunden, das dort eine neue Leitung installiert wird.
Um die neue Leitung zu testen möchten wir dort für die Übergangszeit eine 2 Firewall installieren.
Intern gibt es also eine Firewall ALT mit 192.168.100.1 und eine Firewall NEU mit 192.168.100.2
Dahinter steht ein Terminalserver mit der Konfiguration 192.168.100.5 und dem eingetragenen Gateway 192.168.100.1.
Nachdem für den Test eine Aussenstelle auf die neue Leitung gelegt wird kommt diese Aussenstellen über die neue Firewall daher.
Könnte es sein das es da Probleme gibt, wenn die User dieser Aussenstelle auf den Terminalserver zugreift und dieser den alten Gateway eingetragen hat?
Die Pakete werden ja dann über den eingetragenen alten Gateway zurückgeschickt und finden dann nicht mehr ihren Weg zurück über den neuen Gateway, oder?
Ich hatte noch nie so eine Situation daher wäre das interessant ob es so klappt oder ob ich mich im speziellen um ein Routing kümmern muss.
nice greetz jojo
Ich habe die Situation bei einem Kunden, das dort eine neue Leitung installiert wird.
Um die neue Leitung zu testen möchten wir dort für die Übergangszeit eine 2 Firewall installieren.
Intern gibt es also eine Firewall ALT mit 192.168.100.1 und eine Firewall NEU mit 192.168.100.2
Dahinter steht ein Terminalserver mit der Konfiguration 192.168.100.5 und dem eingetragenen Gateway 192.168.100.1.
Nachdem für den Test eine Aussenstelle auf die neue Leitung gelegt wird kommt diese Aussenstellen über die neue Firewall daher.
Könnte es sein das es da Probleme gibt, wenn die User dieser Aussenstelle auf den Terminalserver zugreift und dieser den alten Gateway eingetragen hat?
Die Pakete werden ja dann über den eingetragenen alten Gateway zurückgeschickt und finden dann nicht mehr ihren Weg zurück über den neuen Gateway, oder?
Ich hatte noch nie so eine Situation daher wäre das interessant ob es so klappt oder ob ich mich im speziellen um ein Routing kümmern muss.
nice greetz jojo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 154587
Url: https://administrator.de/contentid/154587
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Deine Vermutung ist richtig. Der TS wird Pakete für alle Netze die nicht direkt in seinem Subnetz liegen an sein Gateway verschicken.
Es gibt mehrere Lösungsmöglichkeiten. Die einfachste ist du trägst eine statische Route auf dem Terminalserver ein für das Netz der Außenstelle die auf der neuen Leitung hängt.
Alternativ kannst du einen Router nehmen und den als Gateway für den TS nutzen. Auf dem Router trägst du dann entsprechende Routen ein, zu den Netzen "hinter" der jeweiligen Firewall.
Abraten würde ich von dieser Variante:
Wenn du einfach eine Route in der alten Firewall einträgst das das Netz der Außenstelle über die neue Firewall zu erreichen ist, wird die Neue Firewall das vermutlich erkennen und die Verbindung als Angriff einstufen und somit blockieren.
Fazit:
Statisches Routing auf dem TS oder
Ein Router als Gateway, der dann entsprechen die Routen verwaltet.
Gruß, F.
Es gibt mehrere Lösungsmöglichkeiten. Die einfachste ist du trägst eine statische Route auf dem Terminalserver ein für das Netz der Außenstelle die auf der neuen Leitung hängt.
Alternativ kannst du einen Router nehmen und den als Gateway für den TS nutzen. Auf dem Router trägst du dann entsprechende Routen ein, zu den Netzen "hinter" der jeweiligen Firewall.
Abraten würde ich von dieser Variante:
Wenn du einfach eine Route in der alten Firewall einträgst das das Netz der Außenstelle über die neue Firewall zu erreichen ist, wird die Neue Firewall das vermutlich erkennen und die Verbindung als Angriff einstufen und somit blockieren.
Fazit:
Statisches Routing auf dem TS oder
Ein Router als Gateway, der dann entsprechen die Routen verwaltet.
Gruß, F.
Servus,
Ok, alles klar soweit.... wenn ich also mit dem route Befehl die Route am Terminalserver eintrage sollte es funktionieren?
Danke für deine Hilfe
nice greetz jojo
Ok, alles klar soweit.... wenn ich also mit dem route Befehl die Route am Terminalserver eintrage sollte es funktionieren?
Danke für deine Hilfe
nice greetz jojo
Die einfachste ist du trägst eine statische Route auf dem Terminalserver ein für das Netz der Außenstelle die auf der neuen Leitung hängt.
Was man nie machen sollte.
Auf etwas anderes außer den Router gehört nichts außer die Standard-Route!
In spätestens 3 Monaten stehst du nämlich sonst davor und fragst dich warum etwas nicht klappt, aber an die Routing-Tabelle denkst du sicher nicht.
Die drei Varianten sind:
- Auf FW-Alt eine Route über FW-Neu machen.
Das wird zwar klappen, aber jeder Router quittiert sowas recht schnell mit einem ICMP Redirect, weil es keine saubere Lösung ist.
- FW-Alt und FW-Neu so verbinden, das ein Transport-Netz entsteht.
In der Praxis absolut üblich.
- FW-Alt rauswerfen
Ok, deinen Einwand kann ich verstehen, mir war nur wichtig ob es technisch so funktioniert. Möglicherweise werden wir eine andere Vorgehensweise wählen.
Danke für eure Vorschläge.
nice greetz jojo
Danke für eure Vorschläge.
nice greetz jojo
