9
Planung neuer Standort
Hallo,
ich plane derzeit unseren neuen Standort und wollte einmal gerne Eure Meinung dazu hören, damit ich nicht gleich von Anfang an einen Fehler drinnen habe. Die IPsec Verbindung zwischen den Standorten habe ich vorab im Labor schon getestet und steht soweit. Am alten Standort sowie am neuen Standort verwende ich dazu eine pfSense Appliance. Nachfolgend habe ich eine Übersicht von der Planung, so wie ich sie mir vorstelle. Am neuen Standort sind 2 DSL-Anschlüsse. Am neuen Standort sind 2 pfSense Firewalls als Cluster konfiguriert (CARP). Ich benötige demnach auch die beiden DSL jeweils 1x an den Firewalls. Die jeweiligen Subnetze würde ich mit VLAN’s voneinander trennen.
VLAN1 -> Verbindung zum Modem, Verbindung zur Firewall 1 WAN, Verbindung zur Firewall 2 WAN
VLAN2 -> Verbindung zum Modem 2, Verbindung zur Firewall 1 WAN2, Verbindung zur Firewall 2 WAN2
VLAN3 -> Verbindung zur Firewall 1 LAN usw.
Was meint Ihr zu der Planung?
ich plane derzeit unseren neuen Standort und wollte einmal gerne Eure Meinung dazu hören, damit ich nicht gleich von Anfang an einen Fehler drinnen habe. Die IPsec Verbindung zwischen den Standorten habe ich vorab im Labor schon getestet und steht soweit. Am alten Standort sowie am neuen Standort verwende ich dazu eine pfSense Appliance. Nachfolgend habe ich eine Übersicht von der Planung, so wie ich sie mir vorstelle. Am neuen Standort sind 2 DSL-Anschlüsse. Am neuen Standort sind 2 pfSense Firewalls als Cluster konfiguriert (CARP). Ich benötige demnach auch die beiden DSL jeweils 1x an den Firewalls. Die jeweiligen Subnetze würde ich mit VLAN’s voneinander trennen.
VLAN1 -> Verbindung zum Modem, Verbindung zur Firewall 1 WAN, Verbindung zur Firewall 2 WAN
VLAN2 -> Verbindung zum Modem 2, Verbindung zur Firewall 1 WAN2, Verbindung zur Firewall 2 WAN2
VLAN3 -> Verbindung zur Firewall 1 LAN usw.
Was meint Ihr zu der Planung?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 570099
Url: https://administrator.de/contentid/570099
Printed on: April 25, 2024 at 17:04 o'clock
9 Comments
Latest comment
Was meint Ihr zu der Planung?
Du hast einige Fehler in den IP Bereichen bei den Gebäuden drin.Auch würde ich einen separaten Switche für das WAN HA nehmen.
Meinst du mit Fehler die Schreibweise 172.16.0.12/13?
Das sollte nur bedeuten das in dem Gebäude 2x Switche sind mit der IP 172.16.0.12 und 13. Ich habe es in der Grafik korrigiert. Warum separate Switche?
Das sollte nur bedeuten das in dem Gebäude 2x Switche sind mit der IP 172.16.0.12 und 13. Ich habe es in der Grafik korrigiert. Warum separate Switche?
JA....es machte den Eindruck du machst verschiedene VLAN ala 172.16.12.0 / 172.16.13.0 / 172.16.14.0 usw.
Aber ernsthaft....du brauchst doch dort niemals ein 13er Subnetz? Willst du das wirklich machen? Das 524.286 Hosts
Aber ernsthaft....du brauchst doch dort niemals ein 13er Subnetz? Willst du das wirklich machen? Das 524.286 Hosts
Die Schreibweise war falsch. Es ist ein 24er Netz.
Könnte ich auf dem Switch wo die Firewalls angeschlossen sind auf VLAN verzichten und lediglich mit den Subnetzen ohne Trennung arbeiten?
VLAN1 -> Verbindung zum Modem,
Ist das wirklich ein reines Modem ?? Oder doch ein Router ?Zwischen einer Modem und Router Anbindung ist technisch gesehen ein erheblicher Unterschied. Das solltest du also besser nochmal genau klären !!
Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bzw. Kaskaden Design mit Router:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die Zeichnung ist etwas wirr. Sorry, aber das Design mit den 3 oder 4 Firewalls ist schwer zu durchschauen...
Das Draytec Vigor 130 in der Zeichnung ist der alte Standort. Ich plane am neuen Standort mit zwei Draytec Vigor 130 oder 160 im Router Modus auf exposed Host. Der Traffic dann auf die CARP-WAN-VIP gepackt.
Wie schon geschrieben sind am neuen Standort 2 pfSense Appliance. Beide haben die Schnittstellen: WAN, WAN2, LAN, LAN2 und SYNC. Auf die WAN Schnittstelle sollte ein Draytec Vigor und auf die WAN2 das 2 Draytec Vigor. LAN sollte dann mit WAN ins Internet und LAN mit WAN2.
Wie schon geschrieben sind am neuen Standort 2 pfSense Appliance. Beide haben die Schnittstellen: WAN, WAN2, LAN, LAN2 und SYNC. Auf die WAN Schnittstelle sollte ein Draytec Vigor und auf die WAN2 das 2 Draytec Vigor. LAN sollte dann mit WAN ins Internet und LAN mit WAN2.
Hi,
warum sind die Draytek Router for dem CARP Cluster ?
So hast du ein Doppel NAT.
Nimm einfache Modems. pfSense soll ab 2.4.3 auch CARP auf PPPoE interfaces unterstützen, so ist keine Notwendigkeit mehr zu dem von die gebauten Würgaround.
CH
warum sind die Draytek Router for dem CARP Cluster ?
So hast du ein Doppel NAT.
Nimm einfache Modems. pfSense soll ab 2.4.3 auch CARP auf PPPoE interfaces unterstützen, so ist keine Notwendigkeit mehr zu dem von die gebauten Würgaround.
CH
Wusste ich jetzt so nicht das CARP ohne doppelt NAT auch funktioniert? Es kann doch bei PPPoE nur ein Gerät eingewählt sein und wenn ich das bei einem Cluster auf einen Node packe, ist der andere tot und kann nicht mal Updates runterladen, was das normale ToDo bei einem Update mit Cluster an die Wand fährt. Oder liege ich da falsch?
