Routing mit Cisco SG350X und OPNSense

Hallo zusammen,

gleich vorab, die Frage ist mir etwas peinlich, aber was solls. Ich habe keine Test-Umgebung also frage ich lieber vorher nach.

Bisher macht das gesamte Routing die OPNSense. Jetzt möchte, das zwei VLANS direkt im Switch geroutet werden. Die Geräte-Konfiguration dazu ist mir klar. Nicht klar ist mir folgendes:

Können beide Router (OPNSense 192.168.0.1 und Cisco SG 192.168.0.2) jeweils ein Interface im selben Netz haben und jeweils eine Route aufeinander gesetzt haben:

192.168.0.1
  • Standartgateway für 192.168.0.0/24 auf WAN-Interface der OPNSense
  • Route für Ziel 192.168.1.0/24 auf 192.168.0.2

192.168.0.2
*Route für Ziel 0.0.0.0 -> 192.168.0.1

Theoretisch müsste das ja gehen, aber dann würden bei Verbindungen zwischen Clients aus Netz 192.168.0.0/24 nach Clients in 192.168.1.0/24 Hinroute und Rückroute voneinander abweichen. Das würde ich dann nur mit statischen Routen auf den Clients beheben können können (Ziel 192.168.1.0/24 -> 192.168.0.2)

Oder sollte man lieber gleich ein Transfernetz zwischenschalten:
  • OPNSense <-> CiscoSG 10.0.0.0/24
  • CiscoSG mit 3 Interfaces: 10.0.0.2, 192.168.0.1, 192.168.0.2

Grüße

lcer

Content-Key: 666457

Url: https://administrator.de/contentid/666457

Ausgedruckt am: 17.06.2021 um 20:06 Uhr

Mitglied: aqui
Lösung aqui aktualisiert am 06.05.2021
Gibt ja nur peinliche Antworten deshalb also alles gut ! 😉
Die Antwort lautet ja. Es kann in einem Layer 2 Netz natürlich mehrere Router Beine geben. Das ist aber fatal weil man (oder auch du) das vermutlich gar nicht willst.
Dir geht es vermutlich darum das du primär alle VLANs lokal auf dem Layer 3 Switch routetst und alles dann via Transfer VLAN Richtung Firewall und Internet schickst wie es für ein klassisches Layer 3 Switch in Konzept üblich ist, richtig ?
Also alles was du in diesem_Tutorial siehtst was ein klassisches L3 Design beschreibt und illustriert ?!

Geraten hast du vermutlich die Anforderung ein Gastnetz oder ein anderes isoliertes netz was du nicht auf dem L3 Switch haben willst direkt an die Firewall durchzureichen. Das kann Sinn machen, denn ein öffentliches Gastnetz mit Unbekannten möchte man aus Sicherheitsgründen besser nicht auf dem zentralen L3 VLAN Switch seiner internen VLANs haben.
Generell geht das, erfordert dann aber massive Access Listen auf dem L3 Switch um diese Netze zu isolieren. Nachteil ist das Switch ACLs nicht stateful sind und der Konfig Aufwand höher wird.

Idealerweise macht man das also nicht und lässt schlicht und einfach das IP Interface auf dem L3 Switch weg und "schleift" diese isolierten VLANs mit einem Tagged Uplink dann direkt durch auf die Firewall die dann das L3 Interface in diesen isolierten VLANs darstellt.
Vermutlich ist es das was du erreichen willst, oder ?
Ein 2tes Layer 3 Interface wäre fatal, weil du dann immer einen Backdoor Router hast, sprich also einen weiteren Weg das Zielnetz zu erreichen was du dann bei Absicherung wieder mit Regeln zusätzlich sichern musst. Zusätzlich besteht die Gefahr eines asymetrischen Routings. Das wäre also sehr schlechter Stil und ein NoGo im Design.

Bei dir ist es also genau umgekehrt.... Du installierst für diese 2 VLANs ein IP Interface am Switch routest diese beiden VLANs lokal ohne sie auf der Firewall zu terminieren. Es sind also rein nur 2 VLANs am Switch die nicht mit der FW direkt verbunden sind sondern einzig nur über das Transfer VLAN (siehe L3 Tutorial oben !). Diese schickst du dann mit einem Transfer Netz auf die Firewall. Der Rest bleibt wie er ist.
Fazit:
Deine o.a. Schlußfolgerungen am Ende sind also absolut korrekt.
Mitglied: lcer00
lcer00 am 06.05.2021
Danke aqui,

Hintergrund sind verschiede Netze die unterschiedlichen Sicherheitsanforderungen genügen sollen, was bisher alles über die Firewall geregelt wird. Aus Performance-gründen sollen jetzt 2 Netze am Switch geroutet werden. Die erforderlichen Firewallregeln werde ich lokal auf den betreffenden Servern setzen. Es ist übrigends kein Gast-VLAN dabei :) face-smile

Gefragt hatte ich, weil das mit dem Transfernetz in unserem Fall einiges an Aufwand bedeuten wird. Und eigentlich bin ich da eher faul.... :) face-smile

OK, also keine Dreiecksrouten.

Grüße

lcer
Mitglied: aqui
aqui am 06.05.2021
weil das mit dem Transfernetz in unserem Fall einiges an Aufwand bedeuten wird.
Man kann das natürlich etwas "quick and dirty" machen und eins dieser 2 Netze quasi als Transfer Netz missbrauchen.
Der Switch hat dann eine Default Route auf die FW in diesem "Doppelnutzungs" Netz und die Firewall die entsprechende Route in das 2te Netz am Switch.
Endgeräte in den beiden VLANs haben dann immer die Switch IP als Gateway und routen damit dann lokal.
Idealerweise erlaubt man dann ICMP Redirects auf dem Switch und Firewall an diesem Port denn sonst würden alle Endgeräte im "Doppelnutzungs" Netz immer den Switch als Durchlauferhitzer nehmen wenn sie andere IP Netze wollen.
Mit ICMP Redirect sendet das L3 Interface dann einen ICMP Redirect an den Client der dann immer das direkte Routing Interface nutzt.
Bedeutet dann auch das am Client ICMP Redirect in der lokalen Firewall explizit erlaubt sein müsste. Besonders bei Windows gilt das da es dort deaktiviert ist.
All diese Anpassung würde bei einem reinen Transfer VLAN entfallen. Sie sind nicht zwingend schonen aber die Resourcen des Switches bei der "quick and dirty" Lösung. ;-) face-wink
Heiß diskutierte Beiträge
Backup
Backupstrategie
Xaero1982Vor 2 TagenFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1021 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 13 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...

Sonstige Systeme
Womit ist eine Nextcloud am Besten zu betreiben. Linux-PC oder RaspiPI
gelöst frosch2Vor 7 StundenFrageSonstige Systeme15 Kommentare

Hallo, wieder einmal möchte ich eure Meinungen. Es soll eine nextcloud in einer produktiven Umgebung eingesetzt werden. Ca. 6 Aussendienst- und 7 Innendienstmitarbeiter. Zusammen 13 ...