ingrimmsch
Goto Top

Switch oder Firewall als Gateway

Hallo,

sollte man lieber ein Switch oder Firewall als Gateway eintragen? Irgendwie habe ich das in der Ausbildung nicht mitbekommen, oder ich habe in der Schule nicht aufgepasst :D

Hier im Unternehmen haben wir die Brocade Switche als Gateway z.B. beim Domaincontroller hinterlegt.

Unser Netzwerk ist in 3 VLANs aufgeteilt. Wir haben uns dafür entschieden, da wir im Klasse C Netzwerk kaum noch IP-Adressen frei hatten.

192.168.110.0/24
192.168.111.0/24
192.168.112.0/24

Ich frage das, da wir gerade einen Fehler hatten, wo dann die Frage auf kam wieso wir nicht die Gateway der Firewall beim DC eingetragen haben.

Es ging darum, dass ein Server der in einer DMZ (192.168.109.xx) steht auf ein SMB Share vom DC zugreifen sollte. Die Firewallregeln waren alle richtig eingestellt aber trotzdem kam die Verbindung nicht zustande.

Es lag daran, dass wir als Gateway beim DC die Brocadeswitche und nicht die Firewall als Gateway eingetragen hatten und die Brocade Switche das Netz 192.168.109.0/24 nicht kannten.

Dieses konnten wir durch eine statische TCP/IP-Route beheben.

route -p ADD 192.168.110.1 MASK 255.255.255.0 192.168.110.200 <- Firewall

Content-ID: 650809

Url: https://administrator.de/contentid/650809

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

SlainteMhath
SlainteMhath 11.02.2021 aktualisiert um 15:09:33 Uhr
Goto Top
Moin,

Switch kann Wirespeed - die Firewall (meist) nicht. Falls für die VLAN Trennung keine komplexen Regeln sein müssen und alles mit den ACLs des L3 Switches abgebildet werden kann, ist der immer der FW vorzuziehen.

Wobei hier natürlich auch entsprechenden Redundanzen vorhanden sein müssen. VRRP und Konsorten z.b.

/edit:
Es ging darum das ein Server der in einer DMZ (192.168.109.xx) steht auf ein SMB Share vom DC zugreifen sollte.
Woah... so viele Fehler... seid ihr sicher?!

lg,
Slaimte
ingrimmsch
ingrimmsch 11.02.2021 aktualisiert um 15:15:44 Uhr
Goto Top
Woah... so viele Fehler... seid ihr sicher?!
Wie meinst du das? Ich habe gerade den Routing Tabelle offen. Fakt ist das es ohne das Routing nicht funktionierte. Ich hatte zum Test alle Ports von der DMZ zum DC geöffnet, aber der SMB Mount funktionierte trotzdem nicht.

Auf der Firewall konnte ich die Anfragen an den DC sehen, aber es wurden keine Pakete übertragen. Erst nachdem der Routingeintrag auf dem DC gesetzt wurde funktionierte es.
aqui
Lösung aqui 11.02.2021 aktualisiert um 15:20:02 Uhr
Goto Top
sollte man lieber ein Switch oder Firewall als Gateway eintragen?
Ob du in der Schule aufgepasst hast ode rnicht können wir hier nicht beurtielen. Fakt ist aber das das ganz darauf an kommt welches Netzwerk Design man zugrunde legt. Leide rkommt da ja wenig bis gar nichts von dir. face-sad
Bei einem reinen Layer 2 Design immer Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bei einem Layer 3 Design immer den Switch:
Verständnissproblem Routing mit SG300-28

Du hast im Office ganz sicher ein klassisches Netzwerk Design mit einem Layer 3 Core wo die üblicherweise Brocades in einem L3 Fullstack arbeiten wie z.B. dieses hier:
stackdesign
Folglich ist es also richtig das bei allen Clients immer die Core Switch IP als Gateway vergeben wird, denn das ist ja der Layer 3 Router zwioschen den einzelnen IP Netzen (VLANs) ! Absolut klassisches Design also... 😉

Um die Frage aber umfassend zu beantworten muss man zwingend euer Design kennen und ganz besonders WIE die Firewall in dem Layer 3 Design angebunden ist.
Leider machst du dazu keinerlei Angaben so das wir auch nur die Kristallkugel bemühen können. Eine zielführende Antwort ist ohne dein Design zu kennen unmöglich. Weisst du auch sicher selber...
em-pie
em-pie 11.02.2021 um 15:21:28 Uhr
Goto Top
Moin,

Weil euer Kardinalsfehler ist, dass ihr VON der DMZ ins LAN zugreifen wollt.
Genau das soll in einer DMZ nicht passieren.
Es Soll immer der Zugriff LAN -> DMZ stattfinden, niemals andersherum bzw. nur in sehr besonderen und abgesicherten Fällen.

Gruß
em-pie
ingrimmsch
ingrimmsch 11.02.2021 um 15:28:50 Uhr
Goto Top
Es ist mir schon bewusst das es für eine komplette Anwort mit meinen Informationen nicht ausreicht. Aber deine Antwort ist schon mehr als genug. Danke dafür.
aqui
aqui 11.02.2021 um 15:32:24 Uhr
Goto Top
Immer gerne ! face-wink

Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
ingrimmsch
ingrimmsch 11.02.2021 aktualisiert um 15:37:04 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Weil euer Kardinalsfehler ist, dass ihr VON der DMZ ins LAN zugreifen wollt.
Genau das soll in einer DMZ nicht passieren.
Es Soll immer der Zugriff LAN -> DMZ stattfinden, niemals andersherum bzw. nur in sehr besonderen und abgesicherten Fällen.

Gruß
em-pie
Schön das ich immer wieder andere Informationen bekomme face-smile
Nur für mich zum Verständnis. Wie kann dann der REST-Server (DMZ) dem Webshop denn dann die Informationen übergeben? Er muss doch irgendwie auf das SMB Share zugreifen um z.B. Bilddateien zu bekommen?
Die Einrichtung hat ein LANCOM Techniker vorgenommen und am Telefon gemeint das es so absolut in Ordnung wäre. Aber das hat eigentlich auch nichts mit meinem jetzigen Beitrag zu tun.
SlainteMhath
SlainteMhath 11.02.2021 um 16:24:30 Uhr
Goto Top
> Woah... so viele Fehler... seid ihr sicher?!
Wie meinst du das?

0) Ihr wollt ein Loch von der DMZ ins LAN bohren
1) Das Loch führt direkt zum DC
2) auf dem DC läuft ein SMB Share
ingrimmsch
ingrimmsch 11.02.2021 aktualisiert um 18:12:44 Uhr
Goto Top
Verstehe worauf du hinaus willst.
Umso länger ich darüber nachdenke missfällt mir der Gedanke ebenfalls. Nur ich finde keine Lösung wie sonst der REST-API Server an die benötigten Informationen kommen soll. Ich muss das nochmal mit dem ERP Hersteller und LANCOM klären.
So in etwa äuft das ab. Alle anderen Ports zwischen den Systemen sind geschlossen. Vor der Firewall (LANCOM) ist noch ein Bintec Router.

rest
em-pie
Lösung em-pie 11.02.2021 um 18:46:33 Uhr
Goto Top
Um dein Problem mit dem Share zu lösen:

Einen Server in die DMZ setzen, der einen SMB-Share bereitstell, kann ja auch ein popeliges NAS sein.

Vom LAN werden die Bilder dann in die DMZ repliziert (täglich bis halbstündlich oder oder) und so kommt der Webshop an die Bilder, ohne ins LAN zu müssen.


Mit deinem Konstrukt wird der Server in der DMZ kompromittiert, findet den Share im LAN, legt dort Daten ab, die der DC mag und sich dann über Schädlinge sicherlich mehr als nur nicht freut...
ingrimmsch
ingrimmsch 12.02.2021 aktualisiert um 10:26:50 Uhr
Goto Top
Zitat von @em-pie:

Um dein Problem mit dem Share zu lösen:

Einen Server in die DMZ setzen, der einen SMB-Share bereitstell, kann ja auch ein popeliges NAS sein.

Verstehe ich es richtig das ihr dann das NAS mittels VLAN komplett vom lokalen Netz trennen würdet?

Vom LAN werden die Bilder dann in die DMZ repliziert (täglich bis halbstündlich oder oder) und so kommt der Webshop an die Bilder, ohne ins LAN zu müssen.

Ja jeden Abend läuft diese Replikation.

Mit deinem Konstrukt wird der Server in der DMZ kompromittiert, findet den Share im LAN, legt dort Daten ab, die der DC mag und sich dann über Schädlinge sicherlich mehr als nur nicht freut...

Also NAS im anderen VLAN wäre eineAntwort oder?

Die Antwort von LANCOM:
Wie sieht es denn mit dem Thema Web-Proxy aus?
Somit könnten Sie den Zugriff des Webshops absichern.
Ich hatte dazu folgendes geschrieben:
1) Web-Proxy auf der Verbindung Webshop zu REST-API Server
em-pie
Lösung em-pie 12.02.2021 um 16:13:58 Uhr
Goto Top
Moin,

Ja, das NAS wird vom LAN getrennt. Ob nun über VLAN oder ein eigenes, physisch getrenntes Netz hängt ja von eurer Umgebung ab.
Und dann greift das LAN auf das NAS zu aber nicht umgekehrt...


Und euer Webshop, welcher in der DMZ hängt, sollte zweifelsfrei hinter einem ReverseProxy hängen, damit der nicht nackend im WAN hängt...


Holt euch einen Herstellerneutralen Dienstleister ins Haus. Nichts gegen LANCOM, aber ob die hier als Konzeptpartner geeignet sind...