12
Switch oder Firewall als Gateway
Hallo,
sollte man lieber ein Switch oder Firewall als Gateway eintragen? Irgendwie habe ich das in der Ausbildung nicht mitbekommen, oder ich habe in der Schule nicht aufgepasst :D
Hier im Unternehmen haben wir die Brocade Switche als Gateway z.B. beim Domaincontroller hinterlegt.
Unser Netzwerk ist in 3 VLANs aufgeteilt. Wir haben uns dafür entschieden, da wir im Klasse C Netzwerk kaum noch IP-Adressen frei hatten.
192.168.110.0/24
192.168.111.0/24
192.168.112.0/24
Ich frage das, da wir gerade einen Fehler hatten, wo dann die Frage auf kam wieso wir nicht die Gateway der Firewall beim DC eingetragen haben.
Es ging darum, dass ein Server der in einer DMZ (192.168.109.xx) steht auf ein SMB Share vom DC zugreifen sollte. Die Firewallregeln waren alle richtig eingestellt aber trotzdem kam die Verbindung nicht zustande.
Es lag daran, dass wir als Gateway beim DC die Brocadeswitche und nicht die Firewall als Gateway eingetragen hatten und die Brocade Switche das Netz 192.168.109.0/24 nicht kannten.
Dieses konnten wir durch eine statische TCP/IP-Route beheben.
sollte man lieber ein Switch oder Firewall als Gateway eintragen? Irgendwie habe ich das in der Ausbildung nicht mitbekommen, oder ich habe in der Schule nicht aufgepasst :D
Hier im Unternehmen haben wir die Brocade Switche als Gateway z.B. beim Domaincontroller hinterlegt.
Unser Netzwerk ist in 3 VLANs aufgeteilt. Wir haben uns dafür entschieden, da wir im Klasse C Netzwerk kaum noch IP-Adressen frei hatten.
192.168.110.0/24
192.168.111.0/24
192.168.112.0/24
Ich frage das, da wir gerade einen Fehler hatten, wo dann die Frage auf kam wieso wir nicht die Gateway der Firewall beim DC eingetragen haben.
Es ging darum, dass ein Server der in einer DMZ (192.168.109.xx) steht auf ein SMB Share vom DC zugreifen sollte. Die Firewallregeln waren alle richtig eingestellt aber trotzdem kam die Verbindung nicht zustande.
Es lag daran, dass wir als Gateway beim DC die Brocadeswitche und nicht die Firewall als Gateway eingetragen hatten und die Brocade Switche das Netz 192.168.109.0/24 nicht kannten.
Dieses konnten wir durch eine statische TCP/IP-Route beheben.
route -p ADD 192.168.110.1 MASK 255.255.255.0 192.168.110.200 <- Firewall
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 650809
Url: https://administrator.de/contentid/650809
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
Switch kann Wirespeed - die Firewall (meist) nicht. Falls für die VLAN Trennung keine komplexen Regeln sein müssen und alles mit den ACLs des L3 Switches abgebildet werden kann, ist der immer der FW vorzuziehen.
Wobei hier natürlich auch entsprechenden Redundanzen vorhanden sein müssen. VRRP und Konsorten z.b.
/edit:
lg,
Slaimte
Switch kann Wirespeed - die Firewall (meist) nicht. Falls für die VLAN Trennung keine komplexen Regeln sein müssen und alles mit den ACLs des L3 Switches abgebildet werden kann, ist der immer der FW vorzuziehen.
Wobei hier natürlich auch entsprechenden Redundanzen vorhanden sein müssen. VRRP und Konsorten z.b.
/edit:
Es ging darum das ein Server der in einer DMZ (192.168.109.xx) steht auf ein SMB Share vom DC zugreifen sollte.
Woah... so viele Fehler... seid ihr sicher?!lg,
Slaimte
1
Woah... so viele Fehler... seid ihr sicher?!
Wie meinst du das? Ich habe gerade den Routing Tabelle offen. Fakt ist das es ohne das Routing nicht funktionierte. Ich hatte zum Test alle Ports von der DMZ zum DC geöffnet, aber der SMB Mount funktionierte trotzdem nicht.Auf der Firewall konnte ich die Anfragen an den DC sehen, aber es wurden keine Pakete übertragen. Erst nachdem der Routingeintrag auf dem DC gesetzt wurde funktionierte es.
sollte man lieber ein Switch oder Firewall als Gateway eintragen?
Ob du in der Schule aufgepasst hast ode rnicht können wir hier nicht beurtielen. Fakt ist aber das das ganz darauf an kommt welches Netzwerk Design man zugrunde legt. Leide rkommt da ja wenig bis gar nichts von dir. 
Bei einem reinen Layer 2 Design immer Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bei einem Layer 3 Design immer den Switch:
Verständnissproblem Routing mit SG300-28
Du hast im Office ganz sicher ein klassisches Netzwerk Design mit einem Layer 3 Core wo die üblicherweise Brocades in einem L3 Fullstack arbeiten wie z.B. dieses hier:
Um die Frage aber umfassend zu beantworten muss man zwingend euer Design kennen und ganz besonders WIE die Firewall in dem Layer 3 Design angebunden ist.
Leider machst du dazu keinerlei Angaben so das wir auch nur die Kristallkugel bemühen können. Eine zielführende Antwort ist ohne dein Design zu kennen unmöglich. Weisst du auch sicher selber...
Moin,
Weil euer Kardinalsfehler ist, dass ihr VON der DMZ ins LAN zugreifen wollt.
Genau das soll in einer DMZ nicht passieren.
Es Soll immer der Zugriff LAN -> DMZ stattfinden, niemals andersherum bzw. nur in sehr besonderen und abgesicherten Fällen.
Gruß
em-pie
Weil euer Kardinalsfehler ist, dass ihr VON der DMZ ins LAN zugreifen wollt.
Genau das soll in einer DMZ nicht passieren.
Es Soll immer der Zugriff LAN -> DMZ stattfinden, niemals andersherum bzw. nur in sehr besonderen und abgesicherten Fällen.
Gruß
em-pie
1
Es ist mir schon bewusst das es für eine komplette Anwort mit meinen Informationen nicht ausreicht. Aber deine Antwort ist schon mehr als genug. Danke dafür.
Immer gerne ! 
Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Zitat von @em-pie:
Moin,
Weil euer Kardinalsfehler ist, dass ihr VON der DMZ ins LAN zugreifen wollt.
Genau das soll in einer DMZ nicht passieren.
Es Soll immer der Zugriff LAN -> DMZ stattfinden, niemals andersherum bzw. nur in sehr besonderen und abgesicherten Fällen.
Gruß
em-pie
Schön das ich immer wieder andere Informationen bekomme Moin,
Weil euer Kardinalsfehler ist, dass ihr VON der DMZ ins LAN zugreifen wollt.
Genau das soll in einer DMZ nicht passieren.
Es Soll immer der Zugriff LAN -> DMZ stattfinden, niemals andersherum bzw. nur in sehr besonderen und abgesicherten Fällen.
Gruß
em-pie
Nur für mich zum Verständnis. Wie kann dann der REST-Server (DMZ) dem Webshop denn dann die Informationen übergeben? Er muss doch irgendwie auf das SMB Share zugreifen um z.B. Bilddateien zu bekommen?
Die Einrichtung hat ein LANCOM Techniker vorgenommen und am Telefon gemeint das es so absolut in Ordnung wäre. Aber das hat eigentlich auch nichts mit meinem jetzigen Beitrag zu tun.
> Woah... so viele Fehler... seid ihr sicher?!
Wie meinst du das?
Wie meinst du das?
0) Ihr wollt ein Loch von der DMZ ins LAN bohren
1) Das Loch führt direkt zum DC
2) auf dem DC läuft ein SMB Share
Verstehe worauf du hinaus willst.
Umso länger ich darüber nachdenke missfällt mir der Gedanke ebenfalls. Nur ich finde keine Lösung wie sonst der REST-API Server an die benötigten Informationen kommen soll. Ich muss das nochmal mit dem ERP Hersteller und LANCOM klären.
So in etwa äuft das ab. Alle anderen Ports zwischen den Systemen sind geschlossen. Vor der Firewall (LANCOM) ist noch ein Bintec Router.
Umso länger ich darüber nachdenke missfällt mir der Gedanke ebenfalls. Nur ich finde keine Lösung wie sonst der REST-API Server an die benötigten Informationen kommen soll. Ich muss das nochmal mit dem ERP Hersteller und LANCOM klären.
So in etwa äuft das ab. Alle anderen Ports zwischen den Systemen sind geschlossen. Vor der Firewall (LANCOM) ist noch ein Bintec Router.
Um dein Problem mit dem Share zu lösen:
Einen Server in die DMZ setzen, der einen SMB-Share bereitstell, kann ja auch ein popeliges NAS sein.
Vom LAN werden die Bilder dann in die DMZ repliziert (täglich bis halbstündlich oder oder) und so kommt der Webshop an die Bilder, ohne ins LAN zu müssen.
Mit deinem Konstrukt wird der Server in der DMZ kompromittiert, findet den Share im LAN, legt dort Daten ab, die der DC mag und sich dann über Schädlinge sicherlich mehr als nur nicht freut...
Einen Server in die DMZ setzen, der einen SMB-Share bereitstell, kann ja auch ein popeliges NAS sein.
Vom LAN werden die Bilder dann in die DMZ repliziert (täglich bis halbstündlich oder oder) und so kommt der Webshop an die Bilder, ohne ins LAN zu müssen.
Mit deinem Konstrukt wird der Server in der DMZ kompromittiert, findet den Share im LAN, legt dort Daten ab, die der DC mag und sich dann über Schädlinge sicherlich mehr als nur nicht freut...
2Zitat von @em-pie:
Um dein Problem mit dem Share zu lösen:
Einen Server in die DMZ setzen, der einen SMB-Share bereitstell, kann ja auch ein popeliges NAS sein.
Verstehe ich es richtig das ihr dann das NAS mittels VLAN komplett vom lokalen Netz trennen würdet?Um dein Problem mit dem Share zu lösen:
Einen Server in die DMZ setzen, der einen SMB-Share bereitstell, kann ja auch ein popeliges NAS sein.
Vom LAN werden die Bilder dann in die DMZ repliziert (täglich bis halbstündlich oder oder) und so kommt der Webshop an die Bilder, ohne ins LAN zu müssen.
Ja jeden Abend läuft diese Replikation.Mit deinem Konstrukt wird der Server in der DMZ kompromittiert, findet den Share im LAN, legt dort Daten ab, die der DC mag und sich dann über Schädlinge sicherlich mehr als nur nicht freut...
Die Antwort von LANCOM:
Wie sieht es denn mit dem Thema Web-Proxy aus?
Somit könnten Sie den Zugriff des Webshops absichern.
Ich hatte dazu folgendes geschrieben:
1) Web-Proxy auf der Verbindung Webshop zu REST-API Server
Moin,
Ja, das NAS wird vom LAN getrennt. Ob nun über VLAN oder ein eigenes, physisch getrenntes Netz hängt ja von eurer Umgebung ab.
Und dann greift das LAN auf das NAS zu aber nicht umgekehrt...
Und euer Webshop, welcher in der DMZ hängt, sollte zweifelsfrei hinter einem ReverseProxy hängen, damit der nicht nackend im WAN hängt...
Holt euch einen Herstellerneutralen Dienstleister ins Haus. Nichts gegen LANCOM, aber ob die hier als Konzeptpartner geeignet sind...
Ja, das NAS wird vom LAN getrennt. Ob nun über VLAN oder ein eigenes, physisch getrenntes Netz hängt ja von eurer Umgebung ab.
Und dann greift das LAN auf das NAS zu aber nicht umgekehrt...
Und euer Webshop, welcher in der DMZ hängt, sollte zweifelsfrei hinter einem ReverseProxy hängen, damit der nicht nackend im WAN hängt...
Holt euch einen Herstellerneutralen Dienstleister ins Haus. Nichts gegen LANCOM, aber ob die hier als Konzeptpartner geeignet sind...
1
