Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Switch Port sichern

Mitglied: UnbekannterNR1

UnbekannterNR1 (Level 1) - Jetzt verbinden

22.03.2019 um 08:59 Uhr, 1022 Aufrufe, 2 Kommentare

Zur Situartion:
2x Pfsense jeweils mit eigenem WAN direkt an Firewall angebunden (Kein HA) dann DMZ Bereich und danach eine weitere Firewall die Interne.

Jetzt steht ein Providerwechsel ins Haus, und bei der Gelegenheit sollen auch gleich die Firewalls auf HA umgestellt werden, also ein klassisches HA Setup mit Multi-WAN.

Jetzt muss ich natürlich für dieses Setup die Internet Anbindung auf die Switche bringen, leider muss ich an der stelle über die DMZ Switche gehen aufgrund von Räumlicher Trennung und Budget.
Dazu die Zeichnung:


fireall wan - Klicke auf das Bild, um es zu vergrößern


Meine Frage wäre was muss ich an den Switchen beachten, da ich auf den Geräten die beiden Netze ja möglichst gut trennen will, und der Provider Router soll möglichst wenig über unsere Struktur erfahren. Hauptziel ist natürlich das niemand ungefiltert in die DMZ oder gar noch weiter kommt.

Mein Plan bisher.
- VLAN 101 + 101 auf allen anderen Ports der Switche auf Forbid stellen
- Auf den vier Ports mit den VLANs 101+102 alle Anderen VLANs auf Forbid stellen
- Auf den vier Ports mit den VLANs 101+102 BPDU Pakete komplett Filtern.
- Wenn möglich auch LLDP deaktivieren.
- Switche haben in den Netzwerken keine IP Adresse bzw. kein vlan interface.
- 802.1x sehe ich hier noch nicht wirklich weil mir dort die Infrastruktur für fehlt, die Räume abgeschlossen sind. Und an den Port sowieso das "böse" Internet hängt.

Habe ich vielleicht noch vergessen? Hat noch jemand Tips um das Thema besser anzugehen, außer nimm getrennte Geräte.

Bei den DMZ Geräten handelt es sich um Aruba 2930F Und ja ich weiß HP(Aruba) ist hier unbeliebt aber dafür muss es eben reichen ;)
Mitglied: ashnod
22.03.2019 um 09:13 Uhr
Moin ....

Also mal kurz ... dein Plan ist irgendwie so abstrus da hat man nicht mal Lust drauf zu sehen.

Vielleicht solltest du dir die Tutorials von @aqui hier ansehen und deinen Plan nochmal sinnvoll überdenken.

VG
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.03.2019 um 12:21 Uhr
Du könntest noch eine Mac Port Security einrichten und nur die Macs der pfSense zulassen auf dem L2, dann kann man dort nichts anderes anstecken.
Andere Alternative wäre mit einem Privat VLAN (PVLAN) zu arbeiten und die pfSense Ports nur als Uplinks definieren.
Generell birgt so ein Design immer die Gefahr das jemand mal was in den falschen Port steckt und damit dein ganzens Konzept dann kompromitiert.
Aber damit musst du dann halt leben wenn du keine dedizierten Drähte hast und so mit VLANs über einen Trunk Port arbeitest.
Generell ist das aber so natürlich machbar.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Cisco Switch Port Trunk
gelöst Frage von Finchen961988Netzwerkmanagement8 Kommentare

Hallo liebes Forum, ich habe oder ich bin aus Zufall über ein Cisco 3750G 24POrt gestolpert und habe mir ...

LAN, WAN, Wireless
Port Isolation auf Ubiquiti Switch
Frage von fdh71gLAN, WAN, Wireless2 Kommentare

Hallo zusammen Ich kann auf den Ubiquiti Switchen auf den einzelnen Ports die "Port Isolation" einschalten. Kann mir jemand ...

Switche und Hubs
Cisco Switch Port Up-Down
gelöst Frage von newit1Switche und Hubs3 Kommentare

Hallo, ich habe den Cisco SG500X-48 Switch. Gibt es eine Möglichkeit zu sehen, wann ein bestimmter Port UP und ...

Switche und Hubs
8 port Gbit switch gesucht
gelöst Frage von dxellasSwitche und Hubs13 Kommentare

Hallo zusammen, Meine Kenntnisse bezüglich switches bewegen sich leider auf sehr geringem Niveau. Bisher hatte ich keinen, brauche nun ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 23 StundenSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Mozillas "DNS over HTTPS" in pfSense blockieren

Anleitung von FA-jka vor 1 TagDNS5 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...