Trennung von Subnetzten mittels externen Firewall und V-LAN

Mitglied: coolusaHD

coolusaHD (Level 1) - Jetzt verbinden

04.02.2021 um 16:14 Uhr, 497 Aufrufe, 8 Kommentare, 4 Danke

Hallo zusammen,

dies ist mein erster Beitrag und ich hoffe ich schildere euch mein Problem richtig ^^

Folgende Situation besteht aktuell.

Das Hauptnetz A hat eine öffentliche IP.
Dahinter steckt eine Fritzbox mit dem Netz 192.168.100.0 und Subnetzmaske 255.255.255.0

Nun sind in diesem Netz zwei weitere Fritzboxen mit
Sekundärnetz B:
192.168.200.0 und Subnetzmaske 255.255.255.0
und
Sekundärnetz C:
192.168.300.0 und Subnetzmaske 255.255.255.0

Das Hauptnetz ist ein funktionierendes Firmennetzwerk, weshalb unnötige Portfreigaben vermeidet werden sollte.

Sekundärnetz C ist ein Heimnetz und sollte nur abgeschottet werden um die Sicherheit zu erhöhen.

Im Sekundärnetz B ist jedoch ein Server, welcher durch die 2 davor geschaltenden Firewalls nicht erreichbar ist.

Mein Anliegen ist es nun wie genau ich diese 3 Netzte voneinander trennen kann.
Mein erster Gedanke wäre ein V-LAN. Nun ist die Frage was ich dafür genau hardwaretechnische brauche?
Für mehr Sicherheit hatte ich auch schon an eine externe UTM Firewall gedacht.

Es besteht die Möglichkeit zwei weitere feste öffentliche IPv4 Adressen dazu zu buchen.

Meine Idee wäre nun den Internetzugang in eine erste FB zu leiten mit deaktivierter Firewall.
Dahinter sollte dann meines Wissen eine V-Lan fähige UTM Firewall platziert werden, wodurch ich dann unterscheiden könnte welcher Port in welches Netz weitergeleitet werden soll.
Da auf beiden Servern ein Webserver läuft benötige ich ja eigentlich zwei öffentliche IP-Adressen oder ?

Jetzt endlich zu meiner eigentlichen Hauptfrage.
1. Welche zusätzliche Hardware benötige ich um die folgende Situation zu bewältigen?

2. Welche V-Lan fähige UTM Firewall gibt es denn um genau so etwas zu betreiben?

3. Reicht die Fritzbox weiterhin, auch wenn mehrere öffentliche feste IPv4 Adressen dazukommen, oder sollte man wechseln ?

Falls noch etwas unklar sein sollte einfach melden...
Ich könnte noch eine Skizze anfertigen, falls dies benötigt wird um mein Problem besser zu verstehen

Vielen Dank schonmal im Vorraus.
LG Phil
Mitglied: aqui
04.02.2021 um 16:37 Uhr
Nun ist die Frage was ich dafür genau hardwaretechnische brauche?
Bei einem Layer 2 Design (externer VLAN Router) ist das hier was du brauchst:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Bei einem Layer 3 Design (mit L3 fähigem Switch) brauchst du das:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Hauptfragen:
1.) VLAN fähiger Router oder Firewall und Layer 2 VLAN Switch. Mit einem Layer 3 Konzept kann der externen VLAN Router entfallen. Leider machst du keinerlei Aussagen zu deiner Design Planung. :-( face-sad
2.) pfSense zum Beispiel und alle üblichen Verdächtigen die es am markt gibt wie Sophos, Fortinet, Cisco Firepower, Cisco ASA, Palo Alto, Watchguard, Sonicwall usw. usw. und wie sie alle heissen.
3.) VLANs und FritzBox passt generell nicht, weil die FritzBox als billige Consumer Plastebox dieses Feature gar nicht supportet. Das erfordert dann zwingend immer einen Layer 3 Switch bzw. ein Layer 3 Konzept. FritzBox ist generell für so ein Umfeld die falsche Hardware.
Wie solche Grunddesigns aussehen können siehst du auch hier:
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-routeros-v ...
Wie immer: Lesen und verstehen ! ;-) face-wink
Bitte warten ..
Mitglied: coolusaHD
04.02.2021 um 17:10 Uhr
Zitat von @aqui:
Leider machst du keinerlei Aussagen zu deiner Design Planung. :-( face-sad

Erstmal vielen Dank für die schnelle Antwort :) face-smile

Zur Frage zum Design bin ich etwas überfordert.
Aktuelle sind alle Router Fritzboxen und der Switch welcher hinter Hauptnetzrouter A steht nicht V-LAN fähig.
Wenn ich das richtig verstanden haben müsste ich die sowie die Router, als auch den Switch austauschen oder ?

Welchen Router oder Switch würdest du denn empfehlen wenn sie auch eher Richtung Anwenderfreundlichkeit punkten sollten ?

Wäre es möglich nur einen Router zu ersetzten und aus dem neuen Router die Kabel in zwei Fritzboxen zu und dem nicht V-LAN Fähigen Switch zu legen ? Da der switch ja nur im Firmennetzwerk verteilt und die anderen Sekundärnetzte auch direkt gesplittet werden könnten?

LG
Phil
Bitte warten ..
Mitglied: aqui
04.02.2021, aktualisiert um 18:55 Uhr
Zur Frage zum Design bin ich etwas überfordert.
Genau deshalb haben die o.a. Links auch schöne bunte Bilder so das auch Laien es sofort verstehen. 😉
und der Switch welcher hinter Hauptnetzrouter A steht nicht V-LAN fähig.
OK, das ist natürlich das erste was du angehen musst. Ohne VLAN Switch natürlich keine VLANs. Für solche Binsenweisheiten braucht es kein Administrator Forum....logisch ! ;-) face-wink
Wenn es dir rein nur um eine physische Trennung dieser Netze geht und diese nicht untereinander kommunizieren sollen reicht ein stinknormaler Layer 2 VLAN Switch von der Stange.
müsste ich die sowie die Router, als auch den Switch austauschen oder ?
Nein, nicht unbedingt. Kommt drauf an was du genau willst
  • Nur eine reine physische Trennung der Netze OHNE VLAN Kommunikation untereinander
  • ...gleiches aber MIT Kommunikation untereinander unter Beibehaltung der FritzBoxen
Diese wichtige Grundvoraussetzung deiner Planung sollte man zuerst kennen bevor man weitermacht.
Wäre es möglich nur einen Router zu ersetzten und aus dem neuen Router die Kabel in zwei Fritzboxen zu und dem nicht V-LAN Fähigen Switch zu legen ?
Auch das wäre möglich. Man müsste sogar gar nichts an Routern tauschen außer dem Switch.
Dazu muss man aber eben wissen ob die VLANs nur getrennt werden sollen oder auch untereinander reden sollen. Das solltest du als als erstes klären.
Eine kleinen Topologie Skizze deines geplanten Netzes würde also ALLEN hier sehr helfen für eine zielführende Lösung !!
Vielleicht hilt dir dieser kürzliche Thread noch zum Verständnis:
https://administrator.de/forum/vlan-konfiguration-hp-1920-647101.html
Wobei das jetzt keine Empfehlung für HP Gruselswitches sein soll !!!
Bitte warten ..
Mitglied: coolusaHD
04.02.2021, aktualisiert um 19:01 Uhr
Untereinander Reden müssen sie gar net. (Hätte ich wohl eher erwähnen müssen :) face-smile )
Es geht darum, dass ich bei mehreren öffentlichen IPs einstellen kann, welches Netz angewählt wird und für jede IP auch eigene Portfreigaben machen kann.

Dann dürfte mir doch ein V-LAN Router und eine UTM ausreichen oder ?

Denke mal die Topologie wäre damit klar oder?

LG Phil

So ist die aktuelle Topologie mit einer öffentlichen IP
alt - Klicke auf das Bild, um es zu vergrößern

So ist die gewünschte neue Topologie
neu - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
04.02.2021, aktualisiert 05.02.2021
Denke mal die Topologie wäre damit klar oder?
Wenn man mal von der falschen Kontext Stelle absieht, ja !
Wenn du mal die FAQs lesen würdest, dann würdest du dort sehen das man das "+" klicken sollte an der Stelle des Textes wo das Bild eingeführt werden soll ! :-( face-sad
Bei dir hängen sie jetzt zusamenhangslos aus dem Kontext gerissen am Ende und verwirren nur.
FAQs lesen hilft wirklich. Und nachträglich korrigieren lässt sich das über den "Bearbeiten" Knops rechts unter "Mehr" ! Wäre also hilfreich...
mehreren öffentlichen IPs einstellen kann, welches Netz angewählt wird und für jede IP auch eigene Portfreigaben machen kann.
OK, dann reden wir aber hier über reine Router und Firewall Funktionen und NICHT über die Switches. Beim Switch reicht dann ein stinknormaler VLAN Switch und diese Funktion kann jede belibige Firewall über ihre IP Alias Funktion wie z.B. eine pfSense. Das ist simplester Standard heutzutage.
Dann dürfte mir doch ein V-LAN Router und eine UTM ausreichen oder ?
Richtig !
Eine einzige Box reicht dafür. Router B und Router C sind vollkommen überflüssig ! Die Segmentierung machst du dann gleich dort wie es auch in diesem Tutorial beschrieben ist:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Ist quasi 1:1 exakt dein Design und millionfacher Standard. ;-) face-wink
Bitte warten ..
Mitglied: coolusaHD
04.02.2021 um 19:24 Uhr
Wenn man mal von der falschen Kontext Stelle absieht, ja !
Sorry nochmal dafür...

Bei dir hängen sie jetzt zusamenhangslos aus dem Kontext gerissen am Ende und verwirren nur.
Danke für den Tipp werde es dann bei meinen nächstem Beitrag berücksichtigen.

OK, dann reden wir aber hier über reine Router und Firewall Funktionen und NICHT über die Switches. Beim Switch reicht dann ein stinknormaler VLAN Switch
Brauche ich dann wirklich einen V-LAN Switch ? Da der Switch ja nur im Firmennetz operiert. und damit ja nur eines der 3 V-LANs betreut

Jz stellt sich nur die Frage welchen V-LAN Router und welche UTM Gurke ;) du empfehlen könntest, da ich in diesem Gebiet eher wenig Erfahrung habe.
Dürfte ich noch fragen wieso UTM Gurke?

LG
Phil
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.02.2021, aktualisiert um 11:16 Uhr
Brauche ich dann wirklich einen V-LAN Switch ?
Nein, bei deinem Design natürlich nicht. Da reicht ein simpler Standard Layer 2 VLAN Switch.
Die Layer 3 Segmentierung macht dann die zentrale Firewall. Router B und Router C entfällen dann natürlich ersatzlos und die 2 LANs an den Routern B und C wandern dann als simple Layer 2 VLANs auf den VLAN Switch. Dein gewünschtes Design ist noch viel zu kompliziert und umständlich und solltest du etwas "verschlanken". Die überflüssigen Router sind da alles sinnfreie "Durchlauferhitzer" ohne Funktion !
Klassisches Standard Design also ....
fwvlan - Klicke auf das Bild, um es zu vergrößern
Keep ist simple, stupid an performant ! 😉
Bitte warten ..
Mitglied: coolusaHD
05.02.2021 um 11:03 Uhr
Vielen Danke für die schnelle Hilfe
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 20 StundenFrageSwitche und Hubs29 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 18 StundenFrageBatch & Shell18 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Ubuntu
Mailserver Test Provider IP
gelöst it-blzVor 1 TagFrageUbuntu9 Kommentare

Hallo, ist es möglich einen "Mailserver" (Imap + smtp) in einer Virtual Box mit einer Provider IP (dynamisch - ist allerdings konstant) zu testen? ...

Microsoft
MS Teams und Office im gemeinnützigen Verein
DanielBodenseeVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen, ich würde gerne in unserem anerkannten gemeinnützigen Verein eine gemeinsame Platform aufbauen, über die wir Diskutieren und uns austauschen können, insbesondere bei ...

Hardware
DisplayPort zu USB-C Adapter Converter
gelöst felixhuth-itVor 1 TagFrageHardware11 Kommentare

Hallo liebe Gemeinde Ich habe da ein kleines Problemchen. Der Kunde wollte einen 14 Zoll Monitor mit Touch in Verbindung mit einem Mini PC ...

Linux Netzwerk
SAMBA FS Portfreigabe
gelöst Jannik2018Vor 1 TagFrageLinux Netzwerk17 Kommentare

Hallo zusammen, ich habe eine Portfreigabe für meinen SAMBA Server mit Netzwerkfreigaben auf port 445 TCP eingerichtet allerdings wenn ich per DNS oder externer ...

Ausbildung
FISI Projektantrag GPO
gelöst JenzooVor 1 TagFrageAusbildung10 Kommentare

Moin, leider wurde mein Projektantrag abgelehnt mit folgender Begründung abgelehnt "Antrag kann so nicht genehmigt werden. Uns fehlt hier die Tiefe und der entsprechende ...