coolusahd
Feb 04, 2021
view1662
view8
0
Goto Top

Trennung von Subnetzten mittels externen Firewall und V-LAN

GermansolvedQuestionNetwork ManagementNetworks
Hallo zusammen,

dies ist mein erster Beitrag und ich hoffe ich schildere euch mein Problem richtig ^^

Folgende Situation besteht aktuell.

Das Hauptnetz A hat eine öffentliche IP.
Dahinter steckt eine Fritzbox mit dem Netz 192.168.100.0 und Subnetzmaske 255.255.255.0

Nun sind in diesem Netz zwei weitere Fritzboxen mit
Sekundärnetz B:
192.168.200.0 und Subnetzmaske 255.255.255.0
und
Sekundärnetz C:
192.168.300.0 und Subnetzmaske 255.255.255.0

Das Hauptnetz ist ein funktionierendes Firmennetzwerk, weshalb unnötige Portfreigaben vermeidet werden sollte.

Sekundärnetz C ist ein Heimnetz und sollte nur abgeschottet werden um die Sicherheit zu erhöhen.

Im Sekundärnetz B ist jedoch ein Server, welcher durch die 2 davor geschaltenden Firewalls nicht erreichbar ist.

Mein Anliegen ist es nun wie genau ich diese 3 Netzte voneinander trennen kann.
Mein erster Gedanke wäre ein V-LAN. Nun ist die Frage was ich dafür genau hardwaretechnische brauche?
Für mehr Sicherheit hatte ich auch schon an eine externe UTM Firewall gedacht.

Es besteht die Möglichkeit zwei weitere feste öffentliche IPv4 Adressen dazu zu buchen.

Meine Idee wäre nun den Internetzugang in eine erste FB zu leiten mit deaktivierter Firewall.
Dahinter sollte dann meines Wissen eine V-Lan fähige UTM Firewall platziert werden, wodurch ich dann unterscheiden könnte welcher Port in welches Netz weitergeleitet werden soll.
Da auf beiden Servern ein Webserver läuft benötige ich ja eigentlich zwei öffentliche IP-Adressen oder ?

Jetzt endlich zu meiner eigentlichen Hauptfrage.
1. Welche zusätzliche Hardware benötige ich um die folgende Situation zu bewältigen?

2. Welche V-Lan fähige UTM Firewall gibt es denn um genau so etwas zu betreiben?

3. Reicht die Fritzbox weiterhin, auch wenn mehrere öffentliche feste IPv4 Adressen dazukommen, oder sollte man wechseln ?

Falls noch etwas unklar sein sollte einfach melden...
Ich könnte noch eine Skizze anfertigen, falls dies benötigt wird um mein Problem besser zu verstehen

Vielen Dank schonmal im Vorraus.
LG Phil
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 648138

Url: https://administrator.de/contentid/648138

Printed on: April 23, 2024 at 17:04 o'clock

8 Comments
Latest comment
Goto Top
Member: aqui
aqui Feb 04, 2021 at 15:37:09 (UTC)
Goto Top
Nun ist die Frage was ich dafür genau hardwaretechnische brauche?
Bei einem Layer 2 Design (externer VLAN Router) ist das hier was du brauchst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bei einem Layer 3 Design (mit L3 fähigem Switch) brauchst du das:
Verständnissproblem Routing mit SG300-28
Hauptfragen:
1.) VLAN fähiger Router oder Firewall und Layer 2 VLAN Switch. Mit einem Layer 3 Konzept kann der externen VLAN Router entfallen. Leider machst du keinerlei Aussagen zu deiner Design Planung. face-sad
2.) pfSense zum Beispiel und alle üblichen Verdächtigen die es am markt gibt wie Sophos, Fortinet, Cisco Firepower, Cisco ASA, Palo Alto, Watchguard, Sonicwall usw. usw. und wie sie alle heissen.
3.) VLANs und FritzBox passt generell nicht, weil die FritzBox als billige Consumer Plastebox dieses Feature gar nicht supportet. Das erfordert dann zwingend immer einen Layer 3 Switch bzw. ein Layer 3 Konzept. FritzBox ist generell für so ein Umfeld die falsche Hardware.
Wie solche Grunddesigns aussehen können siehst du auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Wie immer: Lesen und verstehen ! face-wink
heart1
Member: coolusaHD
coolusaHD Feb 04, 2021 at 16:10:39 (UTC)
Goto Top
Zitat von @aqui:
Leider machst du keinerlei Aussagen zu deiner Design Planung. face-sad

Erstmal vielen Dank für die schnelle Antwort face-smile

Zur Frage zum Design bin ich etwas überfordert.
Aktuelle sind alle Router Fritzboxen und der Switch welcher hinter Hauptnetzrouter A steht nicht V-LAN fähig.
Wenn ich das richtig verstanden haben müsste ich die sowie die Router, als auch den Switch austauschen oder ?

Welchen Router oder Switch würdest du denn empfehlen wenn sie auch eher Richtung Anwenderfreundlichkeit punkten sollten ?

Wäre es möglich nur einen Router zu ersetzten und aus dem neuen Router die Kabel in zwei Fritzboxen zu und dem nicht V-LAN Fähigen Switch zu legen ? Da der switch ja nur im Firmennetzwerk verteilt und die anderen Sekundärnetzte auch direkt gesplittet werden könnten?

LG
Phil
Member: aqui
aqui Feb 04, 2021 updated at 17:55:05 (UTC)
Goto Top
Zur Frage zum Design bin ich etwas überfordert.
Genau deshalb haben die o.a. Links auch schöne bunte Bilder so das auch Laien es sofort verstehen. 😉
und der Switch welcher hinter Hauptnetzrouter A steht nicht V-LAN fähig.
OK, das ist natürlich das erste was du angehen musst. Ohne VLAN Switch natürlich keine VLANs. Für solche Binsenweisheiten braucht es kein Administrator Forum....logisch ! face-wink
Wenn es dir rein nur um eine physische Trennung dieser Netze geht und diese nicht untereinander kommunizieren sollen reicht ein stinknormaler Layer 2 VLAN Switch von der Stange.
müsste ich die sowie die Router, als auch den Switch austauschen oder ?
Nein, nicht unbedingt. Kommt drauf an was du genau willst
  • Nur eine reine physische Trennung der Netze OHNE VLAN Kommunikation untereinander
  • ...gleiches aber MIT Kommunikation untereinander unter Beibehaltung der FritzBoxen
Diese wichtige Grundvoraussetzung deiner Planung sollte man zuerst kennen bevor man weitermacht.
Wäre es möglich nur einen Router zu ersetzten und aus dem neuen Router die Kabel in zwei Fritzboxen zu und dem nicht V-LAN Fähigen Switch zu legen ?
Auch das wäre möglich. Man müsste sogar gar nichts an Routern tauschen außer dem Switch.
Dazu muss man aber eben wissen ob die VLANs nur getrennt werden sollen oder auch untereinander reden sollen. Das solltest du als als erstes klären.
Eine kleinen Topologie Skizze deines geplanten Netzes würde also ALLEN hier sehr helfen für eine zielführende Lösung !!
Vielleicht hilt dir dieser kürzliche Thread noch zum Verständnis:
Vlan Konfiguration HP 1920
Wobei das jetzt keine Empfehlung für HP Gruselswitches sein soll !!!
heart1
Member: coolusaHD
coolusaHD Feb 04, 2021 updated at 18:01:30 (UTC)
Goto Top
Untereinander Reden müssen sie gar net. (Hätte ich wohl eher erwähnen müssen face-smile )
Es geht darum, dass ich bei mehreren öffentlichen IPs einstellen kann, welches Netz angewählt wird und für jede IP auch eigene Portfreigaben machen kann.

Dann dürfte mir doch ein V-LAN Router und eine UTM ausreichen oder ?

Denke mal die Topologie wäre damit klar oder?

LG Phil

So ist die aktuelle Topologie mit einer öffentlichen IP
alt

So ist die gewünschte neue Topologie
neu
Member: aqui
aqui Feb 04, 2021, updated at Feb 05, 2021 at 09:51:53 (UTC)
Goto Top
Denke mal die Topologie wäre damit klar oder?
Wenn man mal von der falschen Kontext Stelle absieht, ja !
Wenn du mal die FAQs lesen würdest, dann würdest du dort sehen das man das "+" klicken sollte an der Stelle des Textes wo das Bild eingeführt werden soll ! face-sad
Bei dir hängen sie jetzt zusamenhangslos aus dem Kontext gerissen am Ende und verwirren nur.
FAQs lesen hilft wirklich. Und nachträglich korrigieren lässt sich das über den "Bearbeiten" Knops rechts unter "Mehr" ! Wäre also hilfreich...
mehreren öffentlichen IPs einstellen kann, welches Netz angewählt wird und für jede IP auch eigene Portfreigaben machen kann.
OK, dann reden wir aber hier über reine Router und Firewall Funktionen und NICHT über die Switches. Beim Switch reicht dann ein stinknormaler VLAN Switch und diese Funktion kann jede belibige Firewall über ihre IP Alias Funktion wie z.B. eine pfSense. Das ist simplester Standard heutzutage.
Dann dürfte mir doch ein V-LAN Router und eine UTM ausreichen oder ?
Richtig !
Eine einzige Box reicht dafür. Router B und Router C sind vollkommen überflüssig ! Die Segmentierung machst du dann gleich dort wie es auch in diesem Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist quasi 1:1 exakt dein Design und millionfacher Standard. face-wink
heart1
Member: coolusaHD
coolusaHD Feb 04, 2021 at 18:24:43 (UTC)
Goto Top
Wenn man mal von der falschen Kontext Stelle absieht, ja !
Sorry nochmal dafür...

Bei dir hängen sie jetzt zusamenhangslos aus dem Kontext gerissen am Ende und verwirren nur.
Danke für den Tipp werde es dann bei meinen nächstem Beitrag berücksichtigen.

OK, dann reden wir aber hier über reine Router und Firewall Funktionen und NICHT über die Switches. Beim Switch reicht dann ein stinknormaler VLAN Switch
Brauche ich dann wirklich einen V-LAN Switch ? Da der Switch ja nur im Firmennetz operiert. und damit ja nur eines der 3 V-LANs betreut

Jz stellt sich nur die Frage welchen V-LAN Router und welche UTM Gurke ;) du empfehlen könntest, da ich in diesem Gebiet eher wenig Erfahrung habe.
Dürfte ich noch fragen wieso UTM Gurke?

LG
Phil
Member: aqui
Solution aqui Feb 05, 2021 updated at 10:16:23 (UTC)
Goto Top
Brauche ich dann wirklich einen V-LAN Switch ?
Nein, bei deinem Design natürlich nicht. Da reicht ein simpler Standard Layer 2 VLAN Switch.
Die Layer 3 Segmentierung macht dann die zentrale Firewall. Router B und Router C entfällen dann natürlich ersatzlos und die 2 LANs an den Routern B und C wandern dann als simple Layer 2 VLANs auf den VLAN Switch. Dein gewünschtes Design ist noch viel zu kompliziert und umständlich und solltest du etwas "verschlanken". Die überflüssigen Router sind da alles sinnfreie "Durchlauferhitzer" ohne Funktion !
Klassisches Standard Design also ....
fwvlan
Keep ist simple, stupid an performant ! 😉
heart1
Member: coolusaHD
coolusaHD Feb 05, 2021 at 10:03:54 (UTC)
Goto Top
Vielen Danke für die schnelle Hilfe
GermansolvedQuestionNetwork ManagementNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments