Umbau Firewall-Routerinfrastruktur LancomVPN in VLAN oder neues Subnet verschieben?
Guten Tag zusammen.
Ich habe in meinem Netzwerk derzeit folgende Konstellation.
8 Niederlassungen mit je einem eigenen /24 Subnet aufsteigend von .0.yyy bis .7.xxx
An allen Standorten sind Lancom Router installiert. Die Lancomrouter der 7 Nebenstandorte bauen ein Site-To-Site VPN zum Hauptstandort .0.yyy auf. Der Lancom ist auch der Router für den Hauptstandort und hat eine IP-Adresse im Netzwerksegment. Soweit so klar. Eine separate Firewall gibt es NOCH nicht.
Bis hier ist die Konfiguration auch nicht von mir.
Jetzt habe ich mich für Sophos Firewalls entschieden und plane natürlich, die Sophos künftig die VPN als auch die Firewallrolle übernehmen zu lassen. Die Standorte bekommen Sophos REDs und hier kommt eine XG125 ans Netzwerk.
Da meine Standorte aber über ganz Deutschland verteilt sind, kommt ein Austausch auf einmal nicht in Frage. Sondern nach und nach, wenn ich die Standorte anfahre.
Nichts desto Trotz möchte ich natürlich hier anfangen die Sicherheit für die Zentrale sofort zu erhöhen. Wie man sich denken kann, ein Ausfall der VPN-Verbindung zum Hauptstandort ist nicht hinnehmbar.
Und nun kommen wir zu meiner Überlegung. Ich habe leider nicht viel Erfahrung mit Lancom und möchte daher zumindest ein professionelles Feedback zu meinem Gedankengang (welches ich mir hier erhoffe).
Was habe ich geplant?
Ich konfiguriere die Sophos als Gateway für mein .0er Netz. Vergebe aber eine andere IP, als der Lancom gerade hat.
Am Lancom definiere ich auf einem der LAN-Ports ein separates Netz. Sozusagen eine DMZ in der nur Lancom und die Sophos stehen und richte hier den WAN-Zugang für die Sophos ein.
Wenn das funktioniert würde ich gerne versuchen, die VPN-Verbindungen die am Lancom aufschlagen über diese DMZ duch die Sophos ins Netzwerk zu routen (Es handelt sich nur um die Site-To-Site Client to Site soll die Sophos ab da selbst regeln) und den Lancom dann aus dem Netzwerk des Standorts zu nehmen. Natürlich unter Anpassung des lokalen DHCP-Servers und der Gateways auf den vorhandenen Servern.
Ziel soll es sein, trotz noch vorhandener Site-To-Site VPN allen ein- und ausgehenden Netzwerkverkehr über die Sophos zu schicken und zu prüfen.
Was meinen die Cracks in Sachen Lancom/Sophos dazu? Kann man so machen? Würdet ihr es ganz anders machen?
Ich habe in meinem Netzwerk derzeit folgende Konstellation.
8 Niederlassungen mit je einem eigenen /24 Subnet aufsteigend von .0.yyy bis .7.xxx
An allen Standorten sind Lancom Router installiert. Die Lancomrouter der 7 Nebenstandorte bauen ein Site-To-Site VPN zum Hauptstandort .0.yyy auf. Der Lancom ist auch der Router für den Hauptstandort und hat eine IP-Adresse im Netzwerksegment. Soweit so klar. Eine separate Firewall gibt es NOCH nicht.
Bis hier ist die Konfiguration auch nicht von mir.
Jetzt habe ich mich für Sophos Firewalls entschieden und plane natürlich, die Sophos künftig die VPN als auch die Firewallrolle übernehmen zu lassen. Die Standorte bekommen Sophos REDs und hier kommt eine XG125 ans Netzwerk.
Da meine Standorte aber über ganz Deutschland verteilt sind, kommt ein Austausch auf einmal nicht in Frage. Sondern nach und nach, wenn ich die Standorte anfahre.
Nichts desto Trotz möchte ich natürlich hier anfangen die Sicherheit für die Zentrale sofort zu erhöhen. Wie man sich denken kann, ein Ausfall der VPN-Verbindung zum Hauptstandort ist nicht hinnehmbar.
Und nun kommen wir zu meiner Überlegung. Ich habe leider nicht viel Erfahrung mit Lancom und möchte daher zumindest ein professionelles Feedback zu meinem Gedankengang (welches ich mir hier erhoffe).
Was habe ich geplant?
Ich konfiguriere die Sophos als Gateway für mein .0er Netz. Vergebe aber eine andere IP, als der Lancom gerade hat.
Am Lancom definiere ich auf einem der LAN-Ports ein separates Netz. Sozusagen eine DMZ in der nur Lancom und die Sophos stehen und richte hier den WAN-Zugang für die Sophos ein.
Wenn das funktioniert würde ich gerne versuchen, die VPN-Verbindungen die am Lancom aufschlagen über diese DMZ duch die Sophos ins Netzwerk zu routen (Es handelt sich nur um die Site-To-Site Client to Site soll die Sophos ab da selbst regeln) und den Lancom dann aus dem Netzwerk des Standorts zu nehmen. Natürlich unter Anpassung des lokalen DHCP-Servers und der Gateways auf den vorhandenen Servern.
Ziel soll es sein, trotz noch vorhandener Site-To-Site VPN allen ein- und ausgehenden Netzwerkverkehr über die Sophos zu schicken und zu prüfen.
Was meinen die Cracks in Sachen Lancom/Sophos dazu? Kann man so machen? Würdet ihr es ganz anders machen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 556466
Url: https://administrator.de/forum/umbau-firewall-routerinfrastruktur-lancomvpn-in-vlan-oder-neues-subnet-verschieben-556466.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
9 Kommentare
Neuester Kommentar
Generell gesehen kein gutes Konzept ! Was du dann machst ist sowohl am Hauptstandort als auch an allen Niederlassungen ein eigentlich vollkommen überflüssiges 2tes Device zu installieren was quasi nur als Durchlauferhitzer dient. Verbrennen von Geld und Resourcen wenn man es genau nimmt.
Was soll denn der tiefere Sinn eines solchen eigentlich überflüssigen Overlay Designs über ein bestehdens performantes VPN / Firewall Design sein ?
Doppelts NAT und doppelte Firewall an jedem Standort was einen VPN Betreib in einem kaskadierten Betrieb unnötig erschwert und in der Performance behindert. Kein Netzwerker würde ohne Grund sowas machen !
Entweder verzichtest du auf die Lancoms ganz und schliesst die Firewall direkt mit einem nur Modem (PPPoE Passthrough) an oder du nutzt einzig nur die Lancoms.
Beides zu kombinieren wäre netztechnischer Unsinn, denn was sollte der tiefere Sinn sein ?!
Funktionieren würde es zwar dennoch aber welche Hürden und Tücken so ein unsinniges Design hat erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Fazit:
Was soll denn der tiefere Sinn eines solchen eigentlich überflüssigen Overlay Designs über ein bestehdens performantes VPN / Firewall Design sein ?
Doppelts NAT und doppelte Firewall an jedem Standort was einen VPN Betreib in einem kaskadierten Betrieb unnötig erschwert und in der Performance behindert. Kein Netzwerker würde ohne Grund sowas machen !
Entweder verzichtest du auf die Lancoms ganz und schliesst die Firewall direkt mit einem nur Modem (PPPoE Passthrough) an oder du nutzt einzig nur die Lancoms.
Beides zu kombinieren wäre netztechnischer Unsinn, denn was sollte der tiefere Sinn sein ?!
Funktionieren würde es zwar dennoch aber welche Hürden und Tücken so ein unsinniges Design hat erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Fazit:
Kann man so machen?
Muss man aber nicht und ist dann halt....!Würdet ihr es ganz anders machen?
In jedem Fall !Wir haben technisch gesehen, keine Firewall.
Das ist falsch !Der Lancom hat z.B. wie ein Cisco Branch Router eine dedizierte SPI Firewall mit an Bord. Das ist eine zusätzliche SPI Firewall und nicht nur eine NAT Firewall wie beim baumarkt Router.
In der Beziehung irrst du hier also gewaltig.
Was also sollte dann eine zweite sinnfreie FW dahinter noch bewirken ?!
Wie gesagt die Umgebung habe ich so übernommen.
Dann belasse sie und optimiere sie. Das was du da planst sinnloserweise obendrauf zu legen ist überflüssiger Aktivismus der rein gar nichts in puncto Sicherheit bringt außer das er das Design unnötig verkompliziert und unmanagebar macht. Vom Performance Verlust mal gar nicht zu reden.Wie oben schon mehrfach gesagt: Ein wenig professionelles Design !
Kaskaden Konzepte wie das deinige sind in der Regel immer schlecht und sollte man wenn es irgend möglich ist immer vermeiden.
Wie sonst sollte ich schnellst möglich die Sicherheit signifikant erhöhen?
Indem du den Faktor Mensch ausschliesst. Auch wenn du 3 Firewall hintereinander kaskadierst wird das rein gar nichts bringen wenn derjenige der sie einrichtet das Problem ist. Auch eine vierte FW fixt das dann nicht. Das leuchtet auch jedem Laien ein. Um rihiger zu schlafen solltest du das Geld dann sinnvoller in ein IDS/IPS Design stecken aber nicht in die sinnlose Kaskadierung von zig Firewalls.Also am besten nochmal das Konzept überdenken denn das ist Murks.
Entweder nur Lancoms oder nur Firewalls aber nix dazwischen.
Diese Kaskade ist nur vorübergehend.
Nach deiner Beschreibung ja nicht... Auch ohne NAT und FW bleibt es immer eine Kaskade.Aber egal. Du kannst ja frei entscheiden was du machst oder nicht. Wenn du für dich meinst das ist für dich ein gutes Konzept dann setz das um !
Den Lancoms tust du sicher Unrecht, denn sie gehören schon mit zu den besseren Business Routern.
POP Proxys und andere Layer 5 und höher Funktionen haben generell auf Routern oder Firewalls nicht das Geringste zu suchen ! Das sind Security Devices die auch nur das tun sollten und keinesfalls mehr.
Das sind Konzept bedingt keine eierlegenden Wollmilchsäue die alles können sollten und dann alles schlecht statt ein oder 2 Sachen richtig.
Ist so wie mit der Ente. Die kann zwar gehen, fliegen und schwimmen aber alles im Vergleich zu einem Pinguin und einem Albatros eben sehr schlecht.
Das ist der fatale Design Irrtum den Laien immer gerne machen wenn es um wirkliche Sicherheit geht. Auf der anderen Seite gaukeln aber auch Hersteller diesen Laien immer vor das ein Router oder Firewall nebenbaue auch noch Proxy, NAS, Mailserver, Virenwächter und Fernsehtuner sein kann weil die heimische FritzBox das ja auch kann. Warum also nicht auch im Firmennetz.
Fazit: Mach es, wenn du meinst das ist OK. Ob du dir damit dann einen Gefallen tust ist eine ganz andere Frage. Aber wenn du damit besser schlafen kannst ist das ja auch schon mal was...
Auch mit 5 weiteren "Aber's" wirst du hier sicher nichts anderes hören. Dann besser zu http://gutefrage.net gehen da bekommst du ganz sicher eine Bestätigung dafür.
Soviel zum Thema Rat in Foren...
@TRDSRLZ
du hast es nicht verstanden. Dein von dir in raumgeworfenes Netzwerkdesign ist schlichtweg falsch, wie
@aqui es bereits paar mal versucht hat dir zu sagen.
Ob Lancom oder Sophos, das sei mal dahin gestellt, das ist vielleicht auch Geschmackssache bzw. eine Frage
der Kosten.
Am besten du ziehst dir hier einen IT-Dienstleister zu Rate.
du hast es nicht verstanden. Dein von dir in raumgeworfenes Netzwerkdesign ist schlichtweg falsch, wie
@aqui es bereits paar mal versucht hat dir zu sagen.
Ob Lancom oder Sophos, das sei mal dahin gestellt, das ist vielleicht auch Geschmackssache bzw. eine Frage
der Kosten.
Am besten du ziehst dir hier einen IT-Dienstleister zu Rate.