Umstellung des Routings von zwei 3Com Switchen auf zwei Watchguard Firewalls
Hallo,
wir haben zur Zeit zwei Layer 3 Routingfähige Switche von 3Com, die jeweils 4 Subnetze in VLANs innehaben. Jeweils eines für die VOIP Anlage und jeweils eines für den normalen Netzwerkverkehr. Die Switche erreichen sich im Moment über eine einfaches Netzwerkkabel, welches auf einem dafür konfigurierten Port steckt.
Nun soll dieser Datenverkehr über die beiden Watchguard Firewalls abgewickelt werden. An jeden Switch eines Standortes wird jeweils eine Firewall angeschlossen, und der Verkehr über einen VPN Tunnel geleitet.
Nun kann ich an den Clients des jeweiligen Netzwerkes als Gateway manuell die jeweilige Firewall eintragen, das funktioniert. Da die Switche aber das jeweilige IP Subnetz kennen werden sie nicht die 0.0.0.0 route für diese Netze nutzen, korrekt?
Ich müsste also an einem Standort die jeweils anderen IP Bereiche löschen und dafür Routen auf diesen Switchen zur Firewall zeigen lassen.
Beispiel (IST):
Mainswitch LAN1:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.251
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.251
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.251
VOIP VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.251
VOIP VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.251
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.253
Mainswitch LAN2:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.252
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.252
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.252
VOIP VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.252
VOIP VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.252
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.254
Verbunden jeweils über Port 24: Trunk: Untagged 1, Tagged 10,11,20,21
Beispiel (SOLL):
Mainswitch LAN1:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.251
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.251
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.251
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.253
Route FW: 192.168.20.0/24 mask 255.255.255.0 gw 192.168.1.253
Route FW: 192.168.21.0/24 mask 255.255.255.0 gw 192.168.1.253
Mainswitch LAN2:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.252
NETZ VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.252
NETZ VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.252
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.254
Route FW: 192.168.10.0/24 mask 255.255.255.0 gw 192.168.1.254
Route FW: 192.168.11.0/24 mask 255.255.255.0 gw 192.168.1.254
Vebunden jeweils nur an die eigene Firewall, diese koppelt dann alle angegebenen Netze per VPN.
Ist das so machbar oder habe ich da irgendwo einen Denkfehler?
Ich bin auch der Meinung die zusätzlichen Routingeinträge kann ich mir schenken, da ein unbekanntes Netz ja immer auf 0.0.0.0 geroutet wird, und dies ja auch jeweils die Firewall ist.
Danke & Gruß,
Gerrit
wir haben zur Zeit zwei Layer 3 Routingfähige Switche von 3Com, die jeweils 4 Subnetze in VLANs innehaben. Jeweils eines für die VOIP Anlage und jeweils eines für den normalen Netzwerkverkehr. Die Switche erreichen sich im Moment über eine einfaches Netzwerkkabel, welches auf einem dafür konfigurierten Port steckt.
Nun soll dieser Datenverkehr über die beiden Watchguard Firewalls abgewickelt werden. An jeden Switch eines Standortes wird jeweils eine Firewall angeschlossen, und der Verkehr über einen VPN Tunnel geleitet.
Nun kann ich an den Clients des jeweiligen Netzwerkes als Gateway manuell die jeweilige Firewall eintragen, das funktioniert. Da die Switche aber das jeweilige IP Subnetz kennen werden sie nicht die 0.0.0.0 route für diese Netze nutzen, korrekt?
Ich müsste also an einem Standort die jeweils anderen IP Bereiche löschen und dafür Routen auf diesen Switchen zur Firewall zeigen lassen.
Beispiel (IST):
Mainswitch LAN1:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.251
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.251
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.251
VOIP VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.251
VOIP VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.251
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.253
Mainswitch LAN2:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.252
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.252
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.252
VOIP VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.252
VOIP VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.252
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.254
Verbunden jeweils über Port 24: Trunk: Untagged 1, Tagged 10,11,20,21
Beispiel (SOLL):
Mainswitch LAN1:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.251
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.251
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.251
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.253
Route FW: 192.168.20.0/24 mask 255.255.255.0 gw 192.168.1.253
Route FW: 192.168.21.0/24 mask 255.255.255.0 gw 192.168.1.253
Mainswitch LAN2:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.252
NETZ VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.252
NETZ VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.252
Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.254
Route FW: 192.168.10.0/24 mask 255.255.255.0 gw 192.168.1.254
Route FW: 192.168.11.0/24 mask 255.255.255.0 gw 192.168.1.254
Vebunden jeweils nur an die eigene Firewall, diese koppelt dann alle angegebenen Netze per VPN.
Ist das so machbar oder habe ich da irgendwo einen Denkfehler?
Ich bin auch der Meinung die zusätzlichen Routingeinträge kann ich mir schenken, da ein unbekanntes Netz ja immer auf 0.0.0.0 geroutet wird, und dies ja auch jeweils die Firewall ist.
Danke & Gruß,
Gerrit
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195234
Url: https://administrator.de/forum/umstellung-des-routings-von-zwei-3com-switchen-auf-zwei-watchguard-firewalls-195234.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
2 Kommentare
Neuester Kommentar
Eigentlich ist das eine klassische Aufgabe und einfach zu lösen.
Die IP Netze in den beiden Standorten müssen de facto unterschiedlich sein, das ist Voraussetzung das das Routing sauber funktioniert...soviel vorweg.
Wenn du also auch das remote Netz managen willst musst du zwingend das 1er Netz ändern. Solltest du in einem gekoppelten Netz auch immer machen um doppelt IP Adressierung sicher zu vermeiden. Da ist ein gravierender Knackpunkt !
Die L3 Switches bzw. deren IP Adressen in den jeweiligen VLANss sind für alle an sie angeschlossenen Endgeräte die default Gateway IP Adresse. So ist ein konsistentes Routing sichergestellt zw. den VLANs im jeweiligen Standort.
Jeder dieser L3 Switche hat dann eine Default Route auf die IP Adresse der Watchguard.
Normalerweise gibt man der Watchguard ein eigenes VLAN am Switch (WAN/Internet VLAN) um sie nicht in eins der Produktiv VLANs zu hängen. Damit trennt man dann den Standort übergreifenden Verkehr und den VPN Verkehr sauber von den VLANs.
Analog machst du das ganze am anderen Standort.
Die Watchguards haben dann wiederum eine Default Route auf den Internet Provider bzw. Router.
Zusätzlich haben die Watchguards statische Routen zu den lokalen VLAN IPs in den jeweiligen Standort.
Die remoten IP Netze routetst du dann auf den Watchguards statisch in den VPN Tunnel.
Das ist eigentlich alles. Insofern stimmt dein Konzept mit dem kleinen Kinken der doppelten Management IP.
Wenn der 3Com und die Watchguard dynamische Routing Protokolle wie RIPv2 oder OSPF supporten kannst du auch dynamisch routen, das erspart dir dann die statischen Routen und du kannst die default Route dann jeweils immer von der Firewall automatisch distribuieren.
Die IP Netze in den beiden Standorten müssen de facto unterschiedlich sein, das ist Voraussetzung das das Routing sauber funktioniert...soviel vorweg.
Wenn du also auch das remote Netz managen willst musst du zwingend das 1er Netz ändern. Solltest du in einem gekoppelten Netz auch immer machen um doppelt IP Adressierung sicher zu vermeiden. Da ist ein gravierender Knackpunkt !
Die L3 Switches bzw. deren IP Adressen in den jeweiligen VLANss sind für alle an sie angeschlossenen Endgeräte die default Gateway IP Adresse. So ist ein konsistentes Routing sichergestellt zw. den VLANs im jeweiligen Standort.
Jeder dieser L3 Switche hat dann eine Default Route auf die IP Adresse der Watchguard.
Normalerweise gibt man der Watchguard ein eigenes VLAN am Switch (WAN/Internet VLAN) um sie nicht in eins der Produktiv VLANs zu hängen. Damit trennt man dann den Standort übergreifenden Verkehr und den VPN Verkehr sauber von den VLANs.
Analog machst du das ganze am anderen Standort.
Die Watchguards haben dann wiederum eine Default Route auf den Internet Provider bzw. Router.
Zusätzlich haben die Watchguards statische Routen zu den lokalen VLAN IPs in den jeweiligen Standort.
Die remoten IP Netze routetst du dann auf den Watchguards statisch in den VPN Tunnel.
Das ist eigentlich alles. Insofern stimmt dein Konzept mit dem kleinen Kinken der doppelten Management IP.
Wenn der 3Com und die Watchguard dynamische Routing Protokolle wie RIPv2 oder OSPF supporten kannst du auch dynamisch routen, das erspart dir dann die statischen Routen und du kannst die default Route dann jeweils immer von der Firewall automatisch distribuieren.