9
VLAN zwischen Routern und Firewall
Hallo,
wir haben von unserem ISP einen Hauptrouter und einen Backuprouter. Dazu noch zwei /29er Netzte.
Als Beispiel:
Netzadresse: 10.0.0.0
Gateway 10.0.0.1
Hauptrouter 10.0.0.2
Backuprouter 10.0.0.3
In Benutzung sind die übrigen Adressen.
Bei dem zweiten Netz genau so.
Sagen wir es hat die 10.1.0.0/29
Beide Router haben einen Anschluss ins WAN und einen ins Firmennetz und sind von dem ISP gemanaged.
Die Router müssen sich untereinander ansprechen können und es soll nach Möglichkeit eine Physikalische Verbindung zur Firewall geben mit 2 VLANs damit wir dort sowohl das erste als auch das zweite Subnetz eintragen können und nicht 2 Ports opfern müssen.
Als Firewall dient eine Sophos.
Als Switch dazwischen hätte ich noch einen managed HP.
Meine Idee war ein VLAN für den Haupt- und eines für den Backuprouter zu erstellen und dieses dann als tagged vlan an die Sophos weiterzureichen. Dabei stellt sich mir jedoch die Frage wie die beiden Router untereinander kommunizieren sollen. Ich kann den Interfaces auf dem Switch dazwischen ja keine IPs aus dem selben Bereich geben. Mit dem Routing wirds auch schwer auf dem Switch da sich die Verbindung ja dynamisch ändern kann von Hauptrouter auf Backuprouter.
Jemand ne Idee?
Ne Lösung wäre natürlich nen unmanaged Switch dazwischen zu hängen, die beiden Router und 2 WAN Interfaces der Firewall anzuschließen und das jeweilige Subnetzt auf den Interfaces der Firewall zu konfigurieren. Aber das geht doch sicher mit VLANs irgendwie eleganter oder?
Vielen Dank
SeoxX
wir haben von unserem ISP einen Hauptrouter und einen Backuprouter. Dazu noch zwei /29er Netzte.
Als Beispiel:
Netzadresse: 10.0.0.0
Gateway 10.0.0.1
Hauptrouter 10.0.0.2
Backuprouter 10.0.0.3
In Benutzung sind die übrigen Adressen.
Bei dem zweiten Netz genau so.
Sagen wir es hat die 10.1.0.0/29
Beide Router haben einen Anschluss ins WAN und einen ins Firmennetz und sind von dem ISP gemanaged.
Die Router müssen sich untereinander ansprechen können und es soll nach Möglichkeit eine Physikalische Verbindung zur Firewall geben mit 2 VLANs damit wir dort sowohl das erste als auch das zweite Subnetz eintragen können und nicht 2 Ports opfern müssen.
Als Firewall dient eine Sophos.
Als Switch dazwischen hätte ich noch einen managed HP.
Meine Idee war ein VLAN für den Haupt- und eines für den Backuprouter zu erstellen und dieses dann als tagged vlan an die Sophos weiterzureichen. Dabei stellt sich mir jedoch die Frage wie die beiden Router untereinander kommunizieren sollen. Ich kann den Interfaces auf dem Switch dazwischen ja keine IPs aus dem selben Bereich geben. Mit dem Routing wirds auch schwer auf dem Switch da sich die Verbindung ja dynamisch ändern kann von Hauptrouter auf Backuprouter.
Jemand ne Idee?
Ne Lösung wäre natürlich nen unmanaged Switch dazwischen zu hängen, die beiden Router und 2 WAN Interfaces der Firewall anzuschließen und das jeweilige Subnetzt auf den Interfaces der Firewall zu konfigurieren. Aber das geht doch sicher mit VLANs irgendwie eleganter oder?
Vielen Dank
SeoxX
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 306370
Url: https://administrator.de/contentid/306370
Printed on: April 20, 2024 at 01:04 o'clock
9 Comments
Latest comment
Wichtig wäre noch zu wissen ob beide Router aktiv am Forwarding beteiligt sind oder der backup Router nur Backup ist.
Normal arbeiten beide Router im Forwarding Mode und nutzen VRRP oder VRRP-E (Gateway Sharing).
Da du aber vermutlich ein Policy Routing mit der Firewall machen willst (geraten) um den Traffic sinnvol auf beide Leitungen zu verteilen inkl. Backup muss VRRP nicht unbedingt sein, da du ha dort in den PBR Regeln immer eine dedizierte next Hop IP angibst.
Das Problem ist das beide Router in ein gemeinsames Netzwerk müssen mit dem WAN Port der Firewall.
Wir gehen mal davon aus das du keinerlei Änderungen an den beiden ISP Routern machen kannst, oder ??
Normal arbeiten beide Router im Forwarding Mode und nutzen VRRP oder VRRP-E (Gateway Sharing).
Da du aber vermutlich ein Policy Routing mit der Firewall machen willst (geraten) um den Traffic sinnvol auf beide Leitungen zu verteilen inkl. Backup muss VRRP nicht unbedingt sein, da du ha dort in den PBR Regeln immer eine dedizierte next Hop IP angibst.
Das Problem ist das beide Router in ein gemeinsames Netzwerk müssen mit dem WAN Port der Firewall.
Wir gehen mal davon aus das du keinerlei Änderungen an den beiden ISP Routern machen kannst, oder ??
Danke für deine Antwort, ich fange mal mit dem leichteren an ;)
Ein Zugriff auf die Router von unserer Seite besteht in der tat nicht.
Die Router sprechen untereinander hsrp, ist aber recht ähnlich mit VRRP soweit ich das grade gesehen habe.
Die Hauptleitung hat 50/50, die Backupleitung 2/2. Ein Loadbalancing würde ich mir da ersparen wollen da die Kapazitätssteigerung obsolet ist^^
Ein Zugriff auf die Router von unserer Seite besteht in der tat nicht.
Die Router sprechen untereinander hsrp, ist aber recht ähnlich mit VRRP soweit ich das grade gesehen habe.
Die Hauptleitung hat 50/50, die Backupleitung 2/2. Ein Loadbalancing würde ich mir da ersparen wollen da die Kapazitätssteigerung obsolet ist^^
Die Router sprechen untereinander hsrp,
Das ist ein proprietäres Cisco Protokoll für die Router Redundanz. Macht aber in der Tat das gleiche wie der Standard VRRP...mehr oder weniger.Ein Loadbalancing würde ich mir da ersparen wollen
Da hast du dann so oder so keine Chance, denn mit HSRP bekommst du ja nur eine einzige VIP (Virtual IP) des HSRP als Default Gateway für deinen Endgeräte und es ist einzig und allein an den ISP Routern wie die den Traffic auf ihren WAN Uplinks verteilen.Da du nicht einmal Zugriff auf diese Systeme hast kannst du das also in keinster Weise beeinflussen. Vermutlich hat der ISP dir gegenüber noch nicht einmal die Strategie offengelegt wie die das machen (Konfig Auszug der Router !) bzw. hast du überhaupt mal nachgefragt ? Oft kauft man hier die Katze im Sack beim ISP aber egal...ist nicht das Thema hier...
Fakt ist dann so oder so das der ISP auf dem LAN Ports der beiden Router dir ja ein Subnetz bzw. IP Adressierung zwingend vorgegeben hat. Beide Router müssen ja auf dem LAN Port miteinander verbunden sein zwecks HSRP, sei es über einen Switch oder eben direkt.
Die Frage die sich jetzt stellt (und die du noch nicht beantwortet hast): Ist dieses Netz in das beide LAN Ports des Routers gehen plus der HSRP VIP, die ja auch in diesem Netzwerk liegt, ein separates IP Netz vom Provider und hast du dazu zusätzlich noch deine beiden /29er Netze ?
Oder ist eines der /29er Netze schon dieses HSRP Netz und du hast noch ein /29er obendrauf dazubekommen ?
Sorry für die Nachfragen aber für eine zielführende Antwort ist es wichtig die IP Adressierung der öffentlichen IP Netze in dem Verbund zu verstehen.
Einen Konfig Auszug der Router haben wir in der Tat nicht. Ich hatte mit dem ISP mal gesprochen, daher weiß ich, dass die Router untereinander HSRP sprechen.
Wir haben aber auch zwei physisch getrennte Leitungen, wenn der Hauptweg mit seinen synchronen 50mbit wegfällt steht eben nur noch die Backupleitung mit 2 zur Verfügung.
Wir haben wie ich es in dem Einleitenden Post versucht habe darzustellen 2 /29er Netze bekommen von denen jeweils die IPs für Gateway, Haupt- und Backuprouter weggehen (und Natürlich Netz und Broadcast Adressen).
Deswegen meinte ich auch, dass ich die Interfaces am Switch nicht einfach mit IPs aus dem Netz bestücken kann da das sehr rar ist ... und routing geht ja auch nicht durch das variable Gateway dank HSRP ...
Ich hab unsere öffentlichen IPs nur durch diese aus dem 10er Bereich aufgrund von Datenschutz ersetzt.
Bestehendes Netz:
Netzadresse: 10.0.0.0/29
Gateway 10.0.0.1
Hauptrouter 10.0.0.2
Backuprouter 10.0.0.3
Für unsere Server und Dienste in Verwendung 10.0.0.4 - 10.0.0.6
Neues Netz:
Netzadresse: 10.1.0.0/29
Gateway 10.1.0.1
Hauptrouter 10.1.0.2
Backuprouter 10.1.0.3
Für unsere Server und Dienste in Verwendung 10.1.0.4 - 10.1.0.6
Danke für deine Mühen aqui!
Wir haben aber auch zwei physisch getrennte Leitungen, wenn der Hauptweg mit seinen synchronen 50mbit wegfällt steht eben nur noch die Backupleitung mit 2 zur Verfügung.
Wir haben wie ich es in dem Einleitenden Post versucht habe darzustellen 2 /29er Netze bekommen von denen jeweils die IPs für Gateway, Haupt- und Backuprouter weggehen (und Natürlich Netz und Broadcast Adressen).
Deswegen meinte ich auch, dass ich die Interfaces am Switch nicht einfach mit IPs aus dem Netz bestücken kann da das sehr rar ist ... und routing geht ja auch nicht durch das variable Gateway dank HSRP ...
Ich hab unsere öffentlichen IPs nur durch diese aus dem 10er Bereich aufgrund von Datenschutz ersetzt.
Bestehendes Netz:
Netzadresse: 10.0.0.0/29
Gateway 10.0.0.1
Hauptrouter 10.0.0.2
Backuprouter 10.0.0.3
Für unsere Server und Dienste in Verwendung 10.0.0.4 - 10.0.0.6
Neues Netz:
Netzadresse: 10.1.0.0/29
Gateway 10.1.0.1
Hauptrouter 10.1.0.2
Backuprouter 10.1.0.3
Für unsere Server und Dienste in Verwendung 10.1.0.4 - 10.1.0.6
Danke für deine Mühen aqui!
Wir haben aber auch zwei physisch getrennte Leitungen, wenn der Hauptweg mit seinen synchronen 50mbit wegfällt steht eben nur noch die Backupleitung mit 2 zur Verfügung.
Schön und sinnvoll wäre es trotzdem wenn die Router da ein Balancing mit gegenseitigem Backup machen damit die bezahlte 2Mbit Leitung nicht sinnlos brachliegt...2 /29er Netze bekommen von denen jeweils die IPs für Gateway, Haupt- und Backuprouter weggehen (und Natürlich Netz und Broadcast Adressen).
Das wäre ja doppelt gemoppelt und eigentlich vollkommen unsinnig vom Provider. Ums nochmal zu sortieren:Jedes der /29er Netze hat eine eigene LAN IP für Router 1 und Router 2 plus die VIP ?? Also in jedem der beiden Netze gehen schon mal per se je 3 Adressen weg und dir bleiben von den 6 verwendbaren IPs in jedem Subnetz noch gerade mal 3 über ?? Sehr ineffektiv sollte dem so sein ?!
Gut mit "ip subnet zero" auf den Routern könnte man die 0er IP noch als Hostadresse nehmen aber das supporten vermutlich deine Clients dann nicht. Außderdem habt ihr euch ja verkauft an den ISP mit der HW und eh keinerlei Einfluss...
Hat der Provider dann wenigstens beide Netze auf jeweils separate LAN Ports an den beiden Routern gelegt ??
Anders geht es dann ja eigentlich nicht ohne mit der Krücke secondary IPs zu arbeiten was für die Performance und das ICMP Handling katastrophal wäre.
Es wäre dann eine sinnfreie Konfig oder die ISP Denke war Redundanz für beide öffentlichen Subnetze, was dann aus IP Adress Effizienz Blödsinn wäre.
Ist dem so das separate Router LAN Ports für die beiden Subnetze verwendet werden ?
Das mit dem Balancing stell ich mir schwierig vor, es wird doch immer die Gateway Adresse angesprochen, beim Balancing müsste man die Router ja mit ihrer Festen IPs direkt ansprechen oder? Wobei könnte man auch machen wäre dann vlt. nicht das was der ISP gedacht hatte aber das wäre ja egal denn mann hätte ja trotzdem die Backup Möglichkeit dadurch, dass beides eingetragen ist.
Löst aber das Hauptproblem leider nicht ...
Es ist auch meiner Meinung nach ziemlich sinnlos, dass da 2 x 3 IPs blockiert sind. von einem eh nicht so riesigen /29er Netz aber das werde ich nicht ändern können.
Die Router haben tatsächlich nur einen Port ins Firmennetz auf dem beide IP Bereiche definiert sind - ohne VLANs nach Aussage des ISP.
So langsam freunde ich mich mit dem Gedanken an einfach einen normalen Switch dazwischen zu hängen und die 2 Ports der Firewall zu Opfern.
Löst aber das Hauptproblem leider nicht ...
Es ist auch meiner Meinung nach ziemlich sinnlos, dass da 2 x 3 IPs blockiert sind. von einem eh nicht so riesigen /29er Netz aber das werde ich nicht ändern können.
Die Router haben tatsächlich nur einen Port ins Firmennetz auf dem beide IP Bereiche definiert sind - ohne VLANs nach Aussage des ISP.
So langsam freunde ich mich mit dem Gedanken an einfach einen normalen Switch dazwischen zu hängen und die 2 Ports der Firewall zu Opfern.
Vergiss mal das Thema Balancing, das war nur ein philosophischer Exkurs wie man es hätte aus ISP Sicht mit entsprechendem Kunden Commitment perfekt machen können. Aber da du/ihr euch an den ISP verkauft habt müsst ihr nehmen was der konfiguriert hat...ganz andere Baustelle und hat mit dem Hauptproblem auch nichts zu tun !
Bist du dir sicher das du den richtigen Provider gewählt hast ?? Wie krank ist denn sowas ? Damit haben die garantiert mit Secondary IP Adressen gearbeitet und zwingen den Cisco Router damit ins Process Switching (alles über die CPU) L3 Forwarding in Hardware (fast/express switching) ist damit ausgeschlossen und der Router bekommt massive Performance Probleme bei steigender Leitungslast.
Der ganze Ansatz von denen ist schräg und du solltest auf eine Umkonfiguration hinwirken mit denen !
Der Denkansatz des ISPs war vermutlich die Redundanz auf beide Netze zu bringen aber zu was für einem Preis ? 6 sinnlos verbratene öffentliche IP Adressen und gravierende Performance Einschränkungen auf den Routern. Von den massiven Problemen das so an eure FW zu adaptieren mal gar nicht zu reden.
Der Nutzen ist so oder so zweifelhaft, denn was soll denn ausfallen auch wenn du nur 1 Subnetz als Transfernetz zw. FW und Router nutzt und du so oder so nur eine singuläre Firewall hast ohne FW Cluster ?? Meist sind die Provider HW oder seine Uplinks betroffen.
Weniger aber deine Koppel Infrastruktur für die du selber verantwortlich bist und auch sicher Backup hast um schnell reagieren zu können.
Fazit: Bitte um einen simple Rekonfiguration der beiden Router auf das o.a. Konzept.
Die Router haben tatsächlich nur einen Port ins Firmennetz auf dem beide IP Bereiche definiert sind
Igitt....Bist du dir sicher das du den richtigen Provider gewählt hast ?? Wie krank ist denn sowas ? Damit haben die garantiert mit Secondary IP Adressen gearbeitet und zwingen den Cisco Router damit ins Process Switching (alles über die CPU) L3 Forwarding in Hardware (fast/express switching) ist damit ausgeschlossen und der Router bekommt massive Performance Probleme bei steigender Leitungslast.
Der ganze Ansatz von denen ist schräg und du solltest auf eine Umkonfiguration hinwirken mit denen !
- Keinen Secondary IPs
- Eins der /29er Netze nehmen für den LAN Port und HSRP beider Router.
- Ein /29er Netz komplett freilassen auf den ISP Komponenten und nur auf eure Firewall IP im obigen Netz routen
- Das 2te /29er Netz steht euch dann vollkommen frei an der FW zur Verfügung.
Der Denkansatz des ISPs war vermutlich die Redundanz auf beide Netze zu bringen aber zu was für einem Preis ? 6 sinnlos verbratene öffentliche IP Adressen und gravierende Performance Einschränkungen auf den Routern. Von den massiven Problemen das so an eure FW zu adaptieren mal gar nicht zu reden.
Der Nutzen ist so oder so zweifelhaft, denn was soll denn ausfallen auch wenn du nur 1 Subnetz als Transfernetz zw. FW und Router nutzt und du so oder so nur eine singuläre Firewall hast ohne FW Cluster ?? Meist sind die Provider HW oder seine Uplinks betroffen.
Weniger aber deine Koppel Infrastruktur für die du selber verantwortlich bist und auch sicher Backup hast um schnell reagieren zu können.
Fazit: Bitte um einen simple Rekonfiguration der beiden Router auf das o.a. Konzept.
Ja ich dachte mir schon fast, dass es da keine Vernünftige Lösung gibt auf Basis dessen was uns vom ISP vorgegeben wird. Deswegen wandt ich mich ja auch an das Forum ...
Ich werde mal mit dem ISP Sprechen. Das mit den Adressen nervt mich auch ziemlich!
Wir haben zwar in Planung die Firewall in einem HA Cluster laufen zu lassen aber erstmal gibt es wichtigeres zu erledigen weswegen das auf Eis gelegt wurde. Und das würde glaube ich auch nichts am Problem ändern, es müssten im jetzigen gewollten Ausbau mit Switch zwischen ISP Routern und Firewall lediglich 2 Weitere Kabel an die WAN Ports der zweiten FW im HA Cluster angeschlossen werden.
Danke aqui für deine Hilfe!
Sieht denn jemand anderes eine Lösung oder einen Lösungsansatz? Wenn man die 3 unnütz vergebenen Öffentlichen IPs jetzt mal außer betracht lässt?
Liebe Grüße
SeoxX
Ich werde mal mit dem ISP Sprechen. Das mit den Adressen nervt mich auch ziemlich!
Wir haben zwar in Planung die Firewall in einem HA Cluster laufen zu lassen aber erstmal gibt es wichtigeres zu erledigen weswegen das auf Eis gelegt wurde. Und das würde glaube ich auch nichts am Problem ändern, es müssten im jetzigen gewollten Ausbau mit Switch zwischen ISP Routern und Firewall lediglich 2 Weitere Kabel an die WAN Ports der zweiten FW im HA Cluster angeschlossen werden.
Danke aqui für deine Hilfe!
Sieht denn jemand anderes eine Lösung oder einen Lösungsansatz? Wenn man die 3 unnütz vergebenen Öffentlichen IPs jetzt mal außer betracht lässt?
Liebe Grüße
SeoxX
Das mit den Adressen nervt mich auch ziemlich!
Nicht nur das, es ist für einen ISP höchst unprofessionell und dilettantisch. Die falsche Konfig mit (vermutlich) secondary IP Adressen spricht da eine deutliche Sprache. Da haben die wohl den Azubi rangelassen... 
Im Mindesten hätte er eine Abstimmung mit euch und euren Anforderungen machen müssen ! So ist es (eigentlich) üblich bei vernünftigen ISPs.
