Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 2 Firewalls - 1 Internetanbindung

Mitglied: morphil

morphil (Level 1) - Jetzt verbinden

20.07.2011 um 15:17 Uhr, 4492 Aufrufe, 24 Kommentare

Hallo

Wie haben momentan eine Standard-Netzwerk mit einer Firewall an welcher die Internetanbindung per fixer IP am WAN-Port liegt.

Nun haben wir in absehbarer Zeit vor unseren Exchange auszulagern. Der neue Hosting Partner möchte dafür ein Fortigate 50 bei uns installieren.

Die Anbindung haben ich mir so gedacht, das unsere Firewall den Traffic bezüglich Exchange an das Fortigate weiterroutet und dieses dann ebenfalls eine fixe IP aus dem Pool unseres Internetproviders bekommt, welcher direkt weiter ins WAN führt.

Nun stellt sich für mich zum einen die Frage, ob das auch logisch richtig ist, damit es nicht zu Performance - Einbußen bezüglich Datendurchsatz der Internetanbindung kommt?

Und zum anderen würde ich gerne wissen, wie ich die beiden WAN-Ports beider Firewalls (Fortigate und der eigenen) wieder zusammenführe? Reicht da einfach ein kleiner Switch (ich bräuchte ja nur 3 Ports) und gut ist oder stelle ich mir das zu einfach vor?

Hab mal versucht das ganze aufzuzeichnen:

db1bd42627332075b3fb7c40786e61c6 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Hitman4021
20.07.2011 um 16:05 Uhr
Verstehe ich richtig das jede Firewall eine eigene offiziele IP bekommt?
Dann so?

............................................INTERNET
....................................................|
..............................................MODEM
....................................................|
..........................................Kleiner Switch
............................................../............\
............................................/...............\
......................................ZYXEL........Fortigate
........................................../....................\
......................................../.......................\
...................................CLIENTS............Exchange

Ich weiß ich nicht die beste Zeichnung aber sollte verständlich sein (hoffentlich)

Gruß
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:14 Uhr
triftt es fast , der Exchange ist ja nicht mehr intern und das Fortigate wäre zw. Zyxel und WAN

............................................INTERNET
....................................................|
..............................................MODEM
....................................................|
..........................................Kleiner Switch
............................................../............\
............................................/...............\
.........................................../.............Fortigate
........................................./............/
..........................................ZYXEL
....................................../...............
.................................... /...............
..............................CLIENTS.............
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 16:18 Uhr
............................................INTERNET
....................................................|
..............................................MODEM
....................................................|
..........................................Kleiner Switch
............................................../............\
............................................/...............\
......................................ZYXEL........Fortigate
..........................................\..................../
...........................................\................../
..............................................SWITCH
....................................................|
..............................................CLIENTS (Gateway Zyxel)

Sollte so funktionieren, aber warum bindet ihr den Exchange nicht über RPC over HTTPS an?

Gruß
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:22 Uhr
weil das kein offizieller Provider ist, sondern eine Art Verbundzusammenschluss und in Zukunft auch andere Server (nicht nur Exchange) dazukommen werden
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:23 Uhr
Ist es egal was für einen "kleinen" Switch?
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 16:24 Uhr
Ja er muss ja nur dafür sorgen das mehr Schnittstellen am Modem sind.
Sollte eigentlich auch ein HUB machen aber ist Performance mäßig schlechter.

Sonst wenn es ein Verbundzusammenschluß ist, könnt ihr das anders auch lösen, dürfte einfacher sein mit Netz2Netz VPN.

Gruß
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:48 Uhr
dann werden wir das mal so durchziehen und ich schreib dann nächste Woche wie es ausging
das mit der VPN werde ich mal vorschlagen.
Bitte warten ..
Mitglied: aqui
20.07.2011 um 18:51 Uhr
Das Aufsplitten mit dem Switch funktioniert nicht weil kein Provider mehrere PPPoE Verbindung parallel supportet.
Es sei denn man will immer nur die Fortigate und im Backup Falle den Zyxel aktiv haben....dann wäre das denkbar.
2 parallele PPPoE Links über einen Draht klappt wenigstens so nicht...
In der Regel bekommt man dafür auch 2 separate Internet Ansclüsse und koppelt die mit einem Load Balancing Router der ein automatisches Failover supportet wie z.B. ein Draytek 2910.
Intelligenterweise nimmt man dann auch 2 unterschiedliche Provider um nicht abhängig von einem einzigen zu sein falls es einen Leitungsausfall gibt.
So würde man das professionell lösen.
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 19:10 Uhr
Da muss ich dir Widersprechen.
Das Modem wählt sich in diesem Fall beim Provider ein und dahinter kann ich meinen gesamten zugewiesenen Adresspool per Switch aufsplitten.
So läuft das zumindest bei unseren Providern und uns selbst ab.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
20.07.2011 um 22:52 Uhr
Zitat von aqui:
2 parallele PPPoE Links über einen Draht klappt wenigstens so nicht...

Da muß ich wiedersprechen. Bei T-Online ging das eine ganze Weile, daß mehrere "Mitbenutzer" jeweils mit ihrer eigenen Kennung über PPPoE nline gegangen sind. Ob das imme rncoh geht kann ich nicht sagen, aber früher Habe ich das öfter probiert und auch bei anderen gesehen. Auch die paralele Benutzung mehrerer Provider über die gleiche DSL-Leitung ging ohne Probleme. habe es zwar seit 2 Jahren nicht mehr probiert, aber ich wüßte keine Grund warum das nicht mehr gehen sollte.


Zum Thread-Thema:

Ich interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere Portszu verfügugn stellt und auch mehrere fixe IPs fürs Transfernetz zwischen Router und Firewalls. Daher dürfte das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 23:08 Uhr
Zitat von Lochkartenstanzer:
Ich interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere
Portszu verfügugn stellt
Und wenn nicht benötigt mann eben einen Switch

und auch mehrere fixe IPs fürs Transfernetz zwischen Router und Firewalls. Daher dürfte
das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Genau so habe ich das gemeint.

Gruß
Bitte warten ..
Mitglied: morphil
21.07.2011 um 08:45 Uhr
Ok, die letzten beiden Beiträge sehe ich als Bestätigung, das es sehr wohl funktionieren sollte.

Zur Aufklärung:
Als Internetanbindung haben wir einen LWL Anschluss im Haus, an dessen Ende der Konverter mit EINEM Port zur Verfügung steht.

Was für eine Switch ist also egal? Da reicht der kleinste Noname?
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 08:53 Uhr
Und an diesem Port hast du jetzt ein Modem oder das Zxel Teil?

Gruß
Bitte warten ..
Mitglied: aqui
21.07.2011 um 10:13 Uhr
Ein "Modem" kann sich niemals einwählen, denn ein Modem ist immer passiv. Ein passiver Medienwandler zwischen einer 2 Draht DSL Leitung und einer Ethernet Schnittstelle.
Du verwechselst hier mal wieder fröhlich den begriff "Modem" mit dem begriff "Router". Ein himmelweiter Unterschied wenn man es technisch betrachtet !
Es ist aber zweifelsohne möglich, das der Provider dir dahinter ein Subnetz zur Verfügung stellt.
Bitte warten ..
Mitglied: aqui
21.07.2011 um 10:18 Uhr
Das solltest du nicht als Bestätigung ansehen, denn in der Regel geht es de facto NICHT das 2 aktive PPPoE Sessions zu ein und demselben Provider aufgemacht werden.
Auch wenn es mal "eine ganze Weile" ging geht es heute nicht mehr. Du solltest das also in jedem Falle mit deinem Provider abklären um keine böse Überraschung zu erleben.
In der Regel supportet kein Provider so ein Szenario das den PPPoE Link auf einem Switch aufsplittet. Technisch löst man sowas auch nicht auf diese Weise, schon gar nicht in einem Hochverfügbarkeits Zugriff wie du ihn anstrebst für ein Produktivnetz. Das erinnert eher an einen hilflose Bastelei an einem Home DSL Anschluss, sorry.
Allein der Name (PPPoE = Point to Point = Punkt zu Punkt) konterkariert so ein Basteldesign schon von Grund auf, denn das Protokoll ist dafür nicht gemacht !
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 10:29 Uhr
Das Modem baut die PPOE Verbindung auf. Die Firewalls stehen dahinter und haben eben shcon eine eigene offiziele IP mit dem Modem als Gateway.

Gruß
Bitte warten ..
Mitglied: aqui
21.07.2011 um 10:32 Uhr
@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 10:42 Uhr
Zitat von aqui:
@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und
ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat
und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Dann bezeichnen wir das eben als Router des Providers.
Okay das mit der falschen Bezeichnung sehe ich ein aber trotzdem baut dieser Router die Verbindung auf und dahinter kann der offiziele IP Pool den du vom Provider zugewiesen bekommst genutzt werden.

Gruß
Bitte warten ..
Mitglied: aqui
21.07.2011 um 22:31 Uhr
Ja, dann ist das klar und das ist auch so normal und ein klassisches Allerweltszenario für einen Kundenanbindung !
Ändert aber nichts an der Tatsache das ein Splitting mit dem Switch ein nogo ist für die Konfiguration die vermutlich obendrauf auch nicht funktionieren wird.
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 22:35 Uhr
Wenn man nur einen RJ45 Ausgang am Modem hat was sollte man sonst machen?
Ich habe das bei mehreren Kunden schon so gelöst (zwar meist nur kurzzeitig zur Überbrückung) und da hat es immer funktioniert.

Was spricht dagegen das das funktioniert?

Gruß
Bitte warten ..
Mitglied: morphil
22.07.2011 um 08:51 Uhr
Wie sind Teil des Glasfasernetzwerks der Stadt, es hängt also am Schluss kein Modem, sondern ein Converter von RJ45 auf LWL.
Die Diskussion über PPPoE führt hier wohl in die falsche Richtung.

Ich habe das ganze gestern Abend ausgetestet (statt dem Fortigate habe ich einen 08/15 Router genommen). Etwas herausfordernd war nur das Routing, danach hat es funktioniert. Wirkliche Performance-Einbußen kann ich keine feststellen.

Wie testet ihr euren Datendurchsatz euerer Internetanbindung aus?
Bitte warten ..
Mitglied: Hitman4021
22.07.2011 um 08:57 Uhr
Zitat von morphil:
Wie testet ihr euren Datendurchsatz euerer Internetanbindung aus?
Ich hab nen Juniper Router mit ner Netflow Auswertung.

Gruß
Bitte warten ..
Mitglied: aqui
22.07.2011 um 18:15 Uhr
... ."Wie sind Teil des Glasfasernetzwerks der Stadt..." na tolle Wurst ! Hättst du auch mal eher bemerken können dann hätte man sich das ganze PPPoE Gegurke hier sparen können
Das das mit einem Popelswitch so wie oben funktioniert hätte dir auch jeder Praktikant sagen können....

Durchsatztest mit sFlow und NetIO oder jPerf über den Switch oder Router !
http://www.nwlab.net/art/netio/netio.html
bzw.
http://www.nwlab.net/know-how/JPerf/
Bitte warten ..
Mitglied: morphil
25.07.2011 um 11:19 Uhr
Die Links gebe ich gleich dem Praktikant weiter
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Typische Latenzen bei Business Internetanbindungen

gelöst Frage von christophhLAN, WAN, Wireless6 Kommentare

Hallo, aktuell nutzen wir (per Glasfaser) eine 20 MBit Internet Anbindung (synchron). Soweit ich informiert bin, kommt hier "SDH" ...

Informationsdienste

Redundante Internetanbindung und öffentliche IP

Frage von Posit14Informationsdienste8 Kommentare

Hallo, wir haben vor eine Backup Leitung (anderer Provider) zu nutzen. Hintergrund ist das die Hauptleitung (Glasfaser) bereits zweimal ...

Firewall

Funktionsweise Layer 2 Firewall

Frage von griss2015Firewall5 Kommentare

Moin, wie funktioniert eine Layer 2 Firewall? Dazu müsste die Appliance ja als Switch fungieren, um an alle Netzwerkverbindungen ...

Windows Server

1 DHCP 2 Subnetze

Frage von technikdealerWindows Server5 Kommentare

Hay Ihr. Ich habe ein Server 2008 R2 mit konfigurierter Bereichsgruppierung. Ein Bereich der Gruppe hat 192.168.100.0 und der ...

Neue Wissensbeiträge
Windows 10

Blackscreen nach dem Update von 1808 auf 1809 wenn der Rechner aus dem Standby gestartet wird

Tipp von FSX2010 vor 26 MinutenWindows 10

Habt ihr den Samsung Teriber Samsung_NVM_Express_Driver_3.0 installiert habt muss dieser für 1809 deinstalliert werden da dieser wohl nicht kompatibel ...

Utilities
Teamviewer 14 Verbindungsprobleme mit Proxy
Tipp von PeterleB vor 1 TagUtilities

Nach dem Umstieg von Version 13 auf 14 wollte sich TV nicht mehr mit dem Netz verbinden, ignorierte offenbar ...

Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 1 TagAdministrator.de Feedback5 Kommentare

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 4 TagenSonstige Systeme8 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Heiß diskutierte Inhalte
Windows 10
Programm unter Windows 10 automatisch mit administrativen Rechten starten
Frage von GrafmulderWindows 1021 Kommentare

Hallo zusammen! Zur Situation: Ich benutze Windows 10 Pro für Workstations (Build 1803) mit zwei Konten. Einem Administratorkonto und ...

Vmware
Gebrauchten ESXi- Server verkaufen: Festplatten DSGVO-konform löschen?
Frage von l.scheperVmware19 Kommentare

Hallo, wir möchten einen gebrauchten FUJITSU Server verkaufen. Auf dieser Maschine ist noch ein installiertes ESXi 5.1 und ne ...

LAN, WAN, Wireless
Empfehlung Powerline Adapter
Frage von AgilolfingerLAN, WAN, Wireless16 Kommentare

Hallo Zusammen, ich brauche eine Empfehlung von euch. Ich möchte in einem privaten Haushalt eine Powerline Lösung einrichten. Allerdings ...

Router & Routing
Dediziertes ISP -Routing
gelöst Frage von niLuxxRouter & Routing13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei ...