136423
Goto Top

Dediziertes ISP -Routing

Liebe Community,

Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei (sehr sehr) kleine Firmen eine IT-Zentrale teilen werden (es ist nicht optimal, aber den Umständen entsprechend nachvollziehbar).
Geplant sind verschiedene Internetverbindungen für die beiden Firmen, allerdings steht auf Firmenseite nur eine einzige Cisco ASA Firewall (5508-X).
Meine Frage wäre. "Ist es möglich zwei verschiedene PPPoE Einwahlen" mit einer ASA zu realisieren (an zwei outside Interfaces)?
Die Wege der Firmennetze trennen sich dann hier (danach kommt jeweils ein Layer-3-Switch).
Die Netze sollen nicht miteinander kommunizieren. Was allerdings notwendig wäre, ist ein Routing vom Outside-Interface des jeweiligen ISP in Richtung des richtigen Subnetzes:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48

Sowie ein Routing nach außen zum jeweiligen outside-Interface:
10.0.0.0/48 => ISP-1
20.0.0.0/48 => ISP-2

Ist so etwas möglich? Dann nicht über Default-Routen, sondern konfigurierte IP-Routen und "Verbote" zu den jeweils anderen Outside-Interfaces.

Liebe Grüße,
niLuxx

Content-Key: 393236

Url: https://administrator.de/contentid/393236

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: tikayevent
Lösung tikayevent 19.11.2018 um 19:53:53 Uhr
Goto Top
Schau dir mal den Multiple Context Mode an. Deine 5508-X kann zwei Kontexte bedienen, die aber aufgerüstet werden können.
Mitglied: Th0mKa
Lösung Th0mKa 19.11.2018 um 20:12:35 Uhr
Goto Top
Zitat von @136423:

ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48

Als ich das letzte Mal IPv4 gesehen habe gab es da nur /32 und wenn du IP Adressen von Microsoft benutzt könntest du dir viel ungewollte Arbeit machen. Du kannst die physische Firewall in 2 virtuelle teilen, dann hast du auch separate Regelwerke für jede Firma.

/Thomas
Mitglied: 136423
136423 19.11.2018 um 20:33:33 Uhr
Goto Top
Als ich das letzte Mal IPv4 gesehen habe gab es da nur /32 und
Um Himmels Willen bin ich bekloppt...Man man man

Meinte eigentlich
ISP-1 => 10.0.0.0/16
ISP-2 => 20.0.0.0/16

Wisst ihr ob das virtuelle Firewall-Feature Standard ist oder extra Lizenzen benötigt?

Liebe Grüße,
niLuxx
Mitglied: brammer
brammer 19.11.2018 um 20:35:15 Uhr
Goto Top
Hallo,

/48 ist mal was neues... face-smile

Ein Dual WAN Router wäre vermutlich die sinnvollere Alternative

Brammer
Mitglied: Th0mKa
Th0mKa 19.11.2018 um 20:38:40 Uhr
Goto Top
Zitat von @136423:
Meinte eigentlich
ISP-2 => 20.0.0.0/16
Und warum eine Microsoft Adressrange und nicht 10.1.0.0/16?

/Thomas
Mitglied: brammer
brammer 19.11.2018 um 20:41:46 Uhr
Goto Top
Hallo,

Braucht eine kleine Firma wirklich ein /16??

Brammer
Mitglied: 136423
136423 19.11.2018 um 20:44:15 Uhr
Goto Top
Die Adressen waren nur ein Beispiel face-smile
Mitglied: tikayevent
Lösung tikayevent 19.11.2018 aktualisiert um 22:21:06 Uhr
Goto Top
Wisst ihr ob das virtuelle Firewall-Feature Standard ist oder extra Lizenzen benötigt?
Zwei Kontexte sind in der Security Plus enthalten.

Wenn du es einfach und sauber haben willst, würde ich aber LANCOM empfehlen. Über das ARF kannst du einfach beide Firmen trennen, auch mit getrennten Internetzugängen, kannst dennoch, wenn vorhanden, gemeinsame Ressourcen nutzen. Selbst die kleinsten Router und die Geräte mit Telekom-Label würden bei dir ausreichen. (Single Site-Geräte von LANCOM und die älteren Telekomgeräte haben zwei ARF-Kontexte und zwei DSL-Schnittstellen, das neuste Telekomgerät hat ein ARF-Kontext mehr und die Multi-Site-Geräte von LANCOM haben 16 bzw. 64 ARF-Kontexte bei bis zu sieben Internetzugängen. Der 1906VA hat zwei DSL-Modems integriert, nochmal zwei getrennte WAN-Schnittstellen und jeder LAN-Port bis auf einen kann ebensfalls für Internetzugänge genutzt werden)
Mitglied: 136423
136423 20.11.2018 um 06:36:06 Uhr
Goto Top
Hallo tikayevent,

Danke für deine Antwort. Wir werden es uns mit überlegen face-smile Ich habe bisher viel Gutes von LANCOM gehört. Es lohnt sich sicher einmal genauer nachzusehen.

Liebe Grüße,
niLuxx
Mitglied: 127132
127132 20.11.2018 um 06:56:09 Uhr
Goto Top
Lancom macht das eigentlich gut.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa138884 ...

Ich mag die Dingers, auch wenn ich sie völlig unübersichtlich halte. Man hat da schnell was übersehen. Aber im grunde kannst du mit denen so ziemlich alles machen.
Die Telekom bietet die auch immer sehr günstig zum kaufen an. Nur so als Hinweis.
Mitglied: aqui
aqui 20.11.2018 um 08:39:21 Uhr
Goto Top
Ich habe bisher viel Gutes von
Geht aber auch mit jedem x-beliebigen Cisco Router:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.11.2018 um 08:43:08 Uhr
Goto Top
Zitat von @aqui:

Ich habe bisher viel Gutes von
Geht aber auch mit jedem x-beliebigen Cisco Router:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.

Geht eigentlich mit jedem etwas prof. Routing/Firewalling Device und das weitaus besser als mit Lancom.
Mitglied: aqui
aqui 20.11.2018 um 08:45:52 Uhr
Goto Top
Sehr richtig !!