4
Firewall-Konfig für MPLS und Internet-Outbreak
Hallo zusammen,
ich habe eine knifflige Aufgabe.
Ich versuche mal, Euch diese zu schildern.
Ausgangslage sind mehrere Standorte, die untereinander mit einem MPLS-Netz verbunden sind. An jedem Standort ist ein MPLS-Router, der DHCP macht und dn ich nicht konfigurieren kann.
Die IP-Bereiche sind
Standort A 192.168.0.0/24
Standort B 192.168.30.0/24
Standort C 192.168.60.0/24
Standort D 192.168.105.0/24
Jetzt ist allerdings die Herausforderung, alle Standorte sollen eine separate Internetleitung bekommen.
Alle Netze sind von jedem Standort aus erreichbar. Dies soll auch so bleiben, aber der Internetverkehr soll ausschließlich über die separate Leitung gehen.
Zur Verfügung habe ich an jedem Standort eine Kerio Control Appliance.
Ich habe mir da mal ein paar Gedanken gemacht, wie im Bild zu sehen. Aber lässt sich das so realisieren?
Oder seht ihr Netzwerker hier Schwierigkeiten?
Wie solte ich es am besten einrichten?
Vielen DAnk für Eure Hilfe !!!
ich habe eine knifflige Aufgabe.
Ich versuche mal, Euch diese zu schildern.
Ausgangslage sind mehrere Standorte, die untereinander mit einem MPLS-Netz verbunden sind. An jedem Standort ist ein MPLS-Router, der DHCP macht und dn ich nicht konfigurieren kann.
Die IP-Bereiche sind
Standort A 192.168.0.0/24
Standort B 192.168.30.0/24
Standort C 192.168.60.0/24
Standort D 192.168.105.0/24
Jetzt ist allerdings die Herausforderung, alle Standorte sollen eine separate Internetleitung bekommen.
Alle Netze sind von jedem Standort aus erreichbar. Dies soll auch so bleiben, aber der Internetverkehr soll ausschließlich über die separate Leitung gehen.
Zur Verfügung habe ich an jedem Standort eine Kerio Control Appliance.
Ich habe mir da mal ein paar Gedanken gemacht, wie im Bild zu sehen. Aber lässt sich das so realisieren?
Oder seht ihr Netzwerker hier Schwierigkeiten?
Wie solte ich es am besten einrichten?
Vielen DAnk für Eure Hilfe !!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 329359
Url: https://administrator.de/contentid/329359
Printed on: April 25, 2024 at 23:04 o'clock
4 Comments
Latest comment
Ich denke sollte im groben so passen. Allerdings könnte man sich über die Zeichnung streiten. Und du musst natürlich den DHCP auf dem MPLS Router abschalten, bzw so modifizieren das er die Routen gleich mit gibt. Dann bräuchtest du aber auch keiner Kerio mehr sondern könntest alles über den MPLS abwickeln. Und ansonsten würde ich auch den Clients dann die Routen direkt geben, gibt da ne DHCP Option, anstatt das Interne Netz über die Kerio zu routen.
Sauber ist beides nicht gerade. Ich würde vielleicht mal mit dem Anbieter reden vielleicht kann der MPLS direkt Split Routing Internet ist ja quasi schon da.
Sauber ist beides nicht gerade. Ich würde vielleicht mal mit dem Anbieter reden vielleicht kann der MPLS direkt Split Routing Internet ist ja quasi schon da.
ein MPLS-Router, der DHCP macht und den ich nicht konfigurieren kann.
Du kannst ihn aber über den Provider nach deinen Vorgaben konfigurieren lassen, oder ?Jetzt ist allerdings die Herausforderung, alle Standorte sollen eine separate Internetleitung bekommen.
Das ist keine Herausforderung für den Netzwerker sondern eine Lachnummer... 
Alle Netze sind von jedem Standort aus erreichbar. Dies soll auch so bleiben, aber der Internetverkehr soll ausschließlich über die separate Leitung gehen.
Kinderspiel und in 10 Minuten erledigt !- Internet Router für den separaten Internet Zugang installieren und ins Standort Netz hängen.
- DHCP falls der vom MPLS Router kommt durch den Provider deaktivieren lassen und auf den Internet Router oder lokalen Server legen.
- Default Route ALLER Clients im Netz auf diesen Internet Router legen.
- Internet Router bekommt eine Summary Route für alle Standort Netze auf den MPLS Router: ip route 192.168.0.0 255.255.128.0 <ip_addresse_mpls-router>
- Fertisch
Zudem hat es den riesigen Vorteil das das Default Gateway (und ggf. DHCP) eures eigenen Netzes wieder in eure eigene Hoheit übergeht. Aktuell habt ihr es vermutlich auf den Provider MPLS Router gelegt was schon ein riesiger Fehler ist.
Was bitte ist daran denn knifflig ? Ein simples Allerweltsdesign. Du bist ja auch schon selber auf die richtige Lösung gekommen
Das einzige was überflüssig ist ist hier das Transfer Netz zw. VDSL und Firewall. Das ist Unsinn und überflüssig.
Da solltest du immer einen Router gleich mit VDSL Modem und Firewall an Bord einsetzen damit du dir diese Fricklei sparen kannst. Z.B.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Alternativ die üblichen Verdächtigen von Mikrotik, Lancom oder Bintec.
Keinesfalls solltest du da einen Provider Billigrouter einsetzen.
Wenn du unbedingt doch so eine kontraproduktive Kaskade machen willst oder musst solltest du als Transfer Netz keinesfalls IP Netze nehmen die andereweitig im MPLS Netz im Einsatz sind oder mit der Summary Route kollodieren um Konflikte zu vermeiden.
Das Spektrum privater RFC 1918 IP Adressen ist groß genug um auf diese dümmlichen Allerwelts 192.168er IPs zu verzichten:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Das das so oder so immer eine Point to Point Verbindung ist macht es Sinn hier immer mit einem /30 Prefix 255.255.255.252 zu arbeiten.
Aber wie gesagt...besser gleich durch geschickte Router HW den Mist vermeiden !
Nebenbei: Den MPLS Router direkt ohne FW Schutz im Unternehmens Netz zu betreiben ist schon sehr gewagt.
Ein Fehler von Vodafone und ihr habt die ganze Welt direkt im Unternehmensnetz. Das Vodafone auch so direkten Zugriff auf eure Kronjuwelen hat mal gar nicht von zu reden. Sollte man auch mal drüber nachdenken....?!
Sinnvoll wäre hier ein FW einzusetzen mit 3 Ports als zentralen Gateway und 2 Port wovon einer das Internet bedient und einer die MPLS Anbindung. Das wäre ein Idealdesign was zudem nich sicher ist.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder andere übliche FW Verdächtige....
Mensch aqui, das ist doch mal eine ausführliche Lösung, vielen Dank.
Zu Deinem letzten Punkt habe ich aber noch einige nachfragen.
Ich habe an Hardware folgendes zur Verfügung
MPLS-Router (Vodafone)
Fritz-Box (VDSL-Router Vodafone)
und unsere Hardware-Appliance Kerio Control 3000 Serie (mit insgesamt 8 verfügbaren Ports).
Bekomme ich damit Deine zu letzt genannte, sichere Konfiguration umgesetzt?
Zu Deinem letzten Punkt habe ich aber noch einige nachfragen.
Ich habe an Hardware folgendes zur Verfügung
MPLS-Router (Vodafone)
Fritz-Box (VDSL-Router Vodafone)
und unsere Hardware-Appliance Kerio Control 3000 Serie (mit insgesamt 8 verfügbaren Ports).
Bekomme ich damit Deine zu letzt genannte, sichere Konfiguration umgesetzt?
Ja, natürlich unter der Annahme deine Kerio ist eine Firewall !!
Das sieht dann so aus:
Herausforderung ist aber hier das du die IP Adressierung etwas ändern musst sofern du den Provider nicht mit Änderungen belästigen willst.
Du brauchst ja ein Transfernetz zw. Firewallport und MPLS Router.
Hier kannst du das bestehende IP Netz nehmen, musst dann aber das lokale LAN in der IP Adressierung umstellen.
Oder du stimmst da smit dem Provider ab und lässt ihn das netz am Router LAN ändern auf dein neues Transfernetz.
Das musst du entscheiden was organisationstechnischer für dich besser zu handhaben ist.
Ansonsten bleibt dir nur die etwas unsichere Standardkonfig wie besprochen, die aber auch fehlerlos funktioniert:
Das sieht dann so aus:
Herausforderung ist aber hier das du die IP Adressierung etwas ändern musst sofern du den Provider nicht mit Änderungen belästigen willst.
Du brauchst ja ein Transfernetz zw. Firewallport und MPLS Router.
Hier kannst du das bestehende IP Netz nehmen, musst dann aber das lokale LAN in der IP Adressierung umstellen.
Oder du stimmst da smit dem Provider ab und lässt ihn das netz am Router LAN ändern auf dein neues Transfernetz.
Das musst du entscheiden was organisationstechnischer für dich besser zu handhaben ist.
Ansonsten bleibt dir nur die etwas unsichere Standardkonfig wie besprochen, die aber auch fehlerlos funktioniert:
