14
Frage zur Verbindung von zwei Netzwerken....
Hallo an alle,
ich hoffe auf eure Unterstützung und habe folgendes Problem:
Schon einige Zeit arbeiten wir mit zwei Netzwerken, bedingt duch zwei Firmenstandorte. Nun haben wir seit heute eine Standleitung bekommen und möchten diese beiden Netzwerke miteinander verbinden. Beide Netze müssen aufeinander zugreifen können.
Die Konstellation:
Netz 1 -> IP 10.0.0.* mit SUB 255.0.0.0 -> + DSL Zugang (Gateway)
Netz 2 -> IP 192.168.178.* mit SUB 255.255.255.0 -> + DSL Zugang (Gateway)
Die Standleitung verhält sich wie eine Ethernet-Verbindung und funtioniert einwandfrei. Da es für uns das erste mal ist, verschiedene Netze "zusammenzubringen" war die erste Idee mit einem Router. Die hat leider mit 4 verschiedenen Geräten nicht funktioniert, da die T-Com Endgeräte 100Mbit/Fullduplex als fest eingestellt brauchen. Die sog. WAN-Ports an den Routern konnten bei keinem der Geräte auf 100Mbit/Fullduplex fest eingestellt werden. Deshalb verweigerte das T-Com Geräte bei drei Routern die Kommunikation mit dem WAN-Port.
Müssen wir wirklich einen Rechner mit 3 Netzwerkkarten benutzen, um das Routing bzw. die Bridge zu bilden? Macht das ein Router nicht auch?
Wie realisieren wir, dass bestimmte Anfragen in das andere Netz geroutet und die Anfragen in das Internet auch in das Internet entsprechend geroutet werden?
Noch etwas anderes:
Wir haben bisher in jedem Netz jeweils eine Hardware-Firewall (z.B. Firebox Watchguard) für den DSL-Zugang eingesetzt. Meine Frage dazu ist auch, ob so eine Firewall in der Lage ist zu routen?
Vielen Dank für eure Unterstützung und Lösungen.
Grüße Mario
Die Konstellation:
Netz 1 -> IP 10.0.0.* mit SUB 255.0.0.0 -> + DSL Zugang (Gateway)
Netz 2 -> IP 192.168.178.* mit SUB 255.255.255.0 -> + DSL Zugang (Gateway)
Die Standleitung verhält sich wie eine Ethernet-Verbindung und funtioniert einwandfrei. Da es für uns das erste mal ist, verschiedene Netze "zusammenzubringen" war die erste Idee mit einem Router. Die hat leider mit 4 verschiedenen Geräten nicht funktioniert, da die T-Com Endgeräte 100Mbit/Fullduplex als fest eingestellt brauchen. Die sog. WAN-Ports an den Routern konnten bei keinem der Geräte auf 100Mbit/Fullduplex fest eingestellt werden. Deshalb verweigerte das T-Com Geräte bei drei Routern die Kommunikation mit dem WAN-Port.
Müssen wir wirklich einen Rechner mit 3 Netzwerkkarten benutzen, um das Routing bzw. die Bridge zu bilden? Macht das ein Router nicht auch?
Wie realisieren wir, dass bestimmte Anfragen in das andere Netz geroutet und die Anfragen in das Internet auch in das Internet entsprechend geroutet werden?
Noch etwas anderes:
Wir haben bisher in jedem Netz jeweils eine Hardware-Firewall (z.B. Firebox Watchguard) für den DSL-Zugang eingesetzt. Meine Frage dazu ist auch, ob so eine Firewall in der Lage ist zu routen?
Vielen Dank für eure Unterstützung und Lösungen.
Grüße Mario
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 94285
Url: https://administrator.de/contentid/94285
Printed on: April 23, 2024 at 20:04 o'clock
14 Comments
Latest comment
Wenn du auf beiden Seiten eine Watchguard hast, kannst du damit ein VPN realisieren, welches die beiden Netze verbindet... So gehen Anfrage aus dem 192er Netz zum 10er Netz über VPN und alles was keine 10 am Anfang hat ins Internet... Und genau so ist es umgekehrt...
Hast du 2 Watchguard-Firewalls?
Hast du 2 Watchguard-Firewalls?
Wenn der Router das kann, dann heisst der entsprechende Menüpunkt statische Routen, das kann jeder einfache Netgear Router, also wirst du da sicher fündig.
Jedes Windows kann das auch, hier heisst der Befehl "route".
Als Zieladresse für IPs im anderen Netz muss jeweils der Router des anderen Netzes angegeben werden.
Wenn mich mal nicht alles täuscht - bin in dem Fall nicht sehr gut auf Windows ;) Eventuell kann das ja noch wer ergänzen.
Jedes Windows kann das auch, hier heisst der Befehl "route".
Als Zieladresse für IPs im anderen Netz muss jeweils der Router des anderen Netzes angegeben werden.
route add 10.0.0.0 255.0.0.0 <IP des 10.0.0.0 Routers>
route add 192.168.178.0 255.255.255.0 <IP des 192.168.178.0 Routers>Wenn mich mal nicht alles täuscht - bin in dem Fall nicht sehr gut auf Windows ;) Eventuell kann das ja noch wer ergänzen.
Ich hätts wohl so gemacht:
Auf beiden Seiten S-DSL mit fester IP Adresse.
Auf beiden Seiten ein VPN Gateway hinstellen (z. B. Cisco PIX)
Durch Access Listen ("Interesting Traffic") kann man definieren, welcher Traffic in den Tunnel zum anderen Standort gehen soll, und welcher Traffic unverschlüsselt ins Internet soll.
Das ist die klassische Variante - einfach, günstig und stabil.
Auf beiden Seiten S-DSL mit fester IP Adresse.
Auf beiden Seiten ein VPN Gateway hinstellen (z. B. Cisco PIX)
Durch Access Listen ("Interesting Traffic") kann man definieren, welcher Traffic in den Tunnel zum anderen Standort gehen soll, und welcher Traffic unverschlüsselt ins Internet soll.
Das ist die klassische Variante - einfach, günstig und stabil.
Die Lösung mit den Firewalls haben wir uns ebenfalls gedacht. Also wir haben eine Zyxel ZyWall 5 und eine Firebox Watchguard 700.
Diese haben wir bisher für die jeweils anliegenden DSL Anschlüsse verwendet, auch um einen VPN Tunnel über das DSL zu realisieren.
Unsere Überlegung ging dahin, dass wir die Firewalls weiterhin für beides nutzen können. Also für DSL und Standleitung. Wobei wir noch gern den VPN-Tunnel auf der Standleitung hätten.
Noch eine andere Frage: Die Firewalls haben doch mehrere Ports, können die auf alles "routen" was da angesteckt wird? Oder ist die funktionsweise eher wie bei einem Router. z.B. 5 Ports werden auf den 1 Port Firewall out geroutet?
Wie gesagt, mit normalen Routern hat es nicht funktioniert, weil es einfach an der technischen Seite liegt. Bei keinem der Router konnte der WAN-Port fest auf 100Mbit/Fullduplex mit Autosensing = off eingestellt werden. Diese Einstellung brauch die Box der T-Com. Deshalb fand keine Kommunikation zwischen dem Router und der T-Com Box statt.
Diese haben wir bisher für die jeweils anliegenden DSL Anschlüsse verwendet, auch um einen VPN Tunnel über das DSL zu realisieren.
Unsere Überlegung ging dahin, dass wir die Firewalls weiterhin für beides nutzen können. Also für DSL und Standleitung. Wobei wir noch gern den VPN-Tunnel auf der Standleitung hätten.
Noch eine andere Frage: Die Firewalls haben doch mehrere Ports, können die auf alles "routen" was da angesteckt wird? Oder ist die funktionsweise eher wie bei einem Router. z.B. 5 Ports werden auf den 1 Port Firewall out geroutet?
Wie gesagt, mit normalen Routern hat es nicht funktioniert, weil es einfach an der technischen Seite liegt. Bei keinem der Router konnte der WAN-Port fest auf 100Mbit/Fullduplex mit Autosensing = off eingestellt werden. Diese Einstellung brauch die Box der T-Com. Deshalb fand keine Kommunikation zwischen dem Router und der T-Com Box statt.
Ich würde das auch mit einer Cisco Pix bzw. einer ASA machen.
Komisch das das die T-Com nicht hinkiregt. Wir haben soetwas von denen Bezogen und haben keine Probleme damit.
Komisch das das die T-Com nicht hinkiregt. Wir haben soetwas von denen Bezogen und haben keine Probleme damit.
Unsere Anbindung hier im Haus ist auch durch die T-Com geschaltet.
Im Endeffekt haben wir auf beiden Seiten eine 0 8 15 Ethernet Buchse, die geschaltene Leitung verhält sich nicht anders wie ein langes Kabel.
Zugriffe von aussen sind da nicht möglich.
Wüsste also nicht, wo da das Problem sein soll (nur weil ich gerade die ganzen Diskussionen um sonstwelche Hardware sehe).
Die Hardware die vorhanden ist reicht doch völlig aus, wenn er einfache statische Routen setzen kann.
Vielleicht sollten sich die Antworten ein bisschen mehr in diese Richtung bewegen, statt "also ich hätte ja ... gekauft und ... gemacht" - schließlich soll ja geholfen werden beim aktuellen Stand der Technik das Problem zu lösen (auch wenn es sicher bessere Lösungen gibt).
Im Endeffekt haben wir auf beiden Seiten eine 0 8 15 Ethernet Buchse, die geschaltene Leitung verhält sich nicht anders wie ein langes Kabel.
Zugriffe von aussen sind da nicht möglich.
Wüsste also nicht, wo da das Problem sein soll (nur weil ich gerade die ganzen Diskussionen um sonstwelche Hardware sehe).
Die Hardware die vorhanden ist reicht doch völlig aus, wenn er einfache statische Routen setzen kann.
Vielleicht sollten sich die Antworten ein bisschen mehr in diese Richtung bewegen, statt "also ich hätte ja ... gekauft und ... gemacht" - schließlich soll ja geholfen werden beim aktuellen Stand der Technik das Problem zu lösen (auch wenn es sicher bessere Lösungen gibt).
Noch eine andere Frage: Die Firewalls haben doch mehrere Ports, können die auf alles "routen" was da angesteckt wird? Oder ist die funktionsweise eher wie bei einem Router. z.B. 5 Ports werden auf den 1 Port Firewall out geroutet?
Die Watchguard kann das, du kannst ja für jeden Port individuell festlegen was er macht... du könntest damit auch 5 DSL-Anschlüsse auf 1 LAN legen... Und dann Traffic-Shaping... Ist sicher ganz lustig, wie schnell das dann geht
Ob die Zyxwl das kann weiß ich leider nicht... Gehe aber mal davon aus...
@SnowStar
Schon einmal mit dem Wort SICHERHEIT auseinander gesetzt?
Schon einmal mit dem Wort SICHERHEIT auseinander gesetzt?
Siehe oben - Zugriff von aussen ist nicht möglich (bei uns, sein Konfiguration kenne ich ja nicht!).
Das er mit jetziger Hardware wohl keine Verschlüsselung nutzen kann, steht ja wieder auf einem anderen Blatt.
Zudem gehe ich davon aus, dass er das nicht ausser Acht lässt.
Finde es nur ein bißchen Schade, dass eben über sonstweitige (nicht gerade kostengünstige) Lösungen diskutiert wird, die möglicherweise garnicht in Frage kommen.
Klinke mich an dieser Stelle dann mal aus ;)
Das er mit jetziger Hardware wohl keine Verschlüsselung nutzen kann, steht ja wieder auf einem anderen Blatt.
Zudem gehe ich davon aus, dass er das nicht ausser Acht lässt.
Finde es nur ein bißchen Schade, dass eben über sonstweitige (nicht gerade kostengünstige) Lösungen diskutiert wird, die möglicherweise garnicht in Frage kommen.
Klinke mich an dieser Stelle dann mal aus ;)
Siehe oben - Zugriff von aussen ist nicht möglich (bei uns, sein Konfiguration kenne ich ja nicht!).
Irgendwie muss der Zugriff auch geschutzt sein, soetwas passiert nicht von alleine. Und das kann z.b. die Pix/ASA übernehmen und das relativ gut.
Und wie du schon erkannt hast werden bei deiner Lösung die Daten unverschlüsselt gesendet und dann bringst dir so gut wie überhaupt nichts wenn du den zugriff von aussen auf das interne Netz blockierst. Du hast dann eine massive Sicherheitslücke.
Und die kleinste ASA kostet wie ich mich erinnere um die 200€. Das ist noch für ne Firma bezahlbar. Da ist es teurer eine PC dafür abzustellen
ich glaube ihr 2 redet an einander vorbei 
Also... erst einmal Danke an alle, die versucht haben mich zu unterstützen. So habe ich auf ein paar Fragen (für mein besseres Verständnis) richtige Antworten erhalten.
Doch wie SnowStar schon richtig meint, ist es nicht sehr hilfreich, wenn als Antwort kommt:
"Ich hätts wohl so gemacht:" oder "Ich würde das auch mit einer Cisco Pix bzw. einer ASA machen."
Das hilft einem überhaupt nicht weiter. Da es mein erster Post in diesem Forum ist,
hat man das Gefühl als würden hier Produkte einer bestimmten Marke angepriesen.
(ein Schelm, wer böses dabei denkt...)
Aber was nützt mir das? Selbst wenn wir diese Geräte bestellt hätten, dann wäre wieder eine
Woche in's Land gegangen mit einer ungenutzten Standleitung.
Und SnowStar hat auch recht, dass die vorhandene Hardware vollkommen ausreicht. Das haben wir gestern abend umgesetzt.
Und zwar so:
Die Verbindung sieht detailliert so aus:
Netz1 <-> Firebox Watchguard <-> DMZ <-> T-Com1 <-> T-Com2 <-> DMZ <-> Zyxel ZyWall <-> Netz2
(alles über VPN Tunnel)
und Netz1 <-> Firebox Watchguard -> DSL
und Netz2 <-> Zyxel ZyWall -> DSL
So und nun funktioniert hier alles bestens mit sicherem VPN Tunnel. Die Kommunikation der Firewalls findet extra noch in einem DMZ statt.
Was will man mehr?
Wir haben jetzt zwischen den zwei Standorten einen Ping von 7ms.
Danke noch mal für euren Beistand. Bis denn....
Grüße Mario
Doch wie SnowStar schon richtig meint, ist es nicht sehr hilfreich, wenn als Antwort kommt:
"Ich hätts wohl so gemacht:" oder "Ich würde das auch mit einer Cisco Pix bzw. einer ASA machen."
Das hilft einem überhaupt nicht weiter. Da es mein erster Post in diesem Forum ist,
hat man das Gefühl als würden hier Produkte einer bestimmten Marke angepriesen.
(ein Schelm, wer böses dabei denkt...)
Aber was nützt mir das? Selbst wenn wir diese Geräte bestellt hätten, dann wäre wieder eine
Woche in's Land gegangen mit einer ungenutzten Standleitung.
Und SnowStar hat auch recht, dass die vorhandene Hardware vollkommen ausreicht. Das haben wir gestern abend umgesetzt.
Und zwar so:
Die Verbindung sieht detailliert so aus:
Netz1 <-> Firebox Watchguard <-> DMZ <-> T-Com1 <-> T-Com2 <-> DMZ <-> Zyxel ZyWall <-> Netz2
(alles über VPN Tunnel)
und Netz1 <-> Firebox Watchguard -> DSL
und Netz2 <-> Zyxel ZyWall -> DSL
So und nun funktioniert hier alles bestens mit sicherem VPN Tunnel. Die Kommunikation der Firewalls findet extra noch in einem DMZ statt.
Was will man mehr?
Wir haben jetzt zwischen den zwei Standorten einen Ping von 7ms.
Danke noch mal für euren Beistand. Bis denn....
Grüße Mario
Naja ich würd nicht sagen das man was anpreist sonder man schreibt von dem was man selbst im Einsatz hat und weis das es funktioniert.
Und das man nur eine Statische Route setzten kann stimmt zwar. Aber das ist eine Lösung die man so nicht empfehlen kann da es einfach Sicherheitstechnisch gelinde gesagt sehr unüberlegt ist.
Das mit dem VPN Tunnel ist aber eine gute Lösung und eigentlich nichts anderes was die Cisco macht.
Und das man nur eine Statische Route setzten kann stimmt zwar. Aber das ist eine Lösung die man so nicht empfehlen kann da es einfach Sicherheitstechnisch gelinde gesagt sehr unüberlegt ist.
Das mit dem VPN Tunnel ist aber eine gute Lösung und eigentlich nichts anderes was die Cisco macht.
Yo schön dass es klappt.
