droehn
Goto Top

SG300 mit VLAN für DMZ - ACL und Routing Probleme

Tach!

als Ersatz für zwei unmanaged Switches habe ich einen Cisco SG300-28 mit neuster Firmware (1.4.1.3) im Layer-3 Modus und eine PFsense Firewall mit 3 Ports wie folgt eingerichtet:
- 8 VLANs LAN an PFSense Port ETH0 (angeschlossen via VLAN Nr. 9)
- 1 VLAN DMZ an PFSense Port ETH2 (VLAN Nr. 8)

Alle Verbindungen funktionieren soweit. Allerdings ist noch das interne Routing im Switch auch für das DMZ-VLAN aktiv. Ich kann im Moment problemlos von einem DMZ-Rechner auf das LAN zugreifen. Weil das nicht sein soll, habe ich mittels IPv4 ACL/ACE das DMZ-VLAN ausgegrenzt; Beispiel VLAN1 => VLAN8.

daef9b41a51a99616770d5da3e5b9b0d

und VLAN8 => alle

c2f3ff5d1d9094be3fff2fa053572c73

Ab hier fängt mein Problem an:

Leider sperre ich damit jeglichen Zugriff auf die DMZ aus dem LAN heraus. Ich finde keine Option, um dem Switch zu sagen, dass das Routing zum DMZ-VLAN zwar gesperrt, aber dafür eine andere Route via Interface xyz (die PFSense) genommen werden soll.
Ich habe versucht, unter IP-Konfiguration => IPv4-Routen ein entsprechendes Routing einzurichten, aber da stehen bereits die automatischen Routen, die mit der IP-Zuweisung zu den VLANs erzeugt wurden. Diese können nicht gelöscht werden und eine weitere Route auf IP 192.168.8.0 ist dadurch nicht erlaubt.

82b5711f3d5657149a5ef1aba668a8bd


Meine Fragen:
- ist mein Ansatz überhaupt richtig, eine DMZ auf diese Weise in einem Layer-3 Umfeld einzurichten?
=> Ich will das Routing nicht auf der PFSense haben, Layer-3 muss sein
=> Ich könnte die DMZ wieder an einem separaten Switch betreiben, aber dann kann ich die DMZ nicht an einem getrunkten Switch verwenden
- Gibt es Einstellungen, die ich übersehen habe?

Vielen Dank schonmal für's bis hierher lesen face-smile

Content-Key: 293401

Url: https://administrator.de/contentid/293401

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: MartinStrasser
Lösung MartinStrasser 17.01.2016, aktualisiert am 18.01.2016 um 19:06:56 Uhr
Goto Top
Hallo,

ich würde die Layer 3 Funktion vom Switch nicht nutzen, da Du ja die pfSense hast und die die VLANs managed.
Auf der Firewall kannst Du auch bequem die Regeln festlegen.
Da es ein Switch ist und kein Router / Firewall, ist auch eine Trennung der Netze nur begrenzt möglich.

DMZ / LAN sollte man normalerweise schon an unterschiedlichen Switches verwenden.

Gruß
Mitglied: droehn
droehn 18.01.2016 um 19:22:05 Uhr
Goto Top
Hallo,

danke für Deine Antwort. Das hiesse, den gesamten Datenverkehr der VLANs 101-107 immer durch einen einzigen Port über die PFSense zu schicken. Würde ich dann nicht enormen Performanceverlust in Kauf nehmen müssen? Genau das möchte ich nämlich vermeiden.

Plan B: Könnte ich auf dem Switch die IP-Konfiguration für VLAN108 entfernen, einen Trunk zur PFSense erstellen und dort das Routing nur für die 108 einrichten? Dann auf dem Switch eine manuelle Route für 192.168.8.0 nach 192.168.9.100 (PFSense LAN Port) definieren, würde das gehen?

Grüsse
Mitglied: MartinStrasser
MartinStrasser 21.01.2016 um 20:30:32 Uhr
Goto Top
Hallo,

Du könntest zur pfSense auch einen Trunk mit mehreren Interfaces bauen.

2. Würde auch gehen, aber wenn Du die VLANs trennen willst, wirst Du um die pfSense oder eine anderen Firewall nicht rum kommen.

Gruß