Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

2 Firewalls - 1 Internetanbindung

Frage Netzwerke Router & Routing

Mitglied: morphil

morphil (Level 1) - Jetzt verbinden

20.07.2011 um 15:17 Uhr, 3937 Aufrufe, 24 Kommentare

Hallo

Wie haben momentan eine Standard-Netzwerk mit einer Firewall an welcher die Internetanbindung per fixer IP am WAN-Port liegt.

Nun haben wir in absehbarer Zeit vor unseren Exchange auszulagern. Der neue Hosting Partner möchte dafür ein Fortigate 50 bei uns installieren.

Die Anbindung haben ich mir so gedacht, das unsere Firewall den Traffic bezüglich Exchange an das Fortigate weiterroutet und dieses dann ebenfalls eine fixe IP aus dem Pool unseres Internetproviders bekommt, welcher direkt weiter ins WAN führt.

Nun stellt sich für mich zum einen die Frage, ob das auch logisch richtig ist, damit es nicht zu Performance - Einbußen bezüglich Datendurchsatz der Internetanbindung kommt?

Und zum anderen würde ich gerne wissen, wie ich die beiden WAN-Ports beider Firewalls (Fortigate und der eigenen) wieder zusammenführe? Reicht da einfach ein kleiner Switch (ich bräuchte ja nur 3 Ports) und gut ist oder stelle ich mir das zu einfach vor?

Hab mal versucht das ganze aufzuzeichnen:

db1bd42627332075b3fb7c40786e61c6 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Hitman4021
20.07.2011 um 16:05 Uhr
Verstehe ich richtig das jede Firewall eine eigene offiziele IP bekommt?
Dann so?

............................................INTERNET
....................................................|
..............................................MODEM
....................................................|
..........................................Kleiner Switch
............................................../............\
............................................/...............\
......................................ZYXEL........Fortigate
........................................../....................\
......................................../.......................\
...................................CLIENTS............Exchange

Ich weiß ich nicht die beste Zeichnung aber sollte verständlich sein (hoffentlich)

Gruß
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:14 Uhr
triftt es fast , der Exchange ist ja nicht mehr intern und das Fortigate wäre zw. Zyxel und WAN

............................................INTERNET
....................................................|
..............................................MODEM
....................................................|
..........................................Kleiner Switch
............................................../............\
............................................/...............\
.........................................../.............Fortigate
........................................./............/
..........................................ZYXEL
....................................../...............
.................................... /...............
..............................CLIENTS.............
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 16:18 Uhr
............................................INTERNET
....................................................|
..............................................MODEM
....................................................|
..........................................Kleiner Switch
............................................../............\
............................................/...............\
......................................ZYXEL........Fortigate
..........................................\..................../
...........................................\................../
..............................................SWITCH
....................................................|
..............................................CLIENTS (Gateway Zyxel)

Sollte so funktionieren, aber warum bindet ihr den Exchange nicht über RPC over HTTPS an?

Gruß
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:22 Uhr
weil das kein offizieller Provider ist, sondern eine Art Verbundzusammenschluss und in Zukunft auch andere Server (nicht nur Exchange) dazukommen werden
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:23 Uhr
Ist es egal was für einen "kleinen" Switch?
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 16:24 Uhr
Ja er muss ja nur dafür sorgen das mehr Schnittstellen am Modem sind.
Sollte eigentlich auch ein HUB machen aber ist Performance mäßig schlechter.

Sonst wenn es ein Verbundzusammenschluß ist, könnt ihr das anders auch lösen, dürfte einfacher sein mit Netz2Netz VPN.

Gruß
Bitte warten ..
Mitglied: morphil
20.07.2011 um 16:48 Uhr
dann werden wir das mal so durchziehen und ich schreib dann nächste Woche wie es ausging
das mit der VPN werde ich mal vorschlagen.
Bitte warten ..
Mitglied: aqui
20.07.2011 um 18:51 Uhr
Das Aufsplitten mit dem Switch funktioniert nicht weil kein Provider mehrere PPPoE Verbindung parallel supportet.
Es sei denn man will immer nur die Fortigate und im Backup Falle den Zyxel aktiv haben....dann wäre das denkbar.
2 parallele PPPoE Links über einen Draht klappt wenigstens so nicht...
In der Regel bekommt man dafür auch 2 separate Internet Ansclüsse und koppelt die mit einem Load Balancing Router der ein automatisches Failover supportet wie z.B. ein Draytek 2910.
Intelligenterweise nimmt man dann auch 2 unterschiedliche Provider um nicht abhängig von einem einzigen zu sein falls es einen Leitungsausfall gibt.
So würde man das professionell lösen.
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 19:10 Uhr
Da muss ich dir Widersprechen.
Das Modem wählt sich in diesem Fall beim Provider ein und dahinter kann ich meinen gesamten zugewiesenen Adresspool per Switch aufsplitten.
So läuft das zumindest bei unseren Providern und uns selbst ab.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
20.07.2011 um 22:52 Uhr
Zitat von aqui:
2 parallele PPPoE Links über einen Draht klappt wenigstens so nicht...

Da muß ich wiedersprechen. Bei T-Online ging das eine ganze Weile, daß mehrere "Mitbenutzer" jeweils mit ihrer eigenen Kennung über PPPoE nline gegangen sind. Ob das imme rncoh geht kann ich nicht sagen, aber früher Habe ich das öfter probiert und auch bei anderen gesehen. Auch die paralele Benutzung mehrerer Provider über die gleiche DSL-Leitung ging ohne Probleme. habe es zwar seit 2 Jahren nicht mehr probiert, aber ich wüßte keine Grund warum das nicht mehr gehen sollte.


Zum Thread-Thema:

Ich interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere Portszu verfügugn stellt und auch mehrere fixe IPs fürs Transfernetz zwischen Router und Firewalls. Daher dürfte das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 23:08 Uhr
Zitat von Lochkartenstanzer:
Ich interpretiere die Zeichung oben so, daß der Internetzugang üebr einen Router des Providers geschieht, der mehrere
Portszu verfügugn stellt
Und wenn nicht benötigt mann eben einen Switch

und auch mehrere fixe IPs fürs Transfernetz zwischen Router und Firewalls. Daher dürfte
das Setup wie es oben gezeichnet ist, funktionieren, sofern man darauf achtet die Routen korrekt zu setzen.
Genau so habe ich das gemeint.

Gruß
Bitte warten ..
Mitglied: morphil
21.07.2011 um 08:45 Uhr
Ok, die letzten beiden Beiträge sehe ich als Bestätigung, das es sehr wohl funktionieren sollte.

Zur Aufklärung:
Als Internetanbindung haben wir einen LWL Anschluss im Haus, an dessen Ende der Konverter mit EINEM Port zur Verfügung steht.

Was für eine Switch ist also egal? Da reicht der kleinste Noname?
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 08:53 Uhr
Und an diesem Port hast du jetzt ein Modem oder das Zxel Teil?

Gruß
Bitte warten ..
Mitglied: aqui
21.07.2011 um 10:13 Uhr
Ein "Modem" kann sich niemals einwählen, denn ein Modem ist immer passiv. Ein passiver Medienwandler zwischen einer 2 Draht DSL Leitung und einer Ethernet Schnittstelle.
Du verwechselst hier mal wieder fröhlich den begriff "Modem" mit dem begriff "Router". Ein himmelweiter Unterschied wenn man es technisch betrachtet !
Es ist aber zweifelsohne möglich, das der Provider dir dahinter ein Subnetz zur Verfügung stellt.
Bitte warten ..
Mitglied: aqui
21.07.2011 um 10:18 Uhr
Das solltest du nicht als Bestätigung ansehen, denn in der Regel geht es de facto NICHT das 2 aktive PPPoE Sessions zu ein und demselben Provider aufgemacht werden.
Auch wenn es mal "eine ganze Weile" ging geht es heute nicht mehr. Du solltest das also in jedem Falle mit deinem Provider abklären um keine böse Überraschung zu erleben.
In der Regel supportet kein Provider so ein Szenario das den PPPoE Link auf einem Switch aufsplittet. Technisch löst man sowas auch nicht auf diese Weise, schon gar nicht in einem Hochverfügbarkeits Zugriff wie du ihn anstrebst für ein Produktivnetz. Das erinnert eher an einen hilflose Bastelei an einem Home DSL Anschluss, sorry.
Allein der Name (PPPoE = Point to Point = Punkt zu Punkt) konterkariert so ein Basteldesign schon von Grund auf, denn das Protokoll ist dafür nicht gemacht !
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 10:29 Uhr
Das Modem baut die PPOE Verbindung auf. Die Firewalls stehen dahinter und haben eben shcon eine eigene offiziele IP mit dem Modem als Gateway.

Gruß
Bitte warten ..
Mitglied: aqui
21.07.2011 um 10:32 Uhr
@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 10:42 Uhr
Zitat von aqui:
@Hitman4021
Ein "Modem" kann niemals eine PPPoE Verbindung aufbauen...das kann nur ein Router ! PPPoE bedeutet immer IP Adressen und
ein schlichtes Modem ist ein passiver Medienwandler DSL 2 Draht auf Ethernet Schnittstelle das von IP Adressen keine Ahnung hat
und nur auf Frame bzw. Mac Basis arbeitet.
In der Beziehung ist deine Beschreibung technisch schlicht falsch !
Dann bezeichnen wir das eben als Router des Providers.
Okay das mit der falschen Bezeichnung sehe ich ein aber trotzdem baut dieser Router die Verbindung auf und dahinter kann der offiziele IP Pool den du vom Provider zugewiesen bekommst genutzt werden.

Gruß
Bitte warten ..
Mitglied: aqui
21.07.2011 um 22:31 Uhr
Ja, dann ist das klar und das ist auch so normal und ein klassisches Allerweltszenario für einen Kundenanbindung !
Ändert aber nichts an der Tatsache das ein Splitting mit dem Switch ein nogo ist für die Konfiguration die vermutlich obendrauf auch nicht funktionieren wird.
Bitte warten ..
Mitglied: Hitman4021
21.07.2011 um 22:35 Uhr
Wenn man nur einen RJ45 Ausgang am Modem hat was sollte man sonst machen?
Ich habe das bei mehreren Kunden schon so gelöst (zwar meist nur kurzzeitig zur Überbrückung) und da hat es immer funktioniert.

Was spricht dagegen das das funktioniert?

Gruß
Bitte warten ..
Mitglied: morphil
22.07.2011 um 08:51 Uhr
Wie sind Teil des Glasfasernetzwerks der Stadt, es hängt also am Schluss kein Modem, sondern ein Converter von RJ45 auf LWL.
Die Diskussion über PPPoE führt hier wohl in die falsche Richtung.

Ich habe das ganze gestern Abend ausgetestet (statt dem Fortigate habe ich einen 08/15 Router genommen). Etwas herausfordernd war nur das Routing, danach hat es funktioniert. Wirkliche Performance-Einbußen kann ich keine feststellen.

Wie testet ihr euren Datendurchsatz euerer Internetanbindung aus?
Bitte warten ..
Mitglied: Hitman4021
22.07.2011 um 08:57 Uhr
Zitat von morphil:
Wie testet ihr euren Datendurchsatz euerer Internetanbindung aus?
Ich hab nen Juniper Router mit ner Netflow Auswertung.

Gruß
Bitte warten ..
Mitglied: aqui
22.07.2011 um 18:15 Uhr
... ."Wie sind Teil des Glasfasernetzwerks der Stadt..." na tolle Wurst ! Hättst du auch mal eher bemerken können dann hätte man sich das ganze PPPoE Gegurke hier sparen können
Das das mit einem Popelswitch so wie oben funktioniert hätte dir auch jeder Praktikant sagen können....

Durchsatztest mit sFlow und NetIO oder jPerf über den Switch oder Router !
http://www.nwlab.net/art/netio/netio.html
bzw.
http://www.nwlab.net/know-how/JPerf/
Bitte warten ..
Mitglied: morphil
25.07.2011 um 11:19 Uhr
Die Links gebe ich gleich dem Praktikant weiter
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Mehrere Hardware Firewalls (10)

Frage von cerberus90 zum Thema LAN, WAN, Wireless ...

Schulung & Training
Netzwerkkenntnisse aufbauen vorallendingen zu Firewalls etc (4)

Frage von clonex zum Thema Schulung & Training ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...