Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

3 Firewalls in Serie, was tun um VPN Tunnel mit Routing herstellen zu können

Frage Sicherheit Firewall

Mitglied: darkcube

darkcube (Level 1) - Jetzt verbinden

29.04.2011 um 17:57 Uhr, 5609 Aufrufe, 12 Kommentare, 1 Danke

Hallo zusammen

Ich nerv mich gerade an der zusammenarbeit mit einem IT Partner in Holland herum.

2 Firmen sollen zusammen über einen VPN Tunnel vernetzt werden. Dafür wurde eine 2te Leitung angeschafft welches den ganzen Traffic bis auf http und smtp nach Holland routet. Aus holland habe ich eine vorkonfigurierte Firewall erhalten welche eine IP in meinem Netz besitzt. Diese darf angeblich nicht umkonfiguriert werden und dient nur als VPN Tunnel.
Leider hängt im moment die holländische Firewall direkt an einem internen Switch, was zu diversen Problem führt die ich nicht weiter ausführen will. Ja, mir ist bewusst das dies Schrott ist, jedoch wollen die Firmen bereits gewisse Dienste nutzen.

Um den Traffic zu routen muss die holländische Firewall an WAN2 angeschlossen werden. Dies funktioniert jedoch nicht da das interne und externe Netz das selbe Subnetz besitzt.

hier eine kleine zeichnung:
c5efb82cc5b987d21a6e5796883d458c - Klicke auf das Bild, um es zu vergrößern


Ich bin der Meinung das die holländische Firewall welche in der Schweiz steht zurück ins Hollandnetz integriert werden muss und dann mit der Fortigate verbunden wird. oder sehe ich das falsch?

Was kann ich machen um das problem zu lösen ohne eine politische krise in den firmen auszulösen?

Danke für eure Hilfe
Mitglied: Lochkartenstanzer
29.04.2011 um 18:04 Uhr
Zitat von darkcube:
Dies funktioniert jedoch nicht da das
interne und externe Netz das selbe Subnetz besitzt.

Du sagst es ja schon selbst: Das kann so nicht funktionieren.

Entweder ihr macht subnetting, oder ihr einigt Euch darauf, welche IP-Ranges wo benutzt werden.
Bitte warten ..
Mitglied: brammer
29.04.2011 um 18:27 Uhr
Hallo,

@Lochkartenstanzer

Entweder ihr macht subnetting,

Wie kommst du den zu dieser genialen, aber falschen Weiseheit?

@darkcube

Wieso selbes Netz?
10.1.x.x /16 und 10.9.x.x /16 sind doch 2 verschiedene Netze da sollte ein Routing doch keinen Stress machen.

brammer

Editiert, Details der Zeichnung übersehen!

brammer
Bitte warten ..
Mitglied: darkcube
29.04.2011 um 18:27 Uhr
ok danke

dann bin ich doch nicht do doof wie ich mich gerade fühle was dieses thema anbelangt.

die behauptung trat zudem noch auf, das falls die zwischengeschaltete Firewall im holländischen netz sein würde, kann der zugriff von holland in die schweiz nicht durchgeführt werden. das ist doch absolut absurd?

Gruss und danke
Bitte warten ..
Mitglied: Lochkartenstanzer
29.04.2011 um 18:44 Uhr
Zitat von brammer:
Hallo,

@Lochkartenstanzer

> Entweder ihr macht subnetting,

Wie kommst du den zu dieser genialen, aber falschen Weiseheit?

10.9.75.1 gehört ins Netz 10.9.0.0/16 kann also nicht auf der anderen Seite der Firewall sein, sofern diese auf Layer 3 und nicht auf layer 2 arbeitet.

Dann muß man eben das 10.9.0.0/16 in verschiedene Teilnetze unterteilen (subnetting) oder andere IP-Ranges dafür hernehmen.


@darkcube

Wieso selbes Netz?
10.1.x.x /16 und 10.9.x.x /16 sind doch 2 verschiedene Netze da sollte ein Routing doch keinen Stress machen.

s.o.


brammer

Editiert, Details der Zeichnung übersehen!

brammer
Bitte warten ..
Mitglied: brammer
29.04.2011 um 18:59 Uhr
Hallo,

die Firewall auf der rechten Seite hat eine IP im rechten Netz 10.9.75.1. Auf dem Internen Interface.
Die Firewall auf der linken Seite hat eine IP im linken Netz. Auf dem Internen Interface.

Das Netz 10.9.x.x / 16 ist ein anderes Netz as 10.1.x.x
Beide Firewalls haben am externen Interface irgendeine Public IP.

Das linke Netz routet alles Richtung 10.9.x.x über die interne IP Adresse der linken Firewall
Rechts routet alles Richtung 10.1.x.x über die interne IP Adresse der rechten Firewall.

wo ist da das Problem?
Ein Standard VPN Szenario.

brammer
Bitte warten ..
Mitglied: Lochkartenstanzer
29.04.2011 um 19:12 Uhr
Zitat von brammer:
Hallo,

die Firewall auf der rechten Seite hat eine IP im rechten Netz 10.9.75.1. Auf dem Internen Interface.
Die Firewall auf der linken Seite hat eine IP im linken Netz. Auf dem Internen Interface.

Dann interpretiere ich die zeichnung anders als Du.

Ich lese es so:

Die (rechte) Watchguard hat auf dem link zur Fortigate die IP 10.9.75.1. Die Fortigate müße nach meiner Lesart auf demselben Link auch eine 10.9.0.0/16 Adresse haben, was aber zu Konflikten mit dem Netz auf Ihrer anderen Seite 10.9.0.0/16 führt.

Sollte ich die Zeichnung falsch interpretiert haben, dann passen meine Ausführugnen natürlich nicht zu der Anforderung.
Bitte warten ..
Mitglied: brammer
29.04.2011 um 19:21 Uhr
Hallo,

@Lochkartenstanzer
Wenn dem so wäre dann haben die Holländer bei der Konfiguration Mist gebaut.
Ich intertpretiere die Zeichung so das die rechte Firewall der zweite WAN Anschluss ist aber auf dem Internen Interface die IP Adresse 10.9.75.1 hat.
Dazu müsste der Threadowner bitte mal Seine Angaben etwas präzisieren.

brammer
Bitte warten ..
Mitglied: darkcube
29.04.2011 um 21:00 Uhr
hi ihr beiden

FRW1:
Watchguard irgendwas
Standort: Holland
Internes Netz: 10.1.0.0/16
IP intern: unbekannt
IP extern: Fixe Public IP

FRW2:
Wachguard irgendwas
Standort: Schweiz
Internes Netz: 10.9.0.0/16
IP intern: 10.9.75.1
IP extern: Fixe Public IP (PPPoE Einwahl über einen VDSL Brigde)

FRW3:
Fortigate irgendwas
Standort: Schweiz
Internes Netz: 10.9.0.0/16
Interne IP: 10.9.1.1
Externe IP: Fixe Public IP auf WAN1

FRW1 ist mit FRW2 übers internet verbunden und bilden den VPN Tunnel. Konfiguriert von Holland
FRW2 soll auf die FRW3 auf dem WAN2 ins interne Netz routen und umgekehrt.
Jedoch haben FRW2 und FRW3 das selbe interne Netz und somit kann ich nix routen.

Also wäre die Lösung?
FRW2 umkonfigurieren sodass:
Internes Netz: 10.1.0.0/16
Interne IP: 10.1.x.1
den VPN Tunnel "intern" im Hollandnetz herzustellen und dann ein routing von der FRW2 auf die FRW3, sprich das netz 10.9.0.0/16 zu machen
umgekehrt ein routing von der FRW3 auf die FRW2 mit 10.1.0.0/16 konfigurieren.

eine direkter VPN tunnel von der Watchguard zur Fortigate ist anscheinend nicht möglich.

jetzt hab ich langsam den überblick verloren :-S
Bitte warten ..
Mitglied: brammer
29.04.2011 um 23:02 Uhr
Hallo,

Also wäre die Lösung?
FRW2 umkonfigurieren sodass:
Internes Netz: 10.1.0.0/16
Interne IP: 10.1.x.1
den VPN Tunnel "intern" im Hollandnetz herzustellen und dann ein routing von der FRW2 auf die FRW3, sprich das netz 10.9.0.0/16 zu machen
umgekehrt ein routing von der FRW3 auf die FRW2 mit 10.1.0.0/16 konfigurieren.


Unsinn!

die Firewall 2 und die Firewall 3 kennen sich ja bereits , da sie im selben Netz sind.
Wenn der Tunnel zwischen Firewall 1 und Firewall 2 besteht muss Firewall 1 nur wissen das Sie das entfernte Netz Hinter Firewall 2 erreicht, also eine Route die so aussehen müsste:
Firewall 1 : route 10.9.x.x (entferntes Netz) erreichst du über die interne IP der Firewall 1 die alles für 10.9.x.x weiter leitet an Firewall 2
Firewall 2 : route 10.1.x.x (entferntes Netz) erreichst du über die interne IP der Firewall 2 die alles für 10.1.x.x weiter leitet an Firewall 1

Zwischen Firewall 2 und 3 brauchst du eigentlich nur einrichten das der gesamte Traffic für das Netz 10.1.x.x über Firewall 2 zu errreichen ist.


Wie ich oben schon schrieb: ein Standard VPN Szenario.

Wenn man das so nicht direkt klappt, kann man zwischen Firewall 2 und 3 eine Transfer Netz einrichten.
Dazu würde ich dann ein 172.16.x.x /29 konfigurieren.
Dann müsste eine Route auf Firewall 3 eingerichtet werden das das Netz 10.1.x.x über die Firewall 2 zu erreichen ist.
Und auf Firewall 2 ein Route das aller Traffic vom Entfernten Netz Richtung Firewall 3 zu schicken ist.

brammer
Bitte warten ..
Mitglied: darkcube
29.04.2011 um 23:22 Uhr
hi,

das ganze klingt ja einleuchtend, jedoch finde ich es eigentlich recht bedenklich das die fremde firewall, im moment, bei mir direkt am switch hängt ohne das ich irgendwas daran steuern kann. aus diesem grund will ich ja auch die firewall hinter "meine" legen.
sind meine überlegungen falsch?

darkcube
Bitte warten ..
Mitglied: aqui
30.04.2011 um 11:01 Uhr
Nein, deine Überlegungen sind grundlegend richtig. Auch muss man für den Lochkartnestanzer einmal eine Lanze brechen, denn er hat recht mit der falschen IP Adressierung (sorry brammer...)
Jedenfalls ist deine o.a. Zeichnung dazu zu oberflächlich und nicht eindeutig und lässt 2 Interpretationen zu, so das man zum Teil auch Kollege brammer Recht geben kann.
Der Grund für den Streitpunkt ist, das du das Koppelnetz von der Fortigate zur Watchguard in CH nicht richtig beschrieben hast von der IP Adressierung.
In der Regel ist es üblich das jedes aktive Segment an einer Firewall auch in einem eigenen separaten IP Netzwerk betrieben wird.
In der Beziehung ist es dann natürlich ein fataler Fehler, das das Koppelnetz die IP 10.9.0.0 /16 hat und das lokale Netzwerk in CH ebenfalls.
Das geht definitiv nicht !! Logisch ...doppelte IP Netze !
Sind die Ports aber als simple Layer 2 Switchports an der Fortigate definiert (wie es Kollege brammer vermutlich interpretiert hat) dann liegen alle gemeinsam im lokalen 10.9.0.0er Produktiv Netz.
Du liegst richtig das diese Konstrukt nicht eben sehr gerade "sicher" ist, zumal du ein Fremdgerät, auf das du keinen Zugriff hast, direkt in deinem Produktivnetz hast. Bei Firmennetzen ein klares Unding was absolut inakzeptabel ist und damit eine Firewall komplett konterkariert.
Keiner macht sowas und in der Beziehung macht es absolut Sinn die Watchguard Kopplung in ein eigenes IP Segment an der Fortigate zu setzen.
Das gibt dir zusätzlich erheblich bessere Möglichkeiten den Traffic, der vom remoten Netz kommt, an der Fortigate zentral zu kontrollieren und zwar unabhängig was die Geheimniskrämer aus NL an ihrer Watchguard auch immer einstellen. Damit macht du dich aus Sicherheitssicht wieder eigenständig und kannst so unabhängig kontrollieren WAS in dein Produktivnetz darf und was eben nicht !
Es ist dann klar das dann das lokale Watchguard Interface NICHT die 10.9.0.0 /16 haben kann, das ist logisch.
Am besten ist, du setzt das um auf die IP Netzadresse wie z.B. 10.90.0.0 /24 denn ein /24 Netz reicht für die Kopplung allemal aus !
Das ist ein minimaler Eingriff in die Watchguard Konfig der in 3 Minuten erledigt ist und damit dein Netzwerk dann problemlos zum Fliegen bringt. Und das zudem noch mit erheblichen Sicherheitsvorteilen für dich und den Verbleib deiner Security Policy in deinen eigenen Händen !
Wenn du alles richtig gemacht hast sieht ein klassisches und sicheres Szenario so aus:

d9f03af56c5b7cface36eff26770ff64 - Klicke auf das Bild, um es zu vergrößern

Nochwas zum Schluss: Es ist völliger Unsinn das man "anscheinend" eine Watchguard nicht mit einer Fortigate koppeln kann ! (Der Schein trügt immer !) Die Watchguard und die Fortigate Webseiten haben diverse Beispiele dazu. Beide Produkte sprechen IPsec mit ESP im VPN Tunnel und über diesen Standard ist eine Kopplung problemlos möglich.
Für dich allerdings ist das o.a. Szenario mit einem extra IP Segment an der Fortigate erheblich sicherer, da du dich damit unabhängig machst von evtl. Sicherheitsfehlern oder Problemen auf der NL Seite. Zudem musst du niemand Fremden so auf deine Fortigate tunneln.
Fazit: Die Security Hoheit bleibt bei dir ! Belass es also besser bei der separaten Lösung.
Bitte warten ..
Mitglied: Lochkartenstanzer
01.05.2011 um 14:03 Uhr
Zitat von darkcube:
sind meine überlegungen falsch?

wie aqui schon dargelegt hat, sind diese im Prinzip richtig.

Die lange Diskussion mit brummer oben entstand, weil die zeichnung mißverständlich war udn ich dise daher anders als brummer interpretiert habe.

Nach Deinen weiteren Informationen interpretiere ich Dein Problem nun folgendermaßen:

Du hast Dein Netz 10.9.0.0/16 (Schweiz) unter mit der Fortigate Deiner Kontrolle und willst, daß die Holländer mit Ihrem VPN, daß sie mit Ihren watchguards machen, nur durch dir Fortigate kontrolliert in "Dein" Netz kommen.

Da sehe ich zwei Möglichkeiten.

1. Die Holländer lassen mit sich reden:

Ein Transfernetz vereinbaren und die watchguard mit der Fortigate über das Transfernetz verbinden. Das dürfte die einfachste und komfortabelste Variante sein.

2. Die watchguard muß so bleiben wie sie ist

Irgendeine kiste mit zwei NICs schnappen, BSD, Linux oder eine passenden FW-Distribution drauf, als switch konfigurieren und mit handgeschnitzten Regeln den Zugriff erlauben.

Alternativ könnte man nachschauen, ob die fortigate auch auf layer 2 arbeiten kann. Dazu kenne ich die frotigate zuwenig, um aussagen darüber treffen zu können.


Nachtrag: Ich habe mal ein Blick auf die PDFs von Fortinet bzgl. FortiOS geworfen und prinzipiell kann die fortigate auch eine "transparent bridge" sein. Das würde Dein Problem lösen.
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...