tat130899
Goto Top

Hardware Firewall ins Netzwerk

Hallo,

ich möchte gerne eine Securepoint Firewall (Hardware Black Dwarf) ins bestehende Netz richtig einbringen.
Was habe ich:

WAN --> Router Telekom Speedport W921V
LAN --> Windows Server 2012 R2 mit drei NICS
Gigabit Switch --> TP-Link 8-Ports

Verkabelung (CAT6):
Router geht in LAN1-Port der HW-Firewall
LAN2-Port der HW-Firewall geht in Switch
2 NICS gehen in den Switch
1 NIC geht direkt in die HW-Firewal

Netzwerke:
Router Telekom 192.168.2.1/24
W2K12 192.168.2.XXX/24
HW-Firewall Internes Netzwerk 192.168.20.1/24
DMZ 192.168.110.1/24

Auf dem W2K12 sind Ständige Routen eingerichtet auf die Netze.
Auf dem W2K12 (Host) läuft Hyper-V und die VMs laufen im Netz 172.16.5.0/24 (in diesem Netz liegt der DC mit AD)

In welchem Netz sollte der Host-Server sitzen? Dieser liegt derzeit noch im 2er-Netz.
Vielen Dank.

Content-Key: 337839

Url: https://administrator.de/contentid/337839

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: Herbrich19
Herbrich19 15.05.2017 um 04:15:33 Uhr
Goto Top
Hallo,

Erstmal die IP-Netze machen doch ein bissen Probleme wen du irgendwann mal an VPN denkst. Nimm lieber 10.er face-smile

Hostserver = Hyper-V? Er kann eigentlich in allen Netzen sitzen wen du mit VLAN,s alles richtig machst. Der Physiche Server gehört ins Verwaltungsnetz (VLAN1) und die Guests (Virtuellen Systeme) kommen über VLAN in die jewailigen Netze mit ausname des Speedport der sich im Public Internet befindet (WAN Port aus Sicht deiner Firewall).

Gruß an die IT-Welt,
J Herbrich
Mitglied: tat130899
tat130899 15.05.2017 um 08:40:11 Uhr
Goto Top
Hallo,

danke für Deine Antwort.

Für mich stellt sich die Frage, ob man den Server in das DMZ Netz nimmt (110er) und wie ich dann weiter verfahre in Richtung
ins interne Netz (20er) und dann ins Virtuelle Netz (172.16...) mit den DCs.

Danke.

PS: Die Trennung ins VLANs kommt später.
Mitglied: aqui
aqui 15.05.2017 aktualisiert um 10:43:29 Uhr
Goto Top
Diese Tutorials schildern dir wie man es mit einer richtig konfigurierten Kaskade löst:
Kopplung von 2 Routern am DSL Port
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Für die VLAN Integration hilft ggf. dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Mit dem Speedport hast du leider einen der übelsten und schlechtesten Vertretern die es gibt. Erheblich sinnvoller wäre es die Firewall mit einem reinen xDSL Modem anzubinden und den Speedport zu entsorgen.
Eine Kaskade ist zwar nicht optimal dennoch aber machbar....auch mit dem Speedport.
Mitglied: Herbrich19
Herbrich19 15.05.2017 um 17:20:33 Uhr
Goto Top
Hallo,

Eine Frage: Soll aus den Server aus dem Internet zugegriffen werden. Wen ja dann DMZ face-smile

Wen Active Directory oder nur Internes zeug drauf läuft, dann ins LAN. Ich stelle z.B. für Exchange OWA gerne ein ISA Server in die DMZ der dann als Reverse Proxy arbeitet für die Internen Server. Intern läuft dann auch der Exchange Server face-smile

Generell ist die DMZ für Server gedacht die über's Internet oder ein anderes unsicheres Netz erreichbar sein sollen. Der Sinn und zweck der DMZ ist es ja das kein Zugriff aufs Interne Netz möglich sein soll. Aber von Internen Netz soll man natürlich in die DMZ kommen face-smile

Gruß an die IT-Welt,
J Herbrich