Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Umstellung des Routings von zwei 3Com Switchen auf zwei Watchguard Firewalls

Frage Netzwerke Router & Routing

Mitglied: gerrit

gerrit (Level 1) - Jetzt verbinden

02.12.2012 um 20:10 Uhr, 1766 Aufrufe, 2 Kommentare

Hallo,

wir haben zur Zeit zwei Layer 3 Routingfähige Switche von 3Com, die jeweils 4 Subnetze in VLANs innehaben. Jeweils eines für die VOIP Anlage und jeweils eines für den normalen Netzwerkverkehr. Die Switche erreichen sich im Moment über eine einfaches Netzwerkkabel, welches auf einem dafür konfigurierten Port steckt.

Nun soll dieser Datenverkehr über die beiden Watchguard Firewalls abgewickelt werden. An jeden Switch eines Standortes wird jeweils eine Firewall angeschlossen, und der Verkehr über einen VPN Tunnel geleitet.

Nun kann ich an den Clients des jeweiligen Netzwerkes als Gateway manuell die jeweilige Firewall eintragen, das funktioniert. Da die Switche aber das jeweilige IP Subnetz kennen werden sie nicht die 0.0.0.0 route für diese Netze nutzen, korrekt?

Ich müsste also an einem Standort die jeweils anderen IP Bereiche löschen und dafür Routen auf diesen Switchen zur Firewall zeigen lassen.

Beispiel (IST):
Mainswitch LAN1:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.251
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.251
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.251
VOIP VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.251
VOIP VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.251

Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.253

Mainswitch LAN2:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.252
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.252
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.252
VOIP VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.252
VOIP VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.252

Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.254

Verbunden jeweils über Port 24: Trunk: Untagged 1, Tagged 10,11,20,21


Beispiel (SOLL):
Mainswitch LAN1:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.251
NETZ VLAN 10 192.168.10.0/24 - eigene IP: 192.168.10.251
NETZ VLAN 11 192.168.11.0/24 - eigene IP: 192.168.11.251

Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.253
Route FW: 192.168.20.0/24 mask 255.255.255.0 gw 192.168.1.253
Route FW: 192.168.21.0/24 mask 255.255.255.0 gw 192.168.1.253

Mainswitch LAN2:
MGMT VLAN 1 192.168.1.0/24 - eigene IP: 192.168.1.252
NETZ VLAN 20 192.168.20.0/24 - eigene IP: 192.168.20.252
NETZ VLAN 21 192.168.21.0/24 - eigene IP: 192.168.21.252

Defroute FW: 0.0.0.0 mask 0.0.0.0 gw 192.168.1.254
Route FW: 192.168.10.0/24 mask 255.255.255.0 gw 192.168.1.254
Route FW: 192.168.11.0/24 mask 255.255.255.0 gw 192.168.1.254

Vebunden jeweils nur an die eigene Firewall, diese koppelt dann alle angegebenen Netze per VPN.

Ist das so machbar oder habe ich da irgendwo einen Denkfehler?

Ich bin auch der Meinung die zusätzlichen Routingeinträge kann ich mir schenken, da ein unbekanntes Netz ja immer auf 0.0.0.0 geroutet wird, und dies ja auch jeweils die Firewall ist.

Danke & Gruß,
Gerrit
Mitglied: aqui
02.12.2012, aktualisiert um 21:25 Uhr
Eigentlich ist das eine klassische Aufgabe und einfach zu lösen.
Die IP Netze in den beiden Standorten müssen de facto unterschiedlich sein, das ist Voraussetzung das das Routing sauber funktioniert...soviel vorweg.
Wenn du also auch das remote Netz managen willst musst du zwingend das 1er Netz ändern. Solltest du in einem gekoppelten Netz auch immer machen um doppelt IP Adressierung sicher zu vermeiden. Da ist ein gravierender Knackpunkt !
Die L3 Switches bzw. deren IP Adressen in den jeweiligen VLANss sind für alle an sie angeschlossenen Endgeräte die default Gateway IP Adresse. So ist ein konsistentes Routing sichergestellt zw. den VLANs im jeweiligen Standort.
Jeder dieser L3 Switche hat dann eine Default Route auf die IP Adresse der Watchguard.
Normalerweise gibt man der Watchguard ein eigenes VLAN am Switch (WAN/Internet VLAN) um sie nicht in eins der Produktiv VLANs zu hängen. Damit trennt man dann den Standort übergreifenden Verkehr und den VPN Verkehr sauber von den VLANs.
Analog machst du das ganze am anderen Standort.
Die Watchguards haben dann wiederum eine Default Route auf den Internet Provider bzw. Router.
Zusätzlich haben die Watchguards statische Routen zu den lokalen VLAN IPs in den jeweiligen Standort.
Die remoten IP Netze routetst du dann auf den Watchguards statisch in den VPN Tunnel.
Das ist eigentlich alles. Insofern stimmt dein Konzept mit dem kleinen Kinken der doppelten Management IP.
Wenn der 3Com und die Watchguard dynamische Routing Protokolle wie RIPv2 oder OSPF supporten kannst du auch dynamisch routen, das erspart dir dann die statischen Routen und du kannst die default Route dann jeweils immer von der Firewall automatisch distribuieren.
Bitte warten ..
Mitglied: gerrit
03.12.2012 um 07:06 Uhr
Moin Aqui,

danke für deine ausführliche Antwort, ich werde es so umsetzen, das Management-VLAN ist ein überbleibsel aus einer gewachsenen Struktur und soll lt. Plan demnächst aufgelöst werden dann habe ich das Problem nicht mehr.

Danke und Gruß
Gerrit
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

LAN, WAN, Wireless
Mehrere Hardware Firewalls (10)

Frage von cerberus90 zum Thema LAN, WAN, Wireless ...

Voice over IP
gelöst Wie war das nochmal mit FritzBox und DECT bei Umstellung auf VoIP (17)

Frage von Realbilly zum Thema Voice over IP ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...