Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN-segmentiertes Netzwerk mit Sophos utm free home edition

Frage Netzwerke LAN, WAN, Wireless

Mitglied: duacungcai

duacungcai (Level 1) - Jetzt verbinden

22.02.2015, aktualisiert 01:59 Uhr, 3016 Aufrufe, 5 Kommentare

Hallo Zusammen,

mein Homenetzwerk läuft z.Z. nur auf einem Segment 192.168.178.0/24. Über Fritzbox 6360 werden die PC/ Server angeschlossen.
Auf einem HP-Server läuft VMWARE ESXi 5.5.0. Auf diesem Plattform laufen ein Domainserver Windows 2012 mit DHCP-Option und eine Sophos UMT Free home Edition (nur installiert noch nicht eingerichtet).

Mein Ziel: Ich möchte mein Netzwerk in verschiedenen VLANs segmentieren. Gem. des Beitrag "VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik" habe ich auf dem HP Procurve 2560 so eingerichtet:

VLAN1: Default VLAN ; Port 01 - 04 ; Port 01 tagged , IP: 192.168.178.0/24
VLAN2: PCSpiel ; Port 05 - 08 ; Port 01 tagged , IP: 192.168.179.0/24 /* Spielplatz für meinen Sohn */
VLAN3: HomeOffice ; Port 09 - 12 ; Port 01 tagged , IP: 192.168.180.0/24 /* Home-Office-PC; HomeBanking */
VLAN4: Server ; Port 01 - 04 ; Port 01 tagged , IP: 192.168.178.0/24 /* Segment für Domain-Server */

Da der Sophos UTM auf einem VM läuft, komme ich irgendwie einbischen durcheinander, da der HP Server mit VMWARE EXSi hat nur 2 Netzwerkkarten.
Ich habe einige Fragen:
- wie ich diese Netzwerkanschluss physikalisch anbinden soll?
- macht es Sinn, wenn ich den DHCP-Dienst auf dem Domain Server deaktivieren und über den Sophos für jeden VLANs Segment aktivieren?
- Da ich mit dem Sophos UTM bzw. mit keinem firewall absolut keine Ahnung habe, mache ich Sorgen, dass ich irgendwas faslch gemacht habe.
Gibt es bestimmte Firewall-Regeln , die man unbedingt halten muss?
- Wie kann ich am sanfsten dieses "Projekt" durchziehen, ohne tagelange oder wochenlang das Homenetzwerk lahmlegt (Meine Frau ist mittlerweile leidenschaftliche eine Surferin und sucht jeden Tag die Kochrezepte )

Ich glaube, ich habe genug gefragt. Ich freue mich auf Eure Antworten.

Gruß

Dua

Zur Zeit:
843081dd1c415cb63a0c408cb4b29fc7 - Klicke auf das Bild, um es zu vergrößern

Mein Ziel:
08f5c397d09607d964d449effe8a39bf - Klicke auf das Bild, um es zu vergrößern


Mitglied: affabanana
22.02.2015 um 09:14 Uhr
Salutti Dua

Ich würde dies so lösen

Auf dem ESX erstellst du mit der zweiten Netzwerkkarte, deine Internen Netze
Beim erstellen von Zusätzlichen Netzen pro vSwitch kann ma VLAN ID zuweisen.

Danach erstellst Du auf deinem HP Switch einen Port mit allen Vlan's als Trunk.
Dort steckt du deinen Server an.

Nun kannst du der Sophos VM die Netze zuweisen. Pro VLAN eine vNic (virtuelle Netzwerkkarte).

Hier eine Bild um das einfacher darzustellen:
http://togeo.com/togeo/images/forums/NetworkConfiguration.jpg


Gruass Affabanana
Bitte warten ..
Mitglied: DerSchorsch
22.02.2015 um 10:48 Uhr
Hallo,

ich würde es so machen:
auf dem ESX ein vSwitch mit einer der NICs anlegen. Hier die Fritzbox und ein virtuelles Interface für die Sophos anschliessen. Das ist deine "DMZ".

Dann einen 2. vSwitch mit der anderen NIC und die Verbindung zum Switch (Port 01). Das Tagging dort sollte schon richtig sein, wie du es beschreibst. Im VLAN1 sollte auch das Management-Interface (VMKernel) für den ESX sein.
Für die Verbindung zu den VMs hast du nun mehrere Möglichkeiten. Da du dich mit der UTM kaum auskennst, würde ich das VLAN-Tagging über den vSwitch machen. Dazu legst du innerhalb des vSwitches einfach mehrere Portgruppen an und weißt hier das gewünschte VLAN zu. Also 4 Portgruppen die am besten auch entsprechnd heißen.
In den VMs verbindest du dann die entsprechenden Interfaces auf die gewünschten Portgruppen, also den Server auf VLAN4. Für die UTM musst du 5 Interfaces erzeugen, eins auf die externe Verbindung, die anderen jeweils auf eine Portgruppe.

Aber: die IP-Adressen die du aufgeführt hast, werden so nicht funktionieren. Wenn du die Fritzbox auf Standard lässt, hättest du das gleiche Segment in der DMZ sowie in VLAN1 und VLAN4. Da klappt kein Routing, das musst du ändern.
z.B: DMZ auf 192.168.178.0/24 lassen, dann VLAN1 auf 192.168.181.0/24, VLAN2 auf 192.168.182.9/24, VLAN3 auf 192.168.183.0/24 und VLAN4 auf 192.168.184.0/24

Bei dem Server musst du beachten, dass die Domänenclients, die auf das AD zugreifen sollen, den Server auch als DNS-Nutzen müssen. Den DHCP-Dienst kannst du ruhig über die UTM machen lassen, ändere aber die Optionen so, dass der Server der DNS für diese Clients ist. Wenn der Spielplatz z.B. da nicht drauf soll, kannst du dort den DNS über die UTM nutzen. Es geht wie gesagt nur um die Domänenmitglieder.
Den DHCP-Server auf dem Server selbst brauchst du nicht, da laut deinem Konzept kein Client in diesem Segment ist. Und selbst wenn, könnte das auch die UTM.

Ansonsten das Regelwerk so restriktiv wie möglich. Aber bitte beachten, dass beim ActiveDirectory jede Menge Ports offen sein müssen.
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

Gruß
Bitte warten ..
Mitglied: aqui
22.02.2015, aktualisiert um 14:14 Uhr
Eigentlich beantwortet das hiesige VLAN Tutorial alle Frage zu dem Thema:
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
Das kann man entsprechend auf den vSwitch übertragen.
vSwitch und physischer, externen Switch werden über einen tagged Uplink verbunden wie es bei VLAN Switches ja nun mal so üblich ist.

Die UTM ist 1:1 vergleichbar mit der pfSense_Firewall im Tutorial. Das Routing über einen tagged Link ist damit identisch wenn man mal von der ggf. anderen UTM Sytntax absieht was ja aber kosmetisch ist.
Bitte warten ..
Mitglied: duacungcai
22.02.2015 um 17:40 Uhr
Hallo,

vielen Dank für eure schnelle Antwort. Ich muss sagen, es sind viele Infos für mich und ich muss erstmal versuchen zu verstehen. Also noch mal besten Dank.
Ich habe mittlerweile nach dem Vorschlag von DerSchorsch gefolgt:

- DMZ auf Segment 192.168.178.0/24 zulassen. Hier siedeln der FritzBOx und erstmal alle andere Server wie Domain Server und UTM Sophos.
- VLAN1: Default-VLAN 192.168.181.0/24 ; Port 01 - 04 ; Port 01 tagged ; IP: 192.168.181.1
- VLAN2: PCSPIEL 192.168.182.0/24 ; Port 05 - 08 ; Port 01 tagged ; IP: 192.168.182.1
- VLAN3: HomeOffice 192.168.183.0/24 ; Port 09 - 12 ; Port 01 tagged ; IP: 192.168.183.1
- VLAN4: Server 192.168.184.0/24 ; Port 13 - 16 ; Port 01 tagged ; IP: 192.168.184.1

Nach dem ich umgestellt habe, kommt ich nicht mehr auf UTM. Der PC, wo ich dies versucht habe, liegt in dem DMZ Segment 192.168.178.0 und hat IPAdresse 192.168.178.25
Gateway: 192.168.178.1 (FritzBox)

Die eine Netzwerkkarte auf ESXi ist an dem Port 01 Default_VLAN , die andere ist mit dem FritzBox angeschlossen.

Haben Ihr eine Idee?

Gruß

Dua
Bitte warten ..
Mitglied: duacungcai
22.02.2015 um 22:21 Uhr
Hallo,

das Problem mit dem Zugriff auf UTM hat sich erledigt, in dem ich bei dem VM UTM den Netzwerkadapter reaktivert habe.

Gruß
Bitte warten ..
Ähnliche Inhalte
Firewall
gelöst Sophos UTM 9 Home Zugriff Webinterface (13)

Frage von MichiGrossmann zum Thema Firewall ...

LAN, WAN, Wireless
gelöst Telekom CompanyConnect mit 27er-Netzwerk an Sophos UTM (22)

Frage von denny86 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Frage zu Sophos UTM Home (23)

Frage von FFSephiroth zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Sophos UTM DMZ und VLAN (2)

Frage von DaPedda zum Thema Firewall ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (50)

Frage von sabines zum Thema Internet ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
Windows 2016 Hyper-V und VHDS (18)

Frage von emeriks zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...