Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN-segmentiertes Netzwerk mit Sophos utm free home edition

Frage Netzwerke LAN, WAN, Wireless

Mitglied: duacungcai

duacungcai (Level 1) - Jetzt verbinden

22.02.2015, aktualisiert 01:59 Uhr, 3369 Aufrufe, 5 Kommentare

Hallo Zusammen,

mein Homenetzwerk läuft z.Z. nur auf einem Segment 192.168.178.0/24. Über Fritzbox 6360 werden die PC/ Server angeschlossen.
Auf einem HP-Server läuft VMWARE ESXi 5.5.0. Auf diesem Plattform laufen ein Domainserver Windows 2012 mit DHCP-Option und eine Sophos UMT Free home Edition (nur installiert noch nicht eingerichtet).

Mein Ziel: Ich möchte mein Netzwerk in verschiedenen VLANs segmentieren. Gem. des Beitrag "VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik" habe ich auf dem HP Procurve 2560 so eingerichtet:

VLAN1: Default VLAN ; Port 01 - 04 ; Port 01 tagged , IP: 192.168.178.0/24
VLAN2: PCSpiel ; Port 05 - 08 ; Port 01 tagged , IP: 192.168.179.0/24 /* Spielplatz für meinen Sohn */
VLAN3: HomeOffice ; Port 09 - 12 ; Port 01 tagged , IP: 192.168.180.0/24 /* Home-Office-PC; HomeBanking */
VLAN4: Server ; Port 01 - 04 ; Port 01 tagged , IP: 192.168.178.0/24 /* Segment für Domain-Server */

Da der Sophos UTM auf einem VM läuft, komme ich irgendwie einbischen durcheinander, da der HP Server mit VMWARE EXSi hat nur 2 Netzwerkkarten.
Ich habe einige Fragen:
- wie ich diese Netzwerkanschluss physikalisch anbinden soll?
- macht es Sinn, wenn ich den DHCP-Dienst auf dem Domain Server deaktivieren und über den Sophos für jeden VLANs Segment aktivieren?
- Da ich mit dem Sophos UTM bzw. mit keinem firewall absolut keine Ahnung habe, mache ich Sorgen, dass ich irgendwas faslch gemacht habe.
Gibt es bestimmte Firewall-Regeln , die man unbedingt halten muss?
- Wie kann ich am sanfsten dieses "Projekt" durchziehen, ohne tagelange oder wochenlang das Homenetzwerk lahmlegt (Meine Frau ist mittlerweile leidenschaftliche eine Surferin und sucht jeden Tag die Kochrezepte )

Ich glaube, ich habe genug gefragt. Ich freue mich auf Eure Antworten.

Gruß

Dua

Zur Zeit:
843081dd1c415cb63a0c408cb4b29fc7 - Klicke auf das Bild, um es zu vergrößern

Mein Ziel:
08f5c397d09607d964d449effe8a39bf - Klicke auf das Bild, um es zu vergrößern


Mitglied: affabanana
22.02.2015 um 09:14 Uhr
Salutti Dua

Ich würde dies so lösen

Auf dem ESX erstellst du mit der zweiten Netzwerkkarte, deine Internen Netze
Beim erstellen von Zusätzlichen Netzen pro vSwitch kann ma VLAN ID zuweisen.

Danach erstellst Du auf deinem HP Switch einen Port mit allen Vlan's als Trunk.
Dort steckt du deinen Server an.

Nun kannst du der Sophos VM die Netze zuweisen. Pro VLAN eine vNic (virtuelle Netzwerkkarte).

Hier eine Bild um das einfacher darzustellen:
http://togeo.com/togeo/images/forums/NetworkConfiguration.jpg


Gruass Affabanana
Bitte warten ..
Mitglied: DerSchorsch
22.02.2015 um 10:48 Uhr
Hallo,

ich würde es so machen:
auf dem ESX ein vSwitch mit einer der NICs anlegen. Hier die Fritzbox und ein virtuelles Interface für die Sophos anschliessen. Das ist deine "DMZ".

Dann einen 2. vSwitch mit der anderen NIC und die Verbindung zum Switch (Port 01). Das Tagging dort sollte schon richtig sein, wie du es beschreibst. Im VLAN1 sollte auch das Management-Interface (VMKernel) für den ESX sein.
Für die Verbindung zu den VMs hast du nun mehrere Möglichkeiten. Da du dich mit der UTM kaum auskennst, würde ich das VLAN-Tagging über den vSwitch machen. Dazu legst du innerhalb des vSwitches einfach mehrere Portgruppen an und weißt hier das gewünschte VLAN zu. Also 4 Portgruppen die am besten auch entsprechnd heißen.
In den VMs verbindest du dann die entsprechenden Interfaces auf die gewünschten Portgruppen, also den Server auf VLAN4. Für die UTM musst du 5 Interfaces erzeugen, eins auf die externe Verbindung, die anderen jeweils auf eine Portgruppe.

Aber: die IP-Adressen die du aufgeführt hast, werden so nicht funktionieren. Wenn du die Fritzbox auf Standard lässt, hättest du das gleiche Segment in der DMZ sowie in VLAN1 und VLAN4. Da klappt kein Routing, das musst du ändern.
z.B: DMZ auf 192.168.178.0/24 lassen, dann VLAN1 auf 192.168.181.0/24, VLAN2 auf 192.168.182.9/24, VLAN3 auf 192.168.183.0/24 und VLAN4 auf 192.168.184.0/24

Bei dem Server musst du beachten, dass die Domänenclients, die auf das AD zugreifen sollen, den Server auch als DNS-Nutzen müssen. Den DHCP-Dienst kannst du ruhig über die UTM machen lassen, ändere aber die Optionen so, dass der Server der DNS für diese Clients ist. Wenn der Spielplatz z.B. da nicht drauf soll, kannst du dort den DNS über die UTM nutzen. Es geht wie gesagt nur um die Domänenmitglieder.
Den DHCP-Server auf dem Server selbst brauchst du nicht, da laut deinem Konzept kein Client in diesem Segment ist. Und selbst wenn, könnte das auch die UTM.

Ansonsten das Regelwerk so restriktiv wie möglich. Aber bitte beachten, dass beim ActiveDirectory jede Menge Ports offen sein müssen.
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

Gruß
Bitte warten ..
Mitglied: aqui
22.02.2015, aktualisiert um 14:14 Uhr
Eigentlich beantwortet das hiesige VLAN Tutorial alle Frage zu dem Thema:
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
Das kann man entsprechend auf den vSwitch übertragen.
vSwitch und physischer, externen Switch werden über einen tagged Uplink verbunden wie es bei VLAN Switches ja nun mal so üblich ist.

Die UTM ist 1:1 vergleichbar mit der pfSense_Firewall im Tutorial. Das Routing über einen tagged Link ist damit identisch wenn man mal von der ggf. anderen UTM Sytntax absieht was ja aber kosmetisch ist.
Bitte warten ..
Mitglied: duacungcai
22.02.2015 um 17:40 Uhr
Hallo,

vielen Dank für eure schnelle Antwort. Ich muss sagen, es sind viele Infos für mich und ich muss erstmal versuchen zu verstehen. Also noch mal besten Dank.
Ich habe mittlerweile nach dem Vorschlag von DerSchorsch gefolgt:

- DMZ auf Segment 192.168.178.0/24 zulassen. Hier siedeln der FritzBOx und erstmal alle andere Server wie Domain Server und UTM Sophos.
- VLAN1: Default-VLAN 192.168.181.0/24 ; Port 01 - 04 ; Port 01 tagged ; IP: 192.168.181.1
- VLAN2: PCSPIEL 192.168.182.0/24 ; Port 05 - 08 ; Port 01 tagged ; IP: 192.168.182.1
- VLAN3: HomeOffice 192.168.183.0/24 ; Port 09 - 12 ; Port 01 tagged ; IP: 192.168.183.1
- VLAN4: Server 192.168.184.0/24 ; Port 13 - 16 ; Port 01 tagged ; IP: 192.168.184.1

Nach dem ich umgestellt habe, kommt ich nicht mehr auf UTM. Der PC, wo ich dies versucht habe, liegt in dem DMZ Segment 192.168.178.0 und hat IPAdresse 192.168.178.25
Gateway: 192.168.178.1 (FritzBox)

Die eine Netzwerkkarte auf ESXi ist an dem Port 01 Default_VLAN , die andere ist mit dem FritzBox angeschlossen.

Haben Ihr eine Idee?

Gruß

Dua
Bitte warten ..
Mitglied: duacungcai
22.02.2015 um 22:21 Uhr
Hallo,

das Problem mit dem Zugriff auf UTM hat sich erledigt, in dem ich bei dem VM UTM den Netzwerkadapter reaktivert habe.

Gruß
Bitte warten ..
Ähnliche Inhalte
Firewall
Sophos UTM DMZ und VLAN
gelöst Frage von DaPeddaFirewall2 Kommentare

Servus, ich habe eine Verständnisfrage: eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins ...

Firewall
Pfsense oder Sophos UTM Home
Frage von B4dminFirewall11 Kommentare

Hi zusammen, wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr was die ...

LAN, WAN, Wireless
Frage zu Sophos UTM Home
Frage von FFSephirothLAN, WAN, Wireless23 Kommentare

Hallo zusammen, ich hab hier noch einen Esprimo C5730 E -Star4 mit Intel Core2Duo Quad und 16 GB Ram ...

Router & Routing
Routing VLAN mit Sophos UTM Firewall
gelöst Frage von oceRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage zum Thema VLAN und Routing. Wir werden unser Netz nun Segmentieren in 2 ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.