Internetverkehr über VLAN separiert durchs LAN an die Firewall führen
Hallo
Ich darf gerade zentrale Vorgaben der Konzernmutter zum Thema Netzwerkharmonisierung umsetzen.
Jetzt wird mir da folgendes zum Thema Internetanbindung empfohlen:
Das Kundeninterface des Routers des Inetproviders soll direkt auf einen LAN Switch geführt werden, separiert durch ein eigenes, nicht geroutetes, VLAN.
Das outside Interface der Firewall hängt wiederum an einem anderen LAN Switch aber im selben VLAN, zwischen den Switches besteht natürlich ein Trunk (Ciscosprech).
Das inside Interface residiert in einem anderen VLAN.
Vorteil der Lösung soll sein, dass ich flexibel mit der Positionierung der Firewall bin, es heißt ich könnte die ja dann überall bei mir ins Netzwerk stellen.
Der Internettraffic ist vom Rest ja durch ein VLAN getrennt. Das sei gängiges Netzwerkdesign.
Wie seht ihr das?
Wird das bei euch auch so gehandhabt?
Ich darf gerade zentrale Vorgaben der Konzernmutter zum Thema Netzwerkharmonisierung umsetzen.
Jetzt wird mir da folgendes zum Thema Internetanbindung empfohlen:
Das Kundeninterface des Routers des Inetproviders soll direkt auf einen LAN Switch geführt werden, separiert durch ein eigenes, nicht geroutetes, VLAN.
Das outside Interface der Firewall hängt wiederum an einem anderen LAN Switch aber im selben VLAN, zwischen den Switches besteht natürlich ein Trunk (Ciscosprech).
Das inside Interface residiert in einem anderen VLAN.
Vorteil der Lösung soll sein, dass ich flexibel mit der Positionierung der Firewall bin, es heißt ich könnte die ja dann überall bei mir ins Netzwerk stellen.
Der Internettraffic ist vom Rest ja durch ein VLAN getrennt. Das sei gängiges Netzwerkdesign.
Wie seht ihr das?
Wird das bei euch auch so gehandhabt?
Please also mark the comments that contributed to the solution of the article
Content-Key: 299772
Url: https://administrator.de/contentid/299772
Printed on: April 26, 2024 at 09:04 o'clock
9 Comments
Latest comment
Erinnert mich an diese Frage hier:
WAN durch LAN mittels VLAN durchschleifen - wie sicher ist es?
Da war das Feedback auch nicht so begeistert.
Grundsätzlich würde ich würde es in die Kategorie "unnötig kompliziert" stecken. Und alles was unnötig kompliziert ist, kann lücken enthalten die übersehen werden. Weil eines Tages steckt man versehentlich ein Ethernet Kabel an den falschen Port/VLAN und schon hat man irgend ne blödsinnige konfiguration wo im vlan "vor der firewall" clients sind oder sonstwas.
Ich bekomme Zahnschmerzen bei WAN Traffic per VLAN zu "trennen" - irgendwie "fühlt" es sich einfach unsicher an - wobei ich nicht mit dem finger zeigen könnte wo das problem wäre
WAN durch LAN mittels VLAN durchschleifen - wie sicher ist es?
Da war das Feedback auch nicht so begeistert.
Grundsätzlich würde ich würde es in die Kategorie "unnötig kompliziert" stecken. Und alles was unnötig kompliziert ist, kann lücken enthalten die übersehen werden. Weil eines Tages steckt man versehentlich ein Ethernet Kabel an den falschen Port/VLAN und schon hat man irgend ne blödsinnige konfiguration wo im vlan "vor der firewall" clients sind oder sonstwas.
Ich bekomme Zahnschmerzen bei WAN Traffic per VLAN zu "trennen" - irgendwie "fühlt" es sich einfach unsicher an - wobei ich nicht mit dem finger zeigen könnte wo das problem wäre
Moin,
wenn es keine wirkliche Notwendigkeit für das VLAN-Konstrukt gibt, würde ich es eher auf klassische Methode machen (WAN-Router direkt an Firewall)
Aber es kann durchaus Konstellationen geben, wo man das über in VLAN löst, z.B. bei virtualisierter Firewall, Entfernung des WAN-Routers zum Serverschrank oder mehreren WAN-Routern auf einen Port der FW legen.
Aber wie schon der Netzwerkdude korrekt schrieb: nicht unnötig verkomplizieren..
Gruß
Bernhard
wenn es keine wirkliche Notwendigkeit für das VLAN-Konstrukt gibt, würde ich es eher auf klassische Methode machen (WAN-Router direkt an Firewall)
Aber es kann durchaus Konstellationen geben, wo man das über in VLAN löst, z.B. bei virtualisierter Firewall, Entfernung des WAN-Routers zum Serverschrank oder mehreren WAN-Routern auf einen Port der FW legen.
Aber wie schon der Netzwerkdude korrekt schrieb: nicht unnötig verkomplizieren..
Gruß
Bernhard
Ist ja ein lächerliches VLAN Konzept und in 5 Minuten umgesetzt. Eigentlich kein Thema für einen Thread in einem Administrator Forum
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
So hat es wohl jeder Netzwerk Admin gelöst...
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
So hat es wohl jeder Netzwerk Admin gelöst...
Nein da hast du Recht. Das Tutorial geht da schon weiter.
Für den TO ist es ja ein Kinderspiel, denn er spannt ein banales L2 VLAN auf und transportiert sein Netz darüber..fertig.
Über solche simplen Dinge wie VLANs auf Switches einrichten muss man in einem Administrator Forum sicher keine Tutorials schreiben
Für den TO ist es ja ein Kinderspiel, denn er spannt ein banales L2 VLAN auf und transportiert sein Netz darüber..fertig.
Über solche simplen Dinge wie VLANs auf Switches einrichten muss man in einem Administrator Forum sicher keine Tutorials schreiben
Generell würde ich das WAN vom internen Netz nur über physikalisch getrennte Interfaces verteilen und nicht via VLAN im hauseigenen Netz mit anschließen. VLAN sind nur vom Switch getrennte Bereiche sind aber keine Sicherheitsbereiche. Für sowas brauchst minimum einen Router um dein interenes Netz halbwegs zu schützen.
Wenn man es via VLAN an die Firewall bringt und nur einen Switch falsch parametriert hängt u.U. sofort ein Server am WAN alleine das wäre mir schon zu kritisch
Gruß
Wenn man es via VLAN an die Firewall bringt und nur einen Switch falsch parametriert hängt u.U. sofort ein Server am WAN alleine das wäre mir schon zu kritisch
Gruß
Eher geht es mir um die Frage wie "sinnvoll" es ist einen LAN Core Switch direkt an den Providerrouter zu hängen
Das ist einen Frage die in erheblichen Maße abhängig ist von bestehenden (oder nicht bestehenden) Sicherheits Policies in einer Firma oder Unternehmen.Ein Punkt den du hier völlig außer Acht lässt bzw. uns nicht mitteilst in so fern kannst du dir sicher selber denken das eine zielführende Antwort eher in Raterei ausartet, da man diese relevanten Fakten alle nicht kennt um objektiv zu sein !
Das es technisch eine Lachnummer ist sowas zu realisieren steht außer Frage. Die Frage nach einem Whitepaper dafür ist also recht sinnfrei, denn ausschlaggebend sind hier Softfacts.
Klar besteht immer die erhebliche Gefahr das einer was falsch steckt und dann nimmt das Unglück seinen Lauf. Von der Abhängigkeit von STP oder RSTP Prozessen im Redundanzfall und anderem mal nicht zu reden, da eher sekundär.
Die Frage ist aber welche Option du noch hast ?? Dediziertes Kabel ziehen oder patchen...wäre ja sinnvoller aber ggf. nicht machbar.
Hier musst du also abwägen nach Nutzen und Gefahr. Sowas kann man als Externer in einem Forum doch gar nicht leisten ohne interne Details...