Hallo,
ich habe einen Lancom 1811. Der Empfängt per WLAN Daten und leitet Sie an das Internet über DSL Anschlüssse im loadbalancing weiter.
Heute ist auf dem 1811 die Firewall zwischen WLAN und Internet aktiv.
Ich möchte jetzt den 1811 entlasten
Dazu will ein zweites Gerät als Firewall einsetzten.
Der Plan ist der 1811 empfängt Daten schickt Sie per LAN an die externe Firewall. Die Firewall schickt (wenn Regel OK) die Daten wieder an den 1811 der Sie wiederum über die an den 1811 angeschlossenen DSL Verbindungen ins Internet schickt.
Kann mir jemand ein paar Tips geben wie sich so etwas konfigurieren läßt ?
Gruesse
externe Firewall Zwischen 1811WLAN und 1811DSL einschleifen
Moderator: Lancom-Systems Moderatoren
-
longobardi
- Beiträge: 64
- Registriert: 30 Okt 2006, 21:52
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo longobardi,
das ist mittels ARF eigentlich kein Problem. Aber, deine CPU wird wohl dadurch mehr ins Schwitzen kommen, als wenn du gleich die interne Firewall des 1811 nutzt, denn jetzt muss ja jedes Paket doppelt durch das Gerät geleitet werden! Außer du willst eine echte Paket-Firewall einsetzen, was ja der 1811 (derzeit?) nicht kann.
Lege einfach 3 IP-Netze und dein Load-Balancing an und weise den 3 IP-Netzen die jeweiligen Schnittstellen LAN-3 und LAN-4 sowie WLAN zu. Dann die entsprechenden Routen, isolierter Modus und PrivateMode der LAN-Ports - fertig.
Aber, wie bereits gesagt, der 1811 mit seiner 266 MHz-CPU schafft dann effektiv wohl nur noch rd. 12 MBit Nettodatendurchsatz - jedenfalls nach meinen Erfahrungen. Ich lasse mich da auch gern von den Lancom-Entwicklern verbessern.
Stefan
das ist mittels ARF eigentlich kein Problem. Aber, deine CPU wird wohl dadurch mehr ins Schwitzen kommen, als wenn du gleich die interne Firewall des 1811 nutzt, denn jetzt muss ja jedes Paket doppelt durch das Gerät geleitet werden! Außer du willst eine echte Paket-Firewall einsetzen, was ja der 1811 (derzeit?) nicht kann.
Lege einfach 3 IP-Netze und dein Load-Balancing an und weise den 3 IP-Netzen die jeweiligen Schnittstellen LAN-3 und LAN-4 sowie WLAN zu. Dann die entsprechenden Routen, isolierter Modus und PrivateMode der LAN-Ports - fertig.
Aber, wie bereits gesagt, der 1811 mit seiner 266 MHz-CPU schafft dann effektiv wohl nur noch rd. 12 MBit Nettodatendurchsatz - jedenfalls nach meinen Erfahrungen. Ich lasse mich da auch gern von den Lancom-Entwicklern verbessern.
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
longobardi
- Beiträge: 64
- Registriert: 30 Okt 2006, 21:52
Hi longobardi
egal, ob du das nun über drei getrennten Switchports oder mit VLANs löst, das ändert nichts daran, daß die Pakete zweimal durch das LANCOM laufen (vom Intranet zur Firewall und dann wieder von der Firewall ins Internet).
Wenn du das LANCOM wirklich entlasten willst, dann mußt du die Firewall schon vor das 1811 stellen, d.h. die Firewall wird dann im Intranet zum Default-Gateway.
Aber ganz nebenbei: Wenn die Firewall keine Application-Firewall ist (z.B. im integriertem Web-Proxy, Virenscanner etc.), dann ist sie - zumindest zur Entlastung des 1811 - völlig überflüssig, denn ob die Firewall im LANCOM aktiv ist oder nicht macht kaum einen Unterschied, denn die meisten Entscheidungen müssen eh getroffen werden undabhängig vom "Schaltzustand" der Firewall. Letztendlich "sparst" du dir nur die IDS und DOS-Erkenung - alle andere wird auch bei deaktivierter Firewal gemacht, denn das Deaktivieren der Firewall heißt nur: Deaktiviere alle Regeln bis auf "DEFAULT (ACCEPT-ALL)" und klemme IDS/DOS ab
Gruß
Backslash
egal, ob du das nun über drei getrennten Switchports oder mit VLANs löst, das ändert nichts daran, daß die Pakete zweimal durch das LANCOM laufen (vom Intranet zur Firewall und dann wieder von der Firewall ins Internet).
Wenn du das LANCOM wirklich entlasten willst, dann mußt du die Firewall schon vor das 1811 stellen, d.h. die Firewall wird dann im Intranet zum Default-Gateway.
Aber ganz nebenbei: Wenn die Firewall keine Application-Firewall ist (z.B. im integriertem Web-Proxy, Virenscanner etc.), dann ist sie - zumindest zur Entlastung des 1811 - völlig überflüssig, denn ob die Firewall im LANCOM aktiv ist oder nicht macht kaum einen Unterschied, denn die meisten Entscheidungen müssen eh getroffen werden undabhängig vom "Schaltzustand" der Firewall. Letztendlich "sparst" du dir nur die IDS und DOS-Erkenung - alle andere wird auch bei deaktivierter Firewal gemacht, denn das Deaktivieren der Firewall heißt nur: Deaktiviere alle Regeln bis auf "DEFAULT (ACCEPT-ALL)" und klemme IDS/DOS ab
Gruß
Backslash
