nachdem im folgenden Thema schon mehr oder weniger über die R&S Unified Firewalls gesprochen wurde, möchte hier ein neues Thema aufmachen, in folgendem Thema bereits einige Dinge zu den Firewalls geschrieben wurden:
lancom-forum-de-ankuendigungen-f1/lanco ... 7-s15.html
Ich habe mir in der letzten Zeit etwas Gedanken gemacht, ob und wie man so eine R&S Firewall in ein "gewachsenes Netz" einfügen könnte. Allerdings bin ich mir nicht sicher, ob das in der Praxis auch funktioniert, oder ob ich irgendwo einen Denkfehler habe. Daher hier mal mein Ansatz:
Die Ausgangssituation sind zwei LANCOM-Router an zwei xDSL-Anschlüssen, welche mehrere ARF-Netze angelegt haben und diese mehreren VLANs zugeordnet sind. Je nach Netz ist es unterschiedlich, welcher der beiden Router VRRP-Master ist.
Soweit, so gut. Nun die Sache mit der R&S Firewall. Meine Idee ist nun:
- DMZ auf beiden Routern konfigurieren, den Routern jeweils eine private IP als DMZ-Adresse zuweisen. Die DMZ einer neuen VLAN-ID zuordnen
- zwei VRRP-IDs in der DMZ anlegen, einmal Router 1 Master, einmal Router 2 Master
- die R&S-Firewall an einen Switch-Port anschließen, auf welchem das DMZ-VLAN anliegt (ungetagged) und eine private IP der DMZ zuweisen
- auf der R&S-Firewall zwei WAN-Verbindungen anlegen, einmal VRRP-Master Router 1, einmal VRRP-Master-Router 2
- auf der R&S Firewall die Netze anlegen, welche auch als ARF auf den LANCOM-Routern vorhanden sind und die korrekte WAN-Verbindung als Gegenstelle zuordnen
- auf beiden LANCOM-Routern für alle bisherigen Netze "DENY_ALL" in der Firewall anlegen
- den Clients in den Netzen dir R&S-Firewall anstatt dem LANCOM-Router als Gateway zuweisen
- auf der R&S-Firewall den Zugriff entsprechend der bisherigen Tags im ARF erlauben oder verbieten
Aber bevor ich jetzt gesteinigt werde:
- Habe ich etwas übersehen/vergessen? Habe ich irgendwo einen Denkfehler?
- Gibt es irgendwo Unstimmigkeiten/Unwegbarkeiten?
- Oder ist das Setting so ungeeignet und gibt es bessere Alternativ-Vorschläge*?
Vielen Dank und viele Grüße
fildercom.
* Die Alternative wäre, die LANCOM-Router in den Bridge-Mode zu versetzen und nur noch als Modem vor der R&S-Firewall zu betreiben. Allerdings würde man damit bestimmte Dinge wie den Voice-Call-Manager oder die LANCAPI auch mit in die Versenkung verbannen, was so nicht zielführend wäre.