Moin,
ich habe mal eine Frage zum Thema VPN & Firewall.
Ausgangssituation:
Wir planen für unser Unternehmen, welches eine Zentrale hat und 7 Aussenstellen eine VPN Anbindung. Momentan über Festleitungen & ISDN Routern.
In der Zentrale haben wir einen SDSL Zugang der Telekom mit einen LANCOM Router (Nur für den Internetzugang, bisher wählt sich keiner darüber ein!). Dieser hat die IP 192.168.101.65. Dann haben wir eine Hardware Firewall der Firma Fortinet (Fortigate 60). Diese Firewall funktioniert praktisch auch als Router, denn die IP des WAN1 Ausgangs ist 192.168.101.32, der internal Ausgang hat die IP 192.168.100.79.
Die Firewall wird im NAT Modus betrieben.
Planung:
Wir bekommen die nächsten Wochen anstatt eines SDSL Anschlusses einen Company Connect. Dazu haben wir einen LANCOM 1611+ bestellt.
Der LANCOM Router funktioniert als VNP Gateway, also die Aussenstellen (mit T-DSL Business + LANCOM 800+) verbinden sich mit dem Router und sollen dann auf einem Citrix Server im 100'er Netz arbeiten.
Nun stellt sich mir als Laie die Frage, ob dieses Konstrukt aus verschiedenen Subnetzen wie oben beschrieben überhaupt notwendig ist, oder ob man einfach den Router ein IP im 100'er Bereich zuteilen kann.
Dann habe ich gelesen, dass der LANCOM 1611+ eine Firewall integriert hat. Da wir bereits eine Firewall haben stellt sich natürlich die Frage, welche man benutzen soll, oder vielleicht beide?
Die Lösung von beiden hat mein Chef eigentlich favorisiert. Ist es denn möglich (und sinnvoll) die Firewall im NAT Modus laufen zu lassen und so einen weiteren Router zu haben, oder sollte man die Firewall im Transparent Modus (Briged Modus) nutzen?
Über ein paar Antworten würde ich mich sehr freuen.
mfg, brc
Netzwerkkonfiguration mit Hardware Firewall + LANCOM 1611+
Moderator: Lancom-Systems Moderatoren
-
badrulecracker
- Beiträge: 3
- Registriert: 06 Dez 2006, 15:09
Hi badrulecracker
Gruß
Backslash
das hängt davon ab, was das für eine Firewall ist. Ist es "nur" eine Stateful-Inspection Firewall, dann kann man die sich auch sparen. Macht sie hingegen eine "Deep Packet Inspection" (sprich: parst sie z.B. HTTP-Traffic, filtert sie Vieren etc.) dann ist es sinnvoll beide zu verwenden.Dann habe ich gelesen, dass der LANCOM 1611+ eine Firewall integriert hat. Da wir bereits eine Firewall haben stellt sich natürlich die Frage, welche man benutzen soll, oder vielleicht beide?
Da du auf dem 1611+ VPN-Tunnel terminieren willst, ist es unsinnig die Firewall im NAT-Modus zu betreiben, da die VPN-Tunnel dadurch ja nicht auf das interne Netz zugreifen können. D.h. die Firewall muß im Bridge-Modus laufen und das 1611+ muß dann natürlich eine Adresse aus dem 192.168.100.x Netz haben.Ist es denn möglich (und sinnvoll) die Firewall im NAT Modus laufen zu lassen und so einen weiteren Router zu haben, oder sollte man die Firewall im Transparent Modus (Briged Modus) nutzen?
Gruß
Backslash
-
badrulecracker
- Beiträge: 3
- Registriert: 06 Dez 2006, 15:09
Also die Firewall prüft Viren von HTTP, FTP usw., man kann Dateiendungen verbieten, EMail Content Blocken, URLs usw blocken.backslash hat geschrieben:Hi badrulecracker
das hängt davon ab, was das für eine Firewall ist. Ist es "nur" eine Stateful-Inspection Firewall, dann kann man die sich auch sparen. Macht sie hingegen eine "Deep Packet Inspection" (sprich: parst sie z.B. HTTP-Traffic, filtert sie Vieren etc.) dann ist es sinnvoll beide zu verwenden.
Also denke ich, ist es wahrscheinlich sinnvoll die Firewall auch weiterhin im Eninsatz zu behalten.
Kannst du das etwas genauer erklären? Was meinst du mit "terminieren"?backslash hat geschrieben: Da du auf dem 1611+ VPN-Tunnel terminieren willst, ist es unsinnig die Firewall im NAT-Modus zu betreiben, da die VPN-Tunnel dadurch ja nicht auf das interne Netz zugreifen können. D.h. die Firewall muß im Bridge-Modus laufen und das 1611+ muß dann natürlich eine Adresse aus dem 192.168.100.x Netz haben.
Also so wie ich das jetzt verstanden habe, wäre es in der momentanen Situation nicht möglich einfach die beiden NALCOM Router zu tauschen und die Firewall weiter zu benutzen, weil die Clients, die sich auf dem Router einwählen eine 101'er IP bekommen, richtig?
Kann mir dann jemand erklären, warum das so mit 2 Subnetzen gemacht wurde? Das war vor meiner Zeit...
Ich muss das schließlich meinem Chef erklären, aber wenn ich das nicht 100%ig verstehe dürfte das schwierig werden
mfg, brc
Hi badrulecracker
Gruß
Backslash
genau...Also denke ich, ist es wahrscheinlich sinnvoll die Firewall auch weiterhin im Eninsatz zu behalten
du schreibst doch, daß das 1611+ als VPN-Gateway dienen soll, d.h. die Tunnel enden beim 1611+, also terminiert das 1611+ die Tunnel...Kannst du das etwas genauer erklären? Was meinst du mit "terminieren"?
jain - welche IPs die Clients bekommen ist nebensächlich. Das Problem ist, daß du vom 1611+ aus keine 100er IP erreichen kannst, wenn die Firewall ein NAT macht (du siehst halt nur die IP aus dem 101er Netz hinter der die Firewall das 100er Netz versteckt)...Also so wie ich das jetzt verstanden habe, wäre es in der momentanen Situation nicht möglich einfach die beiden NALCOM Router zu tauschen und die Firewall weiter zu benutzen, weil die Clients, die sich auf dem Router einwählen eine 101'er IP bekommen, richtig?
vermutlich, weil eine routende Firewall einfacher zu konfigurieren war, als eine bridgende...Kann mir dann jemand erklären, warum das so mit 2 Subnetzen gemacht wurde? Das war vor meiner Zeit...
Gruß
Backslash