Hallo,
um mehr Möglichkeiten in Sachen FW z.B. Blocklisten und IDS zu haben teste ich gerade den 1926VAG so zu konfigurieren, dass er den ganzen internen Traffic von einer OPNsense via Transitnetz bekommt. Da ich dort nicht auch noch NATten will schlägt nun andauernd das IDS des Lancom an und sagt mir das die Pakete über das falsche Interface kommen.
Wie geht man hier am Besten vor, insbesondere in der Übergangsphase wo das LAN auch noch (klar das das aktuell die Zweistufigkeit umgehet) am Lancom bekannt ist?
Hat irgendjemand den Lancom via Transit angebunden und wo oder wie habt Ihr das Management des Lancom geregelt?
Danke für jeden Tipp.
Probleme mit Umstellung auf externe FW via Transit
Moderator: Lancom-Systems Moderatoren
-
Frühstücksdirektor
- Beiträge: 210
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: Probleme mit Umstellung auf externe FW via Transit
Hallo Pauli,
Du musst die Netze, von denen die Pakete beim LANCOM ankommen, in die Routing-Tabelle eintragen. In der Spalte "Router" muss die IP-Adresse der externen Firewall eingetragen werden, falls die Pakete vom LAN kommen (aus der Sicht des LANCOMs).
Viele Grüße,
Frühstücksdirektor
Du musst die Netze, von denen die Pakete beim LANCOM ankommen, in die Routing-Tabelle eintragen. In der Spalte "Router" muss die IP-Adresse der externen Firewall eingetragen werden, falls die Pakete vom LAN kommen (aus der Sicht des LANCOMs).
Viele Grüße,
Frühstücksdirektor
Re: Probleme mit Umstellung auf externe FW via Transit
Wenn Du am Lancom noch zwei Ports frei hast würde ich das in einer Layer3-Loop einschleifen. Die Firewall LAN- und WAN-seitig an den Lancom anschließen und den Traffic so routen, dass er zur Firewall geht. Die WAN-Seite der Firewall dann mit einer eigenen Route ins Internet.
Du kannst dann auch gleich eine Backup-Route definieren, die den Traffic ungefiltert ins Internet routet, wenn die Firewall ausfällt.
Das ist auch ganz praktisch, wenn die Firewall mal wild wird und den guten Traffic blockt. Der Kunde kann dann die Firewall einfach ausschalten und kommt wieder ins Netz.
Du kannst dann auch gleich eine Backup-Route definieren, die den Traffic ungefiltert ins Internet routet, wenn die Firewall ausfällt.
Das ist auch ganz praktisch, wenn die Firewall mal wild wird und den guten Traffic blockt. Der Kunde kann dann die Firewall einfach ausschalten und kommt wieder ins Netz.
Re: Probleme mit Umstellung auf externe FW via Transit
Hallo Zusammen,
vielen Dank für die Rückmeldungen. Bin mir mit dem ganzen Konzept und den Fallstricken noch nicht so ganz sicher und daher für jeden Hinweis dankbar.
Bei folgenden bin ich mir noch nicht so klar, wie es richtig ist:
Das Transfernetz läuft ja über einen Switch Trunk-Port vom Lancom - Switch - OPNsense. Muss dann der Trunk alle VLANs der internen Netze erlauben oder reicht das Transfernetz selbst? Wie muss der Port in der VLAN Tabelle des Lancom definiert sein (Trunk, andere VLANs erlauben und Port-VLAN-ID 0)?
Danke.
vielen Dank für die Rückmeldungen. Bin mir mit dem ganzen Konzept und den Fallstricken noch nicht so ganz sicher und daher für jeden Hinweis dankbar.
Ah, das hatte ich noch nicht. Das Ziel muss ich mit IP@VLAN und ohne Maskierung anlegen oder? Außerdem muss das Netz, was bisher Schnittstelle LAN-1 zugeordnet war, jetzt auf LAN-2 zeigen (dort habe ich das Transfernetz definiert) oder müssen die internen Netze nicht alle auch auf dem Lancom definiert werden?Du musst die Netze, von denen die Pakete beim LANCOM ankommen, in die Routing-Tabelle eintragen. In der Spalte "Router" muss die IP-Adresse der externen Firewall eingetragen werden, falls die Pakete vom LAN kommen (aus der Sicht des LANCOMs).
Interessante Idee, hat sicherlich Vorteile, aber dann kann ich die OPNsense nicht für das Routing und die Absicherung der internen Netze nutzen...Wenn Du am Lancom noch zwei Ports frei hast würde ich das in einer Layer3-Loop einschleifen. Die Firewall LAN- und WAN-seitig an den Lancom anschließen und den Traffic so routen, dass er zur Firewall geht. Die WAN-Seite der Firewall dann mit einer eigenen Route ins Internet ...
Bei folgenden bin ich mir noch nicht so klar, wie es richtig ist:
Das Transfernetz läuft ja über einen Switch Trunk-Port vom Lancom - Switch - OPNsense. Muss dann der Trunk alle VLANs der internen Netze erlauben oder reicht das Transfernetz selbst? Wie muss der Port in der VLAN Tabelle des Lancom definiert sein (Trunk, andere VLANs erlauben und Port-VLAN-ID 0)?
Danke.