eth2 für Testnetzwerk parallel zu eth1 verwenden

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

eth2 für Testnetzwerk parallel zu eth1 verwenden

Beitrag von isential gmbh »

Hallo!

Ist es möglich, die Schnittstelle eth2, die normalerweise für DMZ verwendet wird, als zweite vollwertige Schnittstelle für ein zweites Netzwerk parallel zu eth1 zu verwenden?

Ich möchte damit ein Testnetzwerk mit Internetzugriff einrichten, welches komplett vom "normalen" Netzwerk abgekoppelt arbeitet. Firewall, Proxy o. ä. brauche ich für dieses Netzwerk nicht – nur Internetzugriff für Updates während der Installation der einzelnen PCs. Das IP-Netz ist ein anderes.

VLAN kommt bei mir nicht infrage, da ich lediglich über dumme Switches verfüge.

Einzelne portbasierende Dienste kann ich an das hinter der Schnittstelle eth2 angeschlossene Netzwerk schicken (z. B. ein eigener OpenVPN-Server). Wie mache ich das aber mit http und https, wenn diese bisher über den Proxy (eth1) gehen?

Vielleicht sehe ich heute den Wald vor lauter Bäumen nicht. Daher frage ich die Experten.

Im Voraus herzlichen Dank für die Tipps!

René

kennethj
Beiträge: 316
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo,

kurz für mich zusammen gefasst: 
Sie wollen zwei verschiedene Logische IP Netzwerke, die auf zwei verschiedenen Netzwerkkarten auf der UTM liegen, mit der gleichen Infrastruktur ohne VLAN betreiben? 
In kurz: Zwei Logische Netze und ein Physikalisches Netz (ohne VLAN)

korrekt?

Gruß

Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Danke! Nicht ganz: Ich möchte zwei voneinander getrennte physikalische Netzwerke betreiben – das erste über eth1 (unser internes Netzwerk) und das zweite über eth2, welches auch Zugriff zum Internet haben sollte

kennethj
Beiträge: 316
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

OK - Funktioniert, aber auch nur wenn die netze auch physikalisch von einander getrennt sind (eigene Switche für jedes der Netzwerke)

Sobald die beiden logischen Netze im gleichen physikalischen Netz sind, sind diese nicht mehr von einander getrennt und es können außerdem unerwünschte Probleme auftreten.

Gruß

Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Nochmals vielen Dank!

Wie ich bereits im Eingangsposting schrieb, kann ich einzelne portbasierende Dienste an das hinter der Schnittstelle eth2 angeschlossene Netzwerk schicken. Ich habe z. B. einen PC in diesem Netzwerk, der u. a. OpenVPN und andere Dienste hostet. Mit einer Regel ist das keine Problem von draußen den OpenVPN-Dienst zu erreichen. Hier grob die Konfig:

eth2:192.168.30.254
Route: GW=eth2, Ziel=192.168.30.0/24
Zonen: internal-eth2/firewall-internal-eth2, internal-eth2-v6/firewall-internal-eth2-v6 (nachstehend die neuen Zonen):

Code: Alles auswählen

internal-eth2, eth2
firewall-internal-eth2, eth2, INTERFACE
internal-eth2-v6, eth2
firewall-internal-eth2-v6, eth2, INTERFACE
external-eth2, eth2
firewall-external-eth2, eth2, INTERFACE
Nun die Kofig für OpenVPN:

Dienst
Name: open-vpn-udp-eth2
Protokoll: udp
Typ: Einzelner Port
Zielport: 11194
Quellbereich anpassen: aus

OpenVPN-Objekt
Name: OpenVPN-Server-eth2
Zone: internal-eth2
Adresse: 192.168.30.210/32

Portfilter
Quelle: internet
Ziel: OpenVPN-Server-eth2
Dienst: open-vpn-udp-eth2
NAT - Typ: DESTNAT
NAT - Netzwerkobjekt: external-interface
NAT - Dienst: OpenVPN-Server-eth2

Das funktioniert und ich kann z. B. über Remote-Desktop diesen PC erreichen. Von diesem aus erreiche ich auch die anderen PCS im Netz 192.168.30.0/24.

Was aber von diesem Netz aus nicht geht, ist der Zugriff ins Internet über http und https. Und genau das ist mein Problem: Wie stelle ich es an, damit es funktioniert?

Ich hoffe, ich konnte das Problem etwas klarer schildern.

Lieben Dank!

René

Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

OK, ich hab es. Habe einfach zwei Kleinigkeiten übersehen:
  1. So wie es aussieht, muss ich in meinem Fall auch das parallele Netzwerk durch den Proxy jagen. Ich verwende nämlich NICHT den transparenten Modus, sondern ich ich zwinge den Verkehr über den Port 8080. Dazu zapfe ich das AD des DC (Authentifizierungsmethode NTLM) an und regle den Zugriff über Gruppen. Ich dachte/hoffte, ich könnte durch Portfilter für das parallele Netzwerk den Proxy umgehen, ist es aber mir nicht gelungen – die UTM-FW will auch den über eth2 rausgehenden Verkehr durch den Proxy jagen.

    Kann man das verhindern?
  2. Mein zweites Versehen: Ich konnte keine Pings, Traces o. ä. machen, genauso wenig wie direkte Remote-Desktop-Verbindungen über OpenVPN auf die hinter dem OpenVPN-Rechner liegenden Rechner. Das zusammen mit Punkt 1 hat mich verwirrt. Der OpenVPN-Rechner ist eine virtuelle HYPER-V-Maschine und hier hatte ich vergessen, den Promiscuous-Modus der virtuellen Netzwerkkarte einzuschalten.
Nun scheint jetzt alle zu funktionieren. Wenn es eine Möglichkeit gäbe, den Proxy für eth2 zu umgehen, wäre es für mich toll.

Nochmals vielen Dank!

René

Antworten