Hallo und ersteinmal herzliche Grüße an alle hier im Forum.
Wir sind seit kurzem stolze Besitzer einer UTM RC300 welche den momentan bestehenden Router und die nachgeschalteten Firewall ablöst.
Ich hätte an euch zwei kurze Frage bezüglich der Konfiguration (Handbuch und HowTo habe ich schon ausführlich gelesen)
Momentander Stand des Netzwerkes:
Internes Netz: 192.168.160.0/24 in dem dummerweise Server und ClientPC´s sind.
1 x VDSL hinter LanCom Router
1 x Standleitung mit 4 IP Adressen hinter einem TelekomRouter
2 Domänencontroller welche auch für DHCP DNS zuständig sind
Exchange Server mit vorgeschaltetem Spamfilter und Active Sync/OWA
Sharepoint Server in DMZ (benötigt https und Port 2020 eingehend)
ERP Server (benötigt ebenfalls https und Port 8080 eingehend)
Mein Gedanke wäre folgende Konfiguration:
eth0 VDSL (mit Route Hint)
eth1 Internal Network
eth 2 DMZ für Sharepoint
eth 3 Standleitung (mit Route Hint)
Der Zugriff auf das Internet der Server bzw. Clients soll über die VDSL Leitung gehen, ebenso der Mailverkehr.
Jeweils eine IP Adresse der Standleitung soll für Sharepoint, ERP Server sowie für VPN verwendet werden.
Die Defaultroute würde ich über eth0 setzen und über DestinationNAT den SMTP auf den Spamfilter sowie https (wegen Active Sync) auf den Exchange Server legen.
Eine IP der Standleitung mittels DestinationNAT und den entsprechenden Ports jeweils auf den ERP und Sharepointserver.
Meine 1. Frage ist folgende:
Muss ich hierzu eine 2. Defaultroute (Beide mit Gewichtung 0?) anlegen und mit Roule Routing arbeiten?
Dazu müsste ich ja für jede IP die ich von der Standleitung verwende ein "external interface-2" mit der jeweiligen IP der Standleitung anlegen, sowie ein "Internet-2" mit 0.0.0.0/0.
Gibt es auch die Möglichkeit mit nur einer Defaultroute und ohne Rule Routing zu arbeiten?
Gibt es da Vor- bzw. Nachteile?
Die 2. Frage wäre bezüglich der Nameserver:
Ich möchte ja die beiden internen Server als DNS nehmen.
In den Servereinstellungen der UTM trotzdem die 127.0.0.1 und 8.8.8.8 eintragen und dann DNS Weiterleitung auf die beiden IP Adressen der internen DNS Server?
Oder ist mein Gedankengang verkehrt?
Vielen Dank bereits im Vorraus
Klaus
Beste Vorgehensweise zur Implementierung UTM
Moderator: Securepoint
Hallo Klaus,
zu Ihren Fragen:
1. Für die Portweiterleitung müssten Sie eine default Route haben oder mit sehr viel "schmu" arbeiten. Ich würde jedoch mit der default Route arbeiten. Sie brauchen aber in der Regel keine Rule Routings dafür eintragen. Wenn das Netzwerk durchdacht ist können Sie mit Source Routen und Subnetting arbeiten. Beispiel ist das Ihr Internes Netz die 192.168.175.0/24 hat. Die PCs befinden sich von 192.168.175.2 bis 192.168.175.127 die Server sind dann von 192.168.175.128 bist 192.168.175.254. Jetzt können Sie mit einer source route das 192.168.175.0/25 auf die VDSL binden und die Server über die default Route auf eth3. Am besten wäre es dann noch wenn die Firewall als fester Proxy verwendet wird. Dann können Sie den Proxy auch gleich auf die VDSL Leitung binden.
2. Das wäre so empfehlenswert.
Gruß Björn
zu Ihren Fragen:
1. Für die Portweiterleitung müssten Sie eine default Route haben oder mit sehr viel "schmu" arbeiten. Ich würde jedoch mit der default Route arbeiten. Sie brauchen aber in der Regel keine Rule Routings dafür eintragen. Wenn das Netzwerk durchdacht ist können Sie mit Source Routen und Subnetting arbeiten. Beispiel ist das Ihr Internes Netz die 192.168.175.0/24 hat. Die PCs befinden sich von 192.168.175.2 bis 192.168.175.127 die Server sind dann von 192.168.175.128 bist 192.168.175.254. Jetzt können Sie mit einer source route das 192.168.175.0/25 auf die VDSL binden und die Server über die default Route auf eth3. Am besten wäre es dann noch wenn die Firewall als fester Proxy verwendet wird. Dann können Sie den Proxy auch gleich auf die VDSL Leitung binden.
2. Das wäre so empfehlenswert.
Gruß Björn
Hallo Björn. Herzlichen Dank für deine Antwort. Ich habe das ganze so ähnlich umgesetzt. Ich muss hier auch mal ein großes Lob aussprechen. Die UTM ist wirklich ein Klasse Teil wenn man sie verstanden hat. Kann ich von meiner Seite aus nur weiterempfehlen, ebenso wie das Support Forum. Macht weiter so!