öffentliche Netz bei ISP absichern

Moderator: Securepoint

Gesperrt
Naider
Beiträge: 9
Registriert: Di 13.05.2014, 08:18

öffentliche Netz bei ISP absichern

Beitrag von Naider »

Guten Tag,

folgendes Szenario:

wir haben ein Klasse C Netz x.x.x.x/28 mit insgesamt 13 uns zur verfügung stehende IPs. Hierbei ist x.x.x.14 das Gateway und x.x.x.15 Broacast.
In diesem Netz haben wir einige Server, die jeweils mit einem öffentlichen IP aus dem besagten Subnet ausgestattet sind, und unterschiedliche Web und DB Anwendungen für unsere Anwender breitstellen.

Wir möchten nun eine Firewall, welches wir nun zwischen dem Cisco Switch des Providers und unserem Switch, an den alle Server hängen anschließen können, um darüber einzelne Ports / Portbereiche für die einzelnen IPs im Subnet zu sperren / auf IP basis beschränken bzw. freizugeben.
Weiterhin brauchen wir eine VPN Funktionalität, worüber sich unsere Entwickler ins Netzwerk einwählen können.

Momentan realisieren wir das Ganze über einige ACLs an eine kleine Layer2 Switch, welches zwischen dem Provider Switch und unsere Server angeschlossen ist.VPN ist hierüber natürlich nicht möglich, auch ist die Konfiguration und die generelle Leistungsfähigkeit diese Lösung verbesserungswürdig, sodass wir die ACLs gerne auf einem Firewall legen wollten.


Wir hatten mit exakt diese Anforderung über unserem Händler nach eine passende SecurePoint Appliance angefragt. Herausgekommen ist ein RC150 Appliance, welches in diese Form auf ihre Homepage nicht Dokumentiert ist und wohl eine Sonderkonfiguration darstellt. Das Gerät ist mit eine OS 10.6.4 ausgeliefert. (Gegenstand eine zweite Forumseintrages)

Können sie mir bitte nun ein tipp geben, wie ich die externe und interne Schnittstellen in der uns vorliegende Konstellation zu konfigurieren habe?
Ich hatte zuerst versucht, sowohl eth0 (externe Schnittstelle), sowie eth1 (interne Schnittstelle) eine IP aus unserem Subnet zu geben. Diese Vorgehensweise wird aber wohl nicht unterstützt, da die OS das nicht erlaubt.

Wie Kann man den Appliance als Firewall und VPN Gateway, in eine Konstellation wie angegeben, wo die Maschinen in eine öffentlichen Subnet liegen und alle somit über öffentliche IP Adressen verfügen konfigurieren.

Wir danke ihnen vielmals für ihren wertvollen und geschätzten Support.

Gruß
n yasseri

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Die Firewall ist ein Router. D.h. Sie benötigen auf dem externen und auf dem internen Interface zwei verschiedene Subnetze. Und ab diesem Punkt gibt es ca drölf verschiedene Wege, wie das realisiert werden kann.

1) Ihr Provider routet Ihnen Ihr bestehendes Netz auf eine IP aus einem Transfernetz
Dann kommt die IP des Transfernetzes auf das externe Interface und eine IP aus Ihrem bestehenden Netz auf die interne Schnittstelle der Firewall. Ist für Sie am einfachsten, weil Sie die IPs der Server nicht ändern müssen.

2) Der Provider möchte nicht/kann kein Transfernetz bereitstellen
Dann legen Sie alle öffentlichen IPs aus dem bestehenden Netz auf das externe Interface der Firewall und müssen dann Ihre Server so umkonfigurieren, dass diese private IPs verwenden. Dann machen Sie für jede öffentliche IP eine Portweiterleitung an die jeweilige private IP des Servers.

Variante 1 ist durchaus charmanter.

Naider
Beiträge: 9
Registriert: Di 13.05.2014, 08:18

Beitrag von Naider »

Hallo,

erst einmal vielen Dank für ihre Antwort.

ICh bin eben von unsere ISP darauf aufmerksam gemacht worden, das es auch möglich sein sollte, das Problem durch zu lösen, indem man den Firewall in eine trasnparente Modus betreibt, sodas das Gerät nicht routet bzw. natet.
siehe: http://www.cisco.com/c/en/us/support/do ... ewall.html

Ist diese Konfiguration auch bei einem Securepoint Firewall möglich?

Danke vorab für ihre Hilfe

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Bei der v10 bzw VPN-Edition ist das nicht möglich.

Naider
Beiträge: 9
Registriert: Di 13.05.2014, 08:18

Beitrag von Naider »

Erik hat geschrieben:Bei der v10 bzw VPN-Edition ist das nicht möglich.
Und wenn wir auf V11 upgraden?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Davon gibt es keine VPN-Edition - wie bereits in Ihrem anderen Thread erläutert. Die v11 könnte das ganze per Bridging evtl lösen. Schöner wäre aber definitv, wenn da ein Routing stattfindet.

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

wenn ich mich nur mal kurz hier Einmischen darf Erik,

und zwar bin ich etwas erstaunt über "als v11 gibt es keine VPN Edition". Wir haben seit einigen Tagen eine, ich habe gestern auch schon im Support angerufen was denn da der Unterschied zur UTM sei aber das konnte mir nicht wirklich beantwortet werden, da ich anders als in der v10 alle Dienste trotzdem habe?!?!?! Kannst du bitte aufklären?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Sie haben bei Wortmann eine Terra Black Dwarf VPN-Edition bestellt und ein Gerät mit installierter v11 geliefert bekommen?

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

Nicht bei Wortmann, rufen sie mich doch lieber mal an, meine handynr sollte bei ihnen im System zu finden sein

Naider
Beiträge: 9
Registriert: Di 13.05.2014, 08:18

Beitrag von Naider »

Hallo,


wir haben nun seitens unserer ISP ein Transfernetz zur Verfügung gestellt bekommen.
Ich hätte da von einigen Fragen hinsichtlich der Konfiguration des Routers.

Eth0 externe Schnittstelle mit eine IP aus der Transfernetz
Eth1 interne Schnittstelle mit eine freie IP aus den öffentlichen Subnet x.x.x.x/28

Unsere IPs werden ja von der ISP zu der Transfernetzs umgeroutet. Nach meinem Verständnis muss ich ja Firewallseitig dahingehend nichts konfigurieren.
Welche Regeln muss ich den in dem Firewall festlegen, wenn ich z.B eine der öffentlichen IPs von eth1 komplett zu eth0 öffne (Verkehr innen nach außen komplett freigeben)
Wie muss ein Regeln aussehen, wenn ich für eine der öffentlichen IP Adressen Portbeschränkungen konfiguriere und diese zusätzlich auf bestimmte IPs beschränke.

Danke vorab für ihre Hilfe

Naider
Beiträge: 9
Registriert: Di 13.05.2014, 08:18

Beitrag von Naider »

Niemand der unsere Fragen beantworten kann?

@Erik
Ich habe ihnen gestern eine pm geschickt. Wäre toll, wenn sie die Zeit finden würden darauf bzw. auf die Frage bei meinem letzten Forumeintrag zu antworten.

Vielen lieben Dank

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Aus dem (neuen) Transfernetz kommt eine IP auf das externe Interface der Firewall. Das Default-Gateway auf der Firewall ist die IP des Provider-Routers.
Auf das interne Interface der Firewall kommt im besten Fall die IP, die auf den Servern bereits als Default-GW hinterlegt ist.

Routing-Einträge müssen auf der Firewall (abgesehen von der Default-Route) nicht konfiguriert werden, da alle Netze lokal angeschlossen sind.
Was Sie hingegen benötigen, sind Firewall-Regeln:

Diese würde HTTP zu dem eigenen öffentlichen Netz erlauben
internet -> net-public-/28 -> http -> ACCEPT

Diese würde dem öffentlichen Netz den DNS-Zugriff ins Internet erlauben:
net-public-/28 -> internet -> domain_udp -> ACCEPT

Sie benötigen KEIN NAT, da Sie ausschließlich mit öffentlichen IPs arbeiten.

Gesperrt