R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von fildercom »

Hallo zusammen,

nachdem im folgenden Thema schon mehr oder weniger über die R&S Unified Firewalls gesprochen wurde, möchte hier ein neues Thema aufmachen, in folgendem Thema bereits einige Dinge zu den Firewalls geschrieben wurden:
lancom-forum-de-ankuendigungen-f1/lanco ... 7-s15.html

Ich habe mir in der letzten Zeit etwas Gedanken gemacht, ob und wie man so eine R&S Firewall in ein "gewachsenes Netz" einfügen könnte. Allerdings bin ich mir nicht sicher, ob das in der Praxis auch funktioniert, oder ob ich irgendwo einen Denkfehler habe. Daher hier mal mein Ansatz:
Die Ausgangssituation sind zwei LANCOM-Router an zwei xDSL-Anschlüssen, welche mehrere ARF-Netze angelegt haben und diese mehreren VLANs zugeordnet sind. Je nach Netz ist es unterschiedlich, welcher der beiden Router VRRP-Master ist.

Soweit, so gut. Nun die Sache mit der R&S Firewall. Meine Idee ist nun:
  1. DMZ auf beiden Routern konfigurieren, den Routern jeweils eine private IP als DMZ-Adresse zuweisen. Die DMZ einer neuen VLAN-ID zuordnen
  2. zwei VRRP-IDs in der DMZ anlegen, einmal Router 1 Master, einmal Router 2 Master
  3. die R&S-Firewall an einen Switch-Port anschließen, auf welchem das DMZ-VLAN anliegt (ungetagged) und eine private IP der DMZ zuweisen
  4. auf der R&S-Firewall zwei WAN-Verbindungen anlegen, einmal VRRP-Master Router 1, einmal VRRP-Master-Router 2
  5. auf der R&S Firewall die Netze anlegen, welche auch als ARF auf den LANCOM-Routern vorhanden sind und die korrekte WAN-Verbindung als Gegenstelle zuordnen
  6. auf beiden LANCOM-Routern für alle bisherigen Netze "DENY_ALL" in der Firewall anlegen
  7. den Clients in den Netzen dir R&S-Firewall anstatt dem LANCOM-Router als Gateway zuweisen
  8. auf der R&S-Firewall den Zugriff entsprechend der bisherigen Tags im ARF erlauben oder verbieten
Das müsste es dann eigentlich auch schon gewesen sein.

Aber bevor ich jetzt gesteinigt werde:
  • Habe ich etwas übersehen/vergessen? Habe ich irgendwo einen Denkfehler?
  • Gibt es irgendwo Unstimmigkeiten/Unwegbarkeiten?
  • Oder ist das Setting so ungeeignet und gibt es bessere Alternativ-Vorschläge*?
Es wäre super nett, wenn sich die Experten hier im Forum bitte mal zu dem Vorhaben äußern könnten.

Vielen Dank und viele Grüße
fildercom.

* Die Alternative wäre, die LANCOM-Router in den Bridge-Mode zu versetzen und nur noch als Modem vor der R&S-Firewall zu betreiben. Allerdings würde man damit bestimmte Dinge wie den Voice-Call-Manager oder die LANCAPI auch mit in die Versenkung verbannen, was so nicht zielführend wäre.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von fildercom »

Hallo zusammen,

kann hier wirklich niemand von den Experten (z.B. backslash) etwas dazu sagen, ob und wie es so funktionieren würde?

Gruß und danke
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von backslash »

Hi fildercom

zur R&S Firewall kann ich ersmal nichst nichts sagen.

Ansonsten sehe ich mindestens zwei Probleme
1: mit einer R&S Firewall hebelst du dir VRRP als Redundanzprotiokoll aus - denn du hast dann ja wieder einen single point of Failure.
2: mit den zwei WAN-Verbindungen müßte die R&S Firewall ja quasi ein Load-Balancing machen - ich weiss nicht, ob die das kann.

Ich persönlich würde sie auch nicht zum gateway machen, sondern das LANCOM als weiterhin Gateway betreiben und nur Traffic, der wirklich durch die R&S Firewall soll, auch dahin leiten (per Firewall-Regeln, siehe: aktuelle-lancom-router-serie-f41/squid- ... 17272.html). So kannst du z.B. Traffik im VPN auschliessen

Gruß
Backslash
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von Bernie137 »

Hi fildercom,

wir haben lange hin und her überlegt, wie wir das mit unserer Firewall (Watchguard) lösen. Diese könnte selbst auch Load-Balancing usw...
Ich persönlich würde sie auch nicht zum gateway machen, sondern das LANCOM als weiterhin Gateway betreiben und nur Traffic, der wirklich durch die R&S Firewall soll, auch dahin leiten (per Firewall-Regeln, siehe: aktuelle-lancom-router-serie-f41/squid- ... 17272.html). So kannst du z.B. Traffik im VPN auschliessen
Wir haben die Watchguard genauso eingebunden, wie es Backslash beschreibt. Der Lancom Router ist weiterhin das Gateway, terminiert alle Internetverbindungen und macht selbst VPN. Wir haben zwar kein Lancom VRRP im Einsatz, aber der Router ist fix getauscht mit einer Konfig Übernahme, Reservegerät steht im Schrank.

Bewogen hat uns zu dieser Lösungsvariante, wenn denn mal irgendetwas mit der Watchguard Firewall ist. Sei es ein Hardwareausfall, ein Konfigurationsproblem oder was auch immer, denn das Teil ist sehr komplex mit AD-Integration und Termnial-Benutzer. Den Notbetrieb stellen wir dann her, indem die Firewall des Lancoms angepasst wird, also nicht mehr Policy-based-Routing macht, sondern selbst den Traffic ins www leitet. Wer dann als Notbetrieb Zugang erhält, lässt sich ja mit der Lancom Firewall zumindest IP-basierend sehr gut steuern.

Gruß Bernie
Man lernt nie aus.
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von fildercom »

Hallo backslash und Bernie,

zuerst einmal herzlichen Dank für eure Anregungen. Das ist jetzt eine völlig andere Herangehensweise an die Thematik und mir sind einige Dinge nicht so ganz klar. Ich fange mal an:
  1. Wenn es 4 verschiedene ARF-Netze mit jeweils einem separaten VLAN gibt, dann muss ich doch in den beiden LANCOM VRRP-Routern dementsprechend für jedes dieser ARF-Netze die Firewall-Regeln separat anlegen, mit dem dazu passenden IP-Bereich. Sehe ich das richtig?
  2. Dann müsste ich doch auch wieder auf der R&S Firewall jedes dieser 4 Netze separat konfigurieren mitsamt VLAN und für jedes dieser Netze die jeweils gewünschte WAN-Verbindung (IPoE) zu einem der beiden LANCOM VRRP-Router anlegen. Oder sehe ich das falsch? Bisher nutzen 2 Netze Router 1 als VRRP-Master, 2 andere Netze Router 2 als VRRP-Master (also quasi "manuelles" Load-Balancing).
  3. Wenn ich in der Firewall-Regel der beiden LANCOM VRRP-Router alle Dienste auswähle, wird dann der gesamte Traffic durch die R&S Firewall geleitet?
  4. Ich kann dann doch sicher auf dem LANCOM auch einzelne Stationen als Ausnahme anlegen, die NICHT über die R&S Firewall gehen sollen? Z.B. NAS-Server, welche selbst als VPN-Client zu einem Cloud-Anbieter eine Verbindung aufbauen müssen...
  5. Mit dem Szenario könnte ich auf den Clients als Gateway die LANCOM VRRP-Router eingetragen lassen und auch das Routing zwischen den ARF-Netzen würde dann ja weiterhin funktionieren. Oder habe ich da irgendwo einen Denkfehler?
Ich weiß, das sind viele Fragen, aber mit der Einführung dieser neuen Produktlinie der R&S Firewalls im Portfolio könnte dieser Thread auch für andere Leser vielleicht ein paar Antworten geben.

Gruß und danke
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von Bernie137 »

Hallo Fildercom,

zu 3. Ja in unserer Umgebung ist das so, alle Dienste = wäre gesamter Traffic durch die Firewall. Wir schränken es jedoch ein, dass gar nicht alle Hosts an die Firewall umleitetet werden und auch nur die benötigten Zielports. Der restliche Traffic ins www scheitert an der Lancom Firewall wegen DENY_ALL.

zu 4. Ja, Ausnahmen sind möglich. Dazu haben wir in der Lancom-Firewall Regeln, die in der Prio über den Policy-based-Routing Regeln stehen, um sicher zun gehen, dass diese für die Ausnahme greifen.

Wie gesagt, bei uns alles ohne VRRP! Ob das mit VRRP genauso funktioniert, weiß ich nicht. Da kann Dir Backslash sicher eine kompetente Antwort geben.

Gruß Bernie
Man lernt nie aus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von backslash »

H, fildercom,
  1. Wenn es 4 verschiedene ARF-Netze mit jeweils einem separaten VLAN gibt, dann muss ich doch in den beiden LANCOM VRRP-Routern dementsprechend für jedes dieser ARF-Netze die Firewall-Regeln separat anlegen, mit dem dazu passenden IP-Bereich. Sehe ich das richtig?
  2. Dann müsste ich doch auch wieder auf der R&S Firewall jedes dieser 4 Netze separat konfigurieren mitsamt VLAN und für jedes dieser Netze die jeweils gewünschte WAN-Verbindung (IPoE) zu einem der beiden LANCOM VRRP-Router anlegen. Oder sehe ich das falsch? Bisher nutzen 2 Netze Router 1 als VRRP-Master, 2 andere Netze Router 2 als VRRP-Master (also quasi "manuelles" Load-Balancing).
nicht unbedingt. Du kannst die R&S Firewall ja in ein separates Netz stellen, so mußt du in ihr nur ein einzelnes Netz anlegen und im LANCOM reicht eine einzige Regel aus - wenn du alle Netze gleich behandeln willst. In der R&S Firewall müßte dann auch ein entsprechendes policy based Routing für die Quelladressen erstellt werden - aber wie gesagt: zur R&S Firewall selbst kann ich nichts sagen

Du wolltest die R&S Firewall doch eh in die DMZ stellen - die wäre dann das "separate Netz".

Gruß
Backslash
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von fildercom »

Hallo Bernie & backslash,

danke für eure Antworten.

Die einzelnen ARF-Netze müssten aber definitiv unterschiedlich behandelt werden und haben ja auch unterschiedliche WAN-Verbindungen. Ich hoffe, dass man die Firewall dann wirklich so konfigurieren kann, dass 4 Netze angelegt werden (die Firewall braucht dann genau auch wie die LANCOM-Router) pro Netz eine passende IP. Und im jeweiligen Netz muss sie den Traffic an den "richtigen" VRRP-Router senden. Hoffentlich ist das möglich.

Die Idee, die Firewall in die DMZ zu packen, war nur WAN-seitig angedacht, also so dass es doppeltes NAT gewesen wäre. LAN-seitig natürlich in das jeweilige ARF-Netz.

Wie ich sehe, ist die Integration einer UTM in ein bestehendes Netz nicht ganz trivial. Vielleicht wäre da mal ein Workshop für die Integration in LANCOM-Infrastrukturen eine gute Idee!

Gruß
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Boy2006
Beiträge: 37
Registriert: 14 Jan 2008, 16:38

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von Boy2006 »

Hi
Hast du einen R&S Kobel bei dir stehen? Ich über lege ob Ich meine Zyxel Router, Firewall,... Kobel ersetzte damit.
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von fildercom »

Nein, ich habe (noch) keine R&S Firewall am Laufen, da ich noch nicht die Zeit und auch noch nicht das passende Kleingeld beisammen habe. Aber mittelfristig wird es vielleicht schon auf so eine Lösung hinaus laufen.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Boy2006
Beiträge: 37
Registriert: 14 Jan 2008, 16:38

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von Boy2006 »

Für Fachhändler gibt es über den Grosshändler einen Promo wo die Hardware ORDENTLICH günstiger ist.
Wenn du Fachhändler bist frage beim Lancom Vertrieb nach den Promo Code an den gibts.
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: R&S Unified Firewall hinter LANCOM-Router mit VRRP & ARF

Beitrag von fildercom »

Hallo,
nein, bin leider kein Fachhändler und habe somit wohl auch keine Chance die Vergünstigung "durchgereicht" zu bekommen.
Zudem muss ich vorzeitig zwei QNAP NAS ersetzen (beide erst ca. 2 Jahre alt), da der Hersteller einen Serienfehler auf den Backplanes hat, bei dem nach und nach die Platten als ausgeworfen markiert werden. Da dieser Hersteller keinerlei Kulanz zeigt, steht ein Wechsel zu Synology an. Das wird dann aber gleich ordentlich Geld kosten. Deshalb: NIE WIEDER QNAP!!! Und deshalb: momentan keine R&S Firewall, weil man sich nicht alles gleichzeitig leisten kann.

Gruß
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Antworten