- Internetzugang via Tag 0
- Diverse interne (V)LANs mit Tag 0
- Site-to-Site-VPNs zu diversen Außenstandorten
- Untermieter #1, via Tag 11
- Untermieter #2, via Tag 12
Allerdings haben wir festgestellt, dass die Untermieter Verbindungen zu unseren anderen Standorten aufbauen können, da die Routing-Regeln zu den anderen Standorten auf Tag 0 konfiguriert sind und somit ja für alle Routing-Tags gelten. Außerdem können auch die anderen Standorte auf die Netze der Untermieter an der Zentrale zugreifen, da sie ja über Routing-Tag 0 reinkommen.
Lange Rede, kurzer Sinn: Man könnte die Firewallregeln weiter aufblähen und müsste bei neuen Standorten auch immer daran denken, diese Regeln zu erweitern. Stattdessen überlegen wir, unsere internen Netze alle auf das Tag 1 zu verlegen, damit sie ohne Firewallregel-Aufwand sehr einfach von den Untermieter-Netzen abgeschirmt werden.
Wäre das Vorgehen so denkbar, sodass es dann außer dem Internetzugang keine Netze mehr mit Tag 0 gibt?
Die Routing-Regeln zu den anderen Standorten würden auch im Tag 1 konfiguriert werden, so dass die Tag-11/12-Netze nicht mehr den Weg ins VPN finden dürften.
Wie erfolgt aber die VPN-Konfiguration? Können die die Routing-Tags in der VPN-Verbindungsliste auch auf 1 gestellt werden und findet der Router dann via Tag 0 den Weg ins Internet für die VPN-Verbindung? Ich befürchte, wenn wir das Tag auf 0 stehen lassen, dass dann theoretisch doch die Untermieter ins VPN kommen könnten?
Freue mich über einen kurzen Denkanstoß
Jens