Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Kleine Verständnisfrage zum Netzwerkdesign
« previous
next »
Print
Pages: [
1
]
Author
Topic: Kleine Verständnisfrage zum Netzwerkdesign (Read 2241 times)
BOSSJoe
Newbie
Posts: 38
Karma: 2
Kleine Verständnisfrage zum Netzwerkdesign
«
on:
December 11, 2019, 12:51:34 pm »
Hallo zusammen,
ich sitze gerade mit meinem Kollegen zusammen und wir überlegen uns für unser Demolab gerade ein neues Netzwerkdesign. Als Firewall soll OPNsense zum Einsatz kommen.
Leider stehen wir beide gerade wie der "Ochs vorm Berg" und kommen nicht weiter.
Folgendes soll aufgebaut werden:
OPNsense als Firewall zw. dem ISP und unserem Lab. In unserem Lab existieren jede Menge /24 Netzwerke aus dem Bereich 172.16.0.0/16. Das Routing zwischen diesen Netzwerken soll ein VRRP Verbund aus zwei L3 Switchen machen. Das funktioniert auch ganz gut. Die OPNsense wäre dann an diese beiden Switche über ein Transfernetz (10.10.2.0/24) angeschlossen.
Daneben soll es ein dediziertes OOB Management Interface für die OPNsense geben. All unsere Geräte haben in irgendeiner Form eine dedizierte Management Schnittstelle mit dem IP Bereich 172.18.0.0/16.
Um auch aus unserer Produktivumgebung auf unser Lab zu kommen existiert auch ein Transfernetzwerk nämlich das 10.10.1.0/24 Netz.
Wir hätten jetzt gedacht wir legen für jedes dieser Netze einen physikalischen Port auf der OPNsense an und erstellen außerdem passende Gateways für die jeweiligen Netze.
Leider happert es hier ein wenig. Wir kämpfen hier mit den Default-Gateway und Metriken und meistens schiessen wir uns selbst ab und müssen um weiter zu kommen ein Backup einspielen.
Vielleicht kann uns einer mal seine Augen leihen und mit drüber schauen. Vielleicht sehen wir den Wald vor lauter Bäumen nicht mehr... :-)
Vielen Dank
Gruß
Joe
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: Kleine Verständnisfrage zum Netzwerkdesign
«
Reply #1 on:
December 11, 2019, 06:21:55 pm »
Hallo Joe,
hört sich interessant an und danke für die Beschreibung.
Da es etwas komplexer ist wäre ein Netzwerkdiagram hilfreich sowie die Konfiguration in dem Status in dem sie Probleme macht.
VG,
Dominik
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
BOSSJoe
Newbie
Posts: 38
Karma: 2
Re: Kleine Verständnisfrage zum Netzwerkdesign
«
Reply #2 on:
December 12, 2019, 09:45:29 am »
Hi banym,
ja das dachte ich mir auch. Ich hatte erst eine ASCII Grafik welche aber total sche... dargestellt wurde. Gerade bastel ich eine Grafik in Visio...
Gruß
Joe
Logged
BOSSJoe
Newbie
Posts: 38
Karma: 2
Re: Kleine Verständnisfrage zum Netzwerkdesign
«
Reply #3 on:
December 12, 2019, 11:18:16 am »
So jetzt hab ich auch ein "kleines"
Netzwerkdiagramm aufgemalt. Ich hoffe es macht den Aufbau ein wenig verständlicher.
Vielleicht kurz zur Erklärung. Die ganzen 172er Netze sind zumeist VMs an ihren jeweiligen virtuellen Switchen. Diese hab ich jetzt mal weggelassen, sonst wäre es zu kompliziert geworden. Routing zwischen diesen ganzen Netzen machen die beiden L3 Switche. Die OPNsense kümmern sich nur um das was von extern kommt, vom Produktivnetz, VPN usw.
Das 172.18.0.0/16 Netz ist ausschliesslich Management. Also OOB Schnittstellen von Switchen, iDRAC, usw. Und nun möchte ich halt einen dedizierten physikalischen Port für das Management an der OPNsense haben.
Ich glaube auch, das wir schon einen Schritt weiter sind. Wir hatten das Problem das wir beim testen immer irgendwie aus dem falschen Netz kamen. Wir haben jetzt einmal eine etwas zusammengestuzte Testumgebung zusammengebaut. Hier scheint alles zu funktionieren.
Uns hat speziell das Verständnis von Gateways (Upstream-Gateway), Priorität und statischen Routen etwas verwirrt.
Wenn wir das jetzt korrekt verstehen, ist nur das ISP Gateway ein Upstream-Gateway (0.0.0.0/0). Alle anderen nicht. Statische Routen müssen auch keine angelegt werden, wir haben ja in jedem Netzwerk ein physischen Beinchen.
Benötigen wir noch eine Priority für die jeweiligen Gateways?
Wen es interessiert:
Diese Umgebung ist tatsächlich eine Lab-Umgebung. Auch wenn hier viel Wert auf Redundanz gelegt wurde soll hier hauptsächlich die Machbarkeit gezeigt werden. Nichtdesto trotz ist gerade dieser Bereich des Netzwerks unser Rückrat im Demolab und sollte funktionieren.
Wir betreiben rund 400 VMs für die verschiedensten Szenarien, inkl. Schulungen, etc. Meine Kollegen und auch externe Partner verbinden sich per VPN ins Lab und demonstrieren Kunden beispielsweise verschiedene Produkte.
Ich sage immer, das alles ist "Semi-Produktiv"
Gruß
Joe
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Kleine Verständnisfrage zum Netzwerkdesign