International Forums > German - Deutsch
Routing zwischen 2 Firewalls?
FWStarter:
Hallo zusammen,
bin der Neue im Forum und kam durch abwegen zu einer OPNsense Installation.
Kurz zur Info... in unserer Firma fand ein Sicherheitsaudit statt. Der Beauftragte sah unsere Sicherheit in Form einer Sophos UTM mit IPSec Tunnel zum Produktionsstandort als kritisch an. Er empfahl meinem IT-Leiter eine 2 stufiges Firewall Konzept.
Heute kam ich aus dem Sommerurlaub zurück und auf dem Tisch lag ein kleiner Server mit 4 Netzwerkkarten und einer OPNsense Installation drauf. OPNsense wurde uns empfohlen da es gut und kostenlos zur Verfügung steht.
An diesem Punkt fällt mein Dilemma an.
Der jetzige Aufbau der Sophos UTM sieht folgendermaßen aus:
Internet <-> Fritzbox <-> Sophos UTM/IPSec <-> LAN
Zukünftig wünscht sich der Sicherheitsbeauftrage zwischen der Sophos und dem LAN die OPNsense FW.
Die Ports der Sophos:
Port 1: Management für Geräte / ILO / Switche etc. (192.168.10.0/24)
Port 2: Internet / IPSec Tunnel
Port 3: Internet Geräte (192.168.20.0/24)
Port 4: CAD Workstations (192.168.30.0/24)
Bei dieser Konstellation war es nur notwendig die Firewall Regeln anzupassen. Nun wird die Sache mit der OPNsense etwas komplexer.
-----------------------------------------
Meine Idee war das Anlegen eines Transfernetzes mit dem Adressbereich 192.168.100.0/24.
Die Sophos erhält auf dem Interface Port 4 die 192.168.100.1 und die OPNsense auf dem Interface Port 4 die 192.168.100.2
Bei der OPNsense kommt am Interface
Port 1: die 192.168.20.0/24 - 192.168.20.1 statische IP auf dem Interface
Port 2: die 192.168.30.0/24 - 192.168.30.1 statische IP auf dem Interface
Als default route die 192.168.100.1 hinterlegen.
Auf der Sophos lege ich eine Route an mit:
Port 4: 192.168.20.0 über die 192.168.100.2
und
Port 4: 192.168.30.0 über die 192.168.100.2
-----------------------------------------
Dummerweise funktioniert das nicht...
Wie macht man das nun richtig... ich sehe meinen Fehler nicht. Habe ich mich total verrannt und den falschen Weg eingeschlagen?
sinux:
Hi, da sind wir schon 2 ;) ich bin hier auch neu, habe im meinem Business Netz auch eine UTM (als VM) laufen
und eine Opnsense um IP Adressen für die Sophos zu sparen ;)
Welchen Vorteil erhofft sich der Sicherheitsfuzzi denn. Hast du da ein paar Fakten?
In der UTM geht doch das wunderbar den Traffic vom IPSec nur an das Netz (DMZ) oder Host zu lassen den man will.
Sorry das ich Dir nicht helfen kann und dir noch Fragen stelle.
LG
Sinux
FWStarter:
Hi,
also der Hintergrund scheint die Art der Daten zu sein. Wir haben einerseits geschäftkritische Daten mit Kundeninformationen als auch Geräte die nur für das Internetverbindung verwendet werden.
Laut BSI ist hier eine P-A-P Struktur zwingend erforderlich.
Bisher lief unsere Umgebung mit einer Firewall hervorragend. Machte nie groß arbeit und lief absolut stabil. Ich frage mich auch was das mehr an Komplexität gegenüber der Sicherheit bringen soll.
Bei uns der Firma sind keine Firewall oder Netzwerk Spezies. Mehr Komplexität = Dienstleiter und Verlust des Wissens wie es tatsächlich funktioniert.
Ich sehe es eher kritisch... mein IT Leiter jetzt auch aber wir müssen es nunmal hinbiegen weil das nächste Audit für Januar 2022 geplant ist :(
sinux:
Danke, die PAP sagt mir nix, ich trenne bei uns die Netze mittles VLAN (6 Netze) damit z.B. die Geräte Netze nicht ins INet können um wie schon erwähnt IP's und damit Geld zu sparen. Oder externe Dienstleister nicht in unser Netz aber ins Internet können.
Da ist eben VLAN, tagged, untagged oder mac adressen basierend das Zauberwort und über die Sophos und Layer2/3 Switche eine geile Sache;)
Danke nochmals!
kosta:
Du sagst ihr seid keine Netzwerk-Spezies, aber wer hat dann den 4-NIC Server mit OPNsense bestellt?
Kommt mir bisschen vor, als ob die Anschaffung ohne Konzept gemacht wurde?
Schau mal hier:
https://forum.opnsense.org/index.php?topic=19698.0
Navigation
[0] Message Index
[#] Next page
Go to full version