WAN Port über Switch verteilen?

[x-Timmey-x]

Hallo,

irgendwie fehlen mir gerade die Begriffe und ich bin im Internet bisher nicht fündig geworden.
Vielleicht kann mir von euch jemand weiterhelfen.

Ich möchte eine virtuelle Firewall für die DSL Einwahl verwenden.
Da mein Server kein Modem hat, benötige ich ein Modem. Als Modem kommt eine FritzBox 7430 zum Einsatz, da Sie VDSL2 beherrscht und ich somit VDSL 100 von der Telekom nutzen kann.

Nun erstelle ich auf meinem Host mehrere virtuelle Switch Portsm, die ich anschließend meiner VM/Firewall und meinen physischen Ethernet Ports zuweise.
1. Port: DSL Modem / Einwahl
2. Port: LAN
3. Port: DMZ
...

Mit diesem Konstrukt sollte ich eine Internetverbindung aufbauen können.

Nun möchte ich aber meine VMs Redundant verfügbar machen und somit auch meine Firewall!
Jetzt kommt leider der Harken... Host A und Host B sind identisch ausgestattet. Nun fällt Host A aus und Host B übernimmt die VMs und somit auch wieder die Firewall.
Da jetzt keiner das Kabel vom Modem zu Host B umstecken möchte, benötige ich eine andere Lösung.

Meine Idee war ein VLAN
Sprich ich richte ein VLAN ein, verbinde das Kabel vom Modem zum Switch und verbinde beide Hosts ebenfalls zum Switch.
Allerdings weiß ich nicht wie es um das Thema Sicherheit steht, da der Switch vor der Firewall hängt!

Ich hoffe mein anliegen war verständlich und mir kann jemand einen Tipp geben...
Danke Gruß Tim

 

[Raijin]

Modems sind in der Regel an einen Host gebunden. Das Modem merkt sich die MAC vom Host. Deswegen muss man das Modem in der Regel auch für ~10 Minuten komplett ausschalten, wenn man den Host, der die Einwahl übernimmt, austauscht (zB ein neuer Router, ein anderer PC, etc). Switchen kannst du diese Leitung so nicht.

Hat es einen bestimmten Grund warum du die Fritzbox als reines Modem betreiben willst? Du könntest die Fritzbox auch ganz normal als Router einsetzen und ausschließlich deine Firewall per LAN dranhängen. An den zweiten LAN-Port der Firewall hängst du dann einen Switch und versorgst das LAN.

 

[TheSir]

Lass den Router die Einwahl machen, und vom Router zu den Server(n) machst du ein anderes Netz als das wo nachher alles andere drin ist, das Gateway ist dann eine virtuelle IP zwischen den Firewalls schwenkbar ist.
Du müsstest dann eine Verbindung der beiden FW´s realisieren über die ein Heartbeat gesendet werden kann zum prüfen, ob der jeweils andere noch "da" ist

Die Frage ist, warum brauchst du eine redundante FW wenn alles andere nicht redundant ist? Leitung, Modem/Router?

 

[x-Timmey-x]

Modems sind in der Regel an einen Host gebunden. Das Modem merkt sich die MAC vom Host. Deswegen muss man das Modem in der Regel auch für ~10 Minuten komplett ausschalten, wenn man den Host, der die Einwahl übernimmt, austauscht (zB ein neuer Router, ein anderer PC, etc). Switchen kannst du diese Leitung so nicht.

Verdammt, wäre auch zu einfach gewesen. Hab es aber fast schon geahnt.

Hat es einen bestimmten Grund warum du die Fritzbox als reines Modem betreiben willst? Du könntest die Fritzbox auch ganz normal als Router einsetzen und ausschließlich deine Firewall per LAN dranhängen. An den zweiten LAN-Port der Firewall hängst du dann einen Switch und versorgst das LAN.

Klar, dann hätte ich die Problematik nicht wenn ein Host ausfällt.
Jedoch verliert man dann auch Nutzungsumfang von der Firewall. Gerade wenn es um VPN Verbindung geht.
Webdienste könnte man noch veröffentlichen, auch wenn man an zwei Schrauben dann drehen muss...

Lass den Router die Einwahl machen, und vom Router zu den Server(n) machst du ein anderes Netz als das wo nachher alles andere drin ist, das Gateway ist dann eine virtuelle IP zwischen den Firewalls schwenkbar ist.
Du müsstest dann eine Verbindung der beiden FW´s realisieren über die ein Heartbeat gesendet werden kann zum prüfen, ob der jeweils andere noch "da" ist

Sprich ein Failover Cluster
Das ginge mir etwas zu weit. Ich wollte lediglich einen Schwenk der VMs machen wenn ein Host ausfällt.
Ich wollte keine zwei Firewalls gleichzeitig betreiben :-)

Aber auch hier habe ich wieder die Problematik wenn ich den Router davor schalte, das ich gewisse Funktionen der Firewall nicht nutzen kann.
Gerade darauf bin ich eigentlich scharf

Die Frage ist, warum brauchst du eine redundante FW wenn alles andere nicht redundant ist? Leitung, Modem/Router?

Die DSL Leitung bzw. das Internet kann ich ebenfalls redundant auslegen. Das funktioniert ganz einfach mit einem LTE Stick.
Jedoch auch hier wieder nur pro Host oder man hat halt eben zwei LTE Sticks :-)

Mit dem LTE Stick könnte ich aber das Problem lösen
Wenn wirklich Host A ausfällt, dann fällt halt auch automatisch das DSL aus. Ist zwar schade aber genauso verkraftbar, wie wenn der Router ausfällt. Wenn die VM/Firewall dann auf Host B läuft, dann versorgt Sie das LAN eben über den LTE Stick

Kleiner Workaround

 

[Raijin]

Wieso verliert man die Funktion der Firewall, wenn man sie zwischen Router und LAN klemmt? Ob die Firewall nu mit einem Bein direkt im Internet hängt und mit dem anderen im LAN oder ob es zwei LANs sind, eins zur Fritzbox und eins zum Rest, ist Jacke wie Hose.
Eine Firewall arbeitet mit Interfaces. Wer oder was da dranhängt ist vollkommen unerheblich.

Fritz (192.168.1.1) --- (...1.2 @LAN1) Firewall (...2.1 @LAN2) --- Switch, etc

Jedes Gerät, das aus dem Heimnetz raus will, muss durch die Firewall. Die 3 übrigen LAN-Ports der Fritze bleiben leer

 

[x-Timmey-x]

Ich sag ja gar nicht das man die komplette Funktionalität verliert...
Probiert doch mal bei deinem Konstrukt ein Portforwarding oder eine VPN Einwahl.

Außerdem sehe ich keine Vorteile, wieso ich den Router vor dir Firewall setzen soll? Oder warum ich unbedingt die Firewall hinter einen Router setzen soll...