Adicionando o segundo firewall à conexão do ISP com várias sub-redes?

6

Meu conhecimento de roteamento está um pouco enferrujado. Eu tenho uma conexão de internet de fibra conectada assim:

OswitchgerenciadodivideasVLANsparaoserviçodelantransparente,quetambéméfeitoatravésdacaixadoISP.Euachoqueissoéirrelevanteparaesseproblema,entãodeixeideforadosdiagramas.

Eutenhoduas/29sub-redes(usandoendereçosdeexemplode RFC5735 ):

  • 192.0.2.144/29 (.144-151) - o principal. Nosso gateway é 192.0.2.145, e o endereço principal do firewall é 192.0.2.146.
  • 203.0.113.88/29 (.88-.95) - segunda sub-rede que não possui gateway e é roteada pelo ISP para a primeira (acho que esta é a parte em que me confundo).

O firewall tem todos os endereços IP utilizáveis de ambas as sub-redes adicionados à sua interface WAN e faz o NAT a vários servidores.

Agora eu quero adicionar uma rede separada com seu próprio firewall, fora do nosso firewall, e ele precisa do seu próprio endereço IP público, como este:

Eu não estou usando o 203.0.113.94 ainda, então eu iria removê-lo dos endereços adicionais no firewall existente e fornecê-lo ao novo firewall ... mas isso não funcionará, não é? Não tem gateway na sua sub-rede.

Ou eu poderia reorganizar as coisas e dar a ele um dos endereços 192.0.2.144/29. Isso funcionaria corretamente e permitiria que as duas redes funcionassem corretamente? Existe uma maneira melhor de fazer isso?

Eu poderia anexar o novo firewall ao existente se ele ainda conseguisse um IP público real, não NAT - mas não sei se há alguma maneira de fazer isso com o firewall de guarda de segurança. Isso provavelmente exigiria mais sub-redes, e eu já estou quase sem endereços IP.

A nova rede será o nosso laboratório de testes (para que eu possa finalmente parar de testar as coisas na produção!). Eu não quero que as duas redes sejam capazes de falar umas com as outras porque elas terão a mesma sub-rede interna e clones de máquinas de produção. Eu preciso do novo firewall para ter um endereço IP público, sem qualquer NAT.

    
por Grant 29.03.2016 / 03:54

5 respostas

3

Acho que sua melhor aposta será entrar em contato com seu ISP e esclarecer exatamente o que eles estão lhe dando com o bloco 203.0.113.88/29. Não há razão para que as coisas sejam complicadas pela incerteza sobre esses endereços IP.

O cenário mais ideal é conectar um segundo firewall a esse switch e atribuir a ele um dos IPs na rede 203.0.113.88/29 com um gateway padrão na mesma rede.

    
por 01.04.2016 / 15:22
0

como seu ISP pode rotear o 203.0.113.88/29 em sua rede? De alguma forma, duvido que seja o caso.

Se você não estiver usando totalmente a sua rede 192.0.2.144/29 (ou 203.0.113.88/29), você deve ser capaz de colocar uma interface no seu switch com o endereço IP naquele intervalo. Eu recomendaria usar 2 endereços IP (se disponível) - Então, por exemplo:

Switch1:

Interface FaX / X (seu novo firewall se conecta aqui)

Endereço IP 192.0.2.147 255.255.255.252 !

Então, no seu novo firewall, você colocaria

Interface X / X 192.0.2.148 255.255.255.252

Isso esclareceria sua necessidade de um gateway padrão, você também poderia colocar a máscara / 29 nela e usar o mesmo gateway que está atualmente em uso no seu switch.

assim, por exemplo (digamos que você está usando vlan 20 no seu switch)

Vlan 20 endereço IP 192.0.2.145 255.255.255.248

interface FaX / X (seu novo firewall se conecta aqui) switchport access vlan 20

no seu novo firewall

endereço IP 192.0.2.147 255.255.255.248

Com relação à regra de não-comunicação, você precisaria de uma sub-rede separada ou de uma ACL em seu switch.

Espero que isso ajude

    
por 01.04.2016 / 15:40
-1

Atribuindo ao firewall do laboratório um endereço dentro de 192.0.2.144/29 ou 203.0.113.88/29 não funcionaria a menos que esteja atrás de qualquer dispositivo que atue como o gateway para aquele espaço de endereçamento, porque qualquer dispositivo com o qual o endereço de broadcast responderá Solicitações ARP.

Você gostaria de atribuir o endereço upstream do seu firewall Watchdog ou, em vez de ter o Watchdog anunciando a rede / 29, você pode dividi-lo / 29 em / 30's. Atribua um / 30 a um firewall e outro / 30 ao novo firewall de laboratório, se você não precisar dos oito endereços de host dentro do / 29 em um firewall.

    
por 29.03.2016 / 05:44
-1

Eu não sei os detalhes do seu firewall, mas é assim que eu faria com praticamente qualquer firewall de nível empresarial, sendo desnecessário usar dois firewalls:

Coloque a rede 203.0.113.88/29 em seu primeiro firewall, em uma interface separada (ou subinterface, se você puder usar VLANs), e faça com que o firewall proteja as redes umas das outras. Basta atribuir à interface do firewall um endereço do bloco de rede e esse será o gateway da rede. Você precisará de uma rota padrão da rede para a interface WAN do firewall (ou o endereço do roteador do ISP) e está pronto.

NAT realmente não tem nada a ver com firewalls; Os firewalls geralmente são apenas um local conveniente para o NAT. Você não precisa NAT na rede se não quiser, e eu não faria isso com endereços públicos.

    
por 31.03.2016 / 04:23
-1

Se o seu ISP estiver roteando ambos os escopos para o seu firewall atual, você deverá ser capaz de configurar a configuração desejada sem nenhum software adicional, dependendo do modelo do Watchguard. Watchguard é muito bom em lidar com esses tipos de problemas. Parece que você pode ter uma configuração ruim em relação à rede 192 ou 203, pelo menos em termos de usá-la como uma rede pública. Você deve ter pelo menos um ano de suporte no aparelho e, se não pagar por outro, vale a pena orientá-lo na configuração dessa configuração para você. Mas primeiro faça com que eles confirmem que o firewall do seu modelo atual pode manipular a configuração e a carga de tráfego que você pode esperar de ambas as redes.

Em relação ao seu ISP, parece que eles estão apenas despejando o segundo escopo de rede em cima do primeiro. Quem forneceu o serviço, provavelmente não foi capaz de configurar os dois terminais em sua instalação e deixou como está agora. Conseguir isso esclarecido ajudaria muito. Ajudaria você a discutir sua configuração com o Watchguard. Eu pessoalmente usaria apenas um firewall, por uma série de razões, carga elétrica para um, mas os contratos de serviço e outros custos recorrentes e as necessidades de suporte são outro motivo. A menos que você realmente tenha outro problema, como se seus projetos de desenvolvimento exigissem redefinições da unidade por algum motivo, ou seja, o desenvolvimento de software de gerenciamento de rede. Ou se a unidade atual é subdimensionada para o trabalho de suportar a carga de ambas as redes. Tome essas questões em consideração.

    
por 06.04.2016 / 15:41