Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 25 subscribers
  • Views 1395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Konzept WAN-Range-Wechsel

onkelnatas
Guten Tag zusammen

Hab bei einem grösseren Kunden einen Wechsel des WAN-Ranges zu planen.

Momentan ist folgende Konfig aktiv:

320er HA-Modus

1 WAN-Anschluss mit einer kompletten C-Klasse (add. IPs + NAT-Regeln)
1 LAN-Anschluss (priv C-Klasse)
2 DMZ-Anschlüsse (priv C/B-Klassen)
1 HA
keine Proxys aktiv, nur NAT und Packetfilter.

Um einen Wechsel der externen IPs nicht auf einen Schlag machen zu müssen habe ich folgendes geplant.

1. Reserve 220-HA aufsetzten und Konfig vom bestehenden FW übernehmen
2. Anpassen der WAN-IPs (NW und Definitionen)
3. Anpassen der LANU/DMZ-Anschlüsse (z.B. die IP von x.x.x.254 auf x.x.x.253 wechseln)
4. TTLs runtersetzen und per DNS-Änderung Server für Server auf die neue IP konfigurieren. Gleichzeit dem Server den Gatway auf 253 abändern.
5. Nachdem alle Server abgeändert worden sind die 320 abschalten
6. Nach ca 1 Woche den Switch zurück auf die org. HW machen.

Was haltet ihr von diesem Vorgehen?

Gruss
nataS


This thread was automatically locked due to age.
  • 0
    also ehrlich: selbst wenn alle 254 public's in betrieb sind, kann man die in max 1h umschreiben - lohnt da der o.g. aufwand??
    gruss
  • 0 in reply to AMros
    also ehrlich: selbst wenn alle 254 public's in betrieb sind, kann man die in max 1h umschreiben - lohnt da der o.g. aufwand??
    gruss


    Tag AMros

    Das ginge sogar schneller, jedoch ist das Kundensystem ziemlich ... öhm... verkonfiguriert, weshalb ich mit fixen WAN-Adressen innerhalb der Applikationen und Webseiten rechnen muss. Daher will ich das System piece-by-piece in den neuen Range switchen um die Übersicht der zu erwartenden Probleme zu behalten.

    Gruss

    nataS
  • 0
    das is wohl wahr - aber nach der beschreibung oben existieren beide wan ltg parallel - reicht es dann nicht, die neue mit auf das vorhandene system zu nehmen und die ganze re-konfig da zu machen - dann muessen zumindest nicht saemtl. gtw geaendert werden...
    gruss
  • 0
    du meinst 2 WAN-Anschlüsse auf einer Firewall?
    Bekomm ich da keinen Stress mit Routing etc?
    Hätte dann ja 2 WAN-Anschlüsse mit je einem GW.
  • 0
    JE ein gtw geht eh nicht, nur eines zulaessig; das zweite koennte man mit einer policy route "simulieren" - wenn's ansonsten nur um DNAT (also hosting) geht, sollte das einfacher sein - aber langsam schwer zu sagen, ohne dann doch mehr details zu kennen...
  • 0 in reply to AMros
    Man könnte das neue Subnetz auf eth7 legen (ohne def GW)
    Bei HA müssen beide Maschinen an den neuen Router/Switch.
    Dann die Externen Services über die neuen Ips (und eth7) nach Bedarf dnaten/umstellen usw.
    Wenn man mit dnaten fertig ist, löscht man man eth1 und ändert die hardware bei dem neuen Subnetz von eth7 auf eth1 und setzt dabei das neue defGW.
Unfiltered HTML