Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Subscribers 5 subscribers
  • Views 1562 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN als "Transfernetz"

Chrissel

Hallo zusammen,

ich habe ein kleines Problem bzw. einen Denkfehler wie ich verschiedene VLANs verbinde.

Die Anforderung sieht vor, dass die Kommunikation über ein ungenutztes, selbstständiges V-LAN (bsp. VLAN2) laufen soll.

Mitarbeiter aus bsp. VLAN1 kommunizieren über VLAN2 mit dem Zielnetz bsp. VLAN3.

Um das zu realisieren wurden auf der UTM9 Regeln erstellt.

Einzeln gesehen funktionieren die Regeln, sprich Regel 41 ermöglicht die Kommunikation mit der Gebäudesteuerung und Regel 42 die mit dem Techniknetz.

Die VLANs liegen alle auf der selben FW.

Ist die Umsetzung so überhaupt möglich oder muss die Regel dementsprechend angepasst werden ohne ein weiteres VLAN dazwischen 

(Quelle VLAN1-> Transferrolle VLAN2-> Zielnetz VLAN3)?

Für Anregungen oder Tips wäre ich sehr dankbar.

Viele Grüße

Christian



This thread was automatically locked due to age.
Parents
  • 0

    Ich verstehe die Frage nicht vollständig...

    Aber: Ein weiteres VLAN bedeutet ja auch ein weiteres Subnetz.

    Aber warum sollte ein Router Traffic von VLAN1 nach VLAN3 über VLAN2 schicken, wenn VLAN1 und VLAN3 direkt am Router angebunden sind?

    Wie sieht denn die Anforderung aus?

    Ich kenne das so, dass auf dem Transfernetz zwischen 2 Routern ein für nichts anderes genutztes VLAN/Subnetz verwendet werden muss.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    In VLAN3 befindet sich ein Server.

    Dieser wird nicht von uns betreut sondern aus Bulgarien. 

    Meine Aufgabe ist es sicherzustellen, das Kollegen aus VLAN1 auf den Server zugreifen können, aber kein Traffic von VLAN3 nach VLAN1 gelangt.

    Ich weiß, das meine Regel nur in eine Richtung den traffic freigibt.

    Mein Kollege besteht aber darauf den Traffic durch das VLAN2 zu schicken um eben zu  sicher zu gehen, dass der Externe nicht unser Verwaltungsnetz sieht.

    Vermutlich denken wir hier einfach zu kompliziert und müssen den Schritt durch VLAN2 streichen.

    Hoffe das war etwas verständlicher.

    Vielen Dank schon mal und einen schönen Feiertag.

    Viele Grüße

    Christian

  • 0 in reply to Chrissel

    Hallo Christian,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I agree with Dirk that the Transfernetz adds complexity while offering no additional security.  IN UTM, all traffic is dropped by default unless there is a manual or automatic firewall rule allowing it.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • +1 in reply to BAlfson

    Hi
    ich glaube was dein Kollege meint ist, das die Kollegen aus Bulgarien auf dem Server nicht die internen IPs eures VLAN1 Netzes sehen sollen.
    Du kannst aber beides relativ leicht ohne zusätzliches Transfer-VLAN machen.

    Erstell eine Masquerading Regel von VLAN1 -> VLAN 3 bzw. Direkt Server IP. Damit verschleiert ihr die Source-IPs und der Zugriff auf den Server "scheint" immer nur von der Firewall-IP im VLAN3 zu kommen. Die sehen nie die Originale IP wegen des NAT.
    Ansonsten eben noch deine normale Firewall Regel die Services von VLAN1 auf VLAN3/Server erlaubt, was ihr erlauben wollt.

    Et voila. Das sollte eure Bedingungen abdecken ohne viel Komplexität.

    MfG Martin

  • 0 in reply to MartinSeener

    Hallo Martin,

    Besten Dank, so werde ich das umsetzen.

    Viele Grüße 

    Christian

Reply Children
No Data
Unfiltered HTML