VLAN Switch an Firewall anschließen



  • Hallo,

    so wie ich gelesen habe kann man ein VLAN Switch mittels einem Kabel und "tagged Link" an einen Firewall Port anschließen und dort alle VLAN's logisch wieder trennen und konfigurieren.

    Wenn ich nun an der der Firewall mehrere Netzwerk-Ports habe, kann ich dann auch mehrere paralelle Kabel (für jedes VLAN genau 1) am Switch anschließen?

    Mir ist nich ganz klar ob das geht. Bei sehr vielen VLAN's wäre nur ein Kabel zur Firewall ja dann ein "bottleneck" oder?



  • Ja, Ja und Ja :)

    Wenn du mehrere Kabel legst hast du faktisch einfach mehrere "tagged links" (auch trunk genannt).
    Wenn du mit 1Gbit von der Firewall auf den Switch gehst und von da her nur mit 100Mbit auf die einzelnen Clients, dann ist der Bottleneck nicht bei dem trunk.



  • Danke GruensFroeschli!  ;)

    Wenn ich für jedes VLAN ein Kabel vom Port des Switches zu einem eigenen Port (Netzwerkkarte) der Firewall lege, dann brauche ich doch eigentlich kein "tagged link" bzw. trunk, oder?
    Die Vlans überschneiden sich dann ja nicht und eine "untagged link" müsste doch ausreichen?

    Welche Variante wird denn in der Praxis genommen sofern Firewall und Switch jeweils nur GBit Ports haben?


  • Moderator

    Hallo Hawk,

    das ist unterschiedlich. Ich habe sowohl die Variante von unserem Freund Frosch bereits verbaut, als auch die andere. Sprich:

    1. Mehrere VLANs (bspw. 15) auf die Firewall, FW hat 4 Interfaces (1x WAN, 3x LAN) -> Auf jeweils 3 Switchports 5 VLANs konfiguriert (=15) und diese dann zur Firewall geschleust und dort pro Port aufgedröselt.

    2. gleiche Konstellation: auf VLAN und Portchannel-fähigem Switch 3 Ports zu einem Portchannel verbunden (also quasi 3GBit), pfSense ein LAGG Interface mit den 3 physischen Interfaces angelegt, miteinenander verkabelt. Dann alle 15 VLANs auf dem lagg0 Interface angelegt.

    Es findet beides seine Anwendung. Variante 2 ist relativ einfach, da man die VLAN Verwaltung der Firewall überlässt und über den Switch lediglich den kompletten Trunk gibt. Was also raus kommt bestimmt zum Großteil die Firewall.
    Variante 1 ist aber bspw. geschickt, wenn man mehrere unterschiedlich wichtige VLANs hat, die man so bspw. besser vom Traffic her verteilen möchte. Damit muss dann nichts an der Firewall bezüglich Shaping oder QoS konfiguriert sein. Sagen wir mal von den 15 VLANs gibts einen der meist sehr viel Traffic hat, 3 mittlere, die anderen 11 sind solala und es fällt eh nicht viel an. Dann kann ich bspw. eine Ader mit 1Gbit komplett für VLAN1, VLAN2-4 mit mittlerem Traffic alle auf eine zweite Ader und die restlichen 11 langsamen Links alle zusammen auf das 3. Interface stecken. Wohlgemerkt: Wenn es bei den Netzen dann wieder um Internet Traffic geht, und der lediglich mit einer Ader auf 1GBit/s ankommt ist das alles relativ egal ;) Schließlich wird durch den Uplink nie mehr als ein Gigabit drüber laufen, egal wie gut die VLANs angebunden sind. Was man so aber steuern kann ist bspw. Intra-VLAN-Traffic, der zwischen den VLANs passiert. Hat man also bspw. ein VLAN, mit dem fast alle anderen sehr viel reden müssen, lohnt es sich schon, die VLANs geschickt auseinander zu ziehen, damit die Bandbreite der Links besser genutzt werden kann. Denn wenn bspw. alle mit VLAN13 reden und 13 aber mit 5-15 auf dem gleichen Kabel liegt, wird die Kommunikation von 5-15 mit 13 sicher langsamer sein, als wenn bspw. 13 auf einer eigenen Ader liegt und sich die anderen geschickt die restlichen beiden teilen. Dann hast du häufiger ggf. volle Gigabit Geschwindigkeit beim Datenaustausch.

    Kommt also wie so oft ganz auf deinen Anwendungsfall an :)

    Grüße Jens



  • Hi Jens,

    wow danke für deine ausführliche Antwort! :D
    15 VLANs sind schon eine Menge, ganz so viele werden es bei mir nicht. Ich bin mir aber noch nicht ganz sicher wie ich die Gruppen aufteile. Wlan, GastWLan und SmartTV bekommen auf jeden Fall je ein eigenes VLAN. Macht es aber Sinn Pc Clients, 2 NAS und Drucker jeweils in eigene VLANS zu stecken? Zu klein sollte eine VLAN Gruppe doch nicht sein….

    Als Firewall werde ich eine Watchguard XTM 505 mit pfsense nehmen, die hat schonmal 6 Ports. Als Switch das TP TL-SG 3424 (GB Layer 2 Switch, managed, 24 Port). Dazu ein Wlan Access Point mit Gastnetz von Vigor. Insgesamt sollte die Performance im Netz also eigentlich ausreichend sein...


  • Moderator

    Ahoi,

    15 VLANs sind noch gar nichts ;) Momentan bauen wir einen CARP Cluster, auf dem wahrscheinlich ca. 80-100 VLANs laufen. Und ich hatte auch schon Cisco ASA Setups mit mehreren Hundert VLANs. Es hängt immer davon ab was man wie von einander isolieren möchte.

    Da ich vermute, dass es sich bei deinem WLAN AP um ein Consumer Gerät handelt, wird das erstmal kein VLAN können? Das wäre sonst sehr angenehm, denn dann könnten die Gäste auch netzwerkseitig von den authorisierten Usern getrennt werden. Aber dafür braucht es dann andere Hardware, die dann bspw. einer Gast SSID ein anderes VLAN mappen kann als der Internen SSID. Ansonsten kommt es natürlich wieder darauf an, was du isolieren willst. Wenn bspw. die PC Clients und Drucker eh schon immer im gleichen Netz waren, braucht man deshalb kein Faß (oder VLAN) aufzumachen. Das wäre höchstens dann von Interesse, wenn man sagt, dass WLAN Geräte KEINEN Zugriff ins PC LAN bekommen und sonst nur auf das NAS und den Drucker dürfen. Dann wäre Drucker im gleichen Netz wie PCs "unschön" (aber trotzdem noch machbar, da man den Zugriff ja auf die Ziel-IP einschränken kann), ist so eine Überlegung egal, kann man das Setup auch simpler nehmen und sich mehr an Gemeinsamkeiten orientieren.

    Beispiel:

    • WAN: klarer Fall
    • WLAN: eigenes VLAN, eigenes Interface. Getrennt in Gast und Intern. Wenn möglich, Gäste via Gast-SSID andere IP-Range geben und somit Gäste WiFi Devices aussortieren, interne SSID dafür freigeben.
    • Gäste: Nur ins Internet
    • InternWiFi: Ins Internet, NAS(?), Drucken (?)
    • SmartTV: soll höchstens ins Internet, aber daraus nicht erreicht werden (?)
    • Drucker: Umgekehrt, soll nur intern erreicht werden, aber nicht ins Internet (warum auch?)
    • NAS: theoretisch dito wie Drucker, allerdings gibt es ja auch einige intelligentere NAS Systeme (à la Synology und Co.), die durchaus von extern über definierte Schnittstellen erreicht werden sollen
    • PC Clients: sollen ins Internet, zum NAS (?), zum Drucker (?), aber nicht von außen erreicht werden

    Sieht man das so oder so ähnlich, kann man relativ einfach trennen. Wenn bspw. Drucken nicht aus WLAN möglich sein soll, oder ein Zugriff aufs LAN OK, dann wären bspw. das die Interfaces, wie man sie aufsetzen könnte:

    • LAN (PCs + Drucker + SmartTV)
    • DMZ (NAS)
    • WLAN AP (mit zusätzlich virtueller IP für das Gästenetz)
    • WAN

    Warum? PCs & SmartTV sollen Daten aus dem WAN holen dürfen. Das passt. Drucker kann ggf. auch CloudPrinting machen, ansonsten wird seine IP einfach gesperrt ins Internet. Wenn man die PCs und den SmartTV dann in eigene Bereiche packt, kann man mit Aliasen auch recht einfach definieren, dass bspw. der SmartTV ins Internet und auf die NAS zugreifen darf, sonst aber nichts. PCs s.o.
    DMZ ist noch einfacher, hier kommt nur rein was erlaubt ist, womit die Daten recht sicher definiert sind. Da WLAN 2gleisig läuft, eigenes Interface, dann herrscht zumindest ein wenig Trennung vom LAN und ein Gast kann nicht so viel Verkehr mitschneiden.

    Das ist aber nur ein Denkansatz :)

    Grüße



  • Wow Jens! Super vielen Dank für deine Hilfe!  8)

    • Der AP ist glaub ich ganz gut und eher kein Consumer AP (http://www.draytek.de/produkte/wireless-lan/vigorap-800.html) - zumindest unterstützt er mehrere SSID's und VLAN.
    • Wlan Geräte sollten schon Zugriff ins LAN haben, da ich darüber meine Haussteuerung bedienen möchte (TCP). Ansonsten Internet und Drucken und NAS Zugriff.
    • NAS ist (Synology) ist bisher nur intern gedacht (LAN) und vielleicht Zugriff über VPN. Müssen die dann in die DMZ? Brauche ich für einen sicher DMZ nicht noch eine 2. Firewall?
    • SmartTv sehe ich als höchstes Sichheitsrisiko und soll eigentlich nur ins Internet. Wer weiß, was da demnächst noch für Viren drüber kommen werden…  :o
    • PC ins LAN,NAS und drucken und nicht mit Smart-Tv zusammen!
    • Drucker nur lokal (LAN), kein Cloud Printing...

    Da ich die pfSense auf einer Watchguard nutzen möchte (CF 4GB) würde mich noch interessieren, welche Pakete überhaupt Sinn machen. AntiVirus? Proxy? ContentFilter?

    Grüße


  • Moderator

    1. Jein, der AP ist eher ein "prosumer" Gerät. VLANs kann er lediglich auf den LAN Interfaces taggen. Ob das jetzt im Draytek-sprech bedeutet, dass er auch SSIDs auf VLANs mappen kann (was es eigentlich nicht tut), kann ich dir nicht beantworten, das musst du wahrscheinlich selbst herausfinden. Tagging auf den LANs heißt eigentlich nur, dass die Interfaces eben auf entsprechende VLANs konfiguriert werden können. Was Business APs wie die von HP aber können ist eine ganze SSID auf ein VLAN zu taggen und eine andere SSID auf ein weiteres. Zusätzlich kann dann bspw. im nicht-authorisierten Zustand die Pakete nochmals anders verteilt werden.
      Aber es liest sich zumindest einmal nach etwas mehr als normalen StandardAP :)

    2. Dann würde ich wie angedacht die Drucker mit ins LAN stellen, WLAN und LAN je auf ein extra Interface und das mit Regeln abdecken.

    3. Müssen nicht, können schon. Da Synology mit der Cloudstation ja potentiell auch etwas wie eine "Dropbox zu Hause" anbietet, würde es sich anbieten, sie in eine anderen Zone zu packen als das LAN. Wenn das völlig ausgeschlossen ist, wären sie theoretisch auch im LAN gut aufgehoben.

    4. Warum den SmartTV isolieren? Gerade der braucht ja meistens Zugriff auf Internet und ggf. noch das NAS (wenn er von dort streamen soll). "Viren" ist eigentlich Unfug. Andere Dinge wie (unnötige) Kameras sind da riskanter. Der größte Mist bei SmartTVs kommt meistens eher aus der Ecke, dass Firmen (wie bspw. Samsung) "versucht" Software zu "entwickeln". Das ist aber leider etwas, was - man vergebe mir - sie für 2 Cent nicht gebacken bekommen. Ich sage nichts gegen Hardware, aber wenn man der Spur der Verwüstung folgt, können sie Software nicht ordentlich, wenn ihr Leben davon abhinge. Und dann noch "smarte" Fernseher? Bah… Anyway, mein Rat ist an der Front ja meistens eher: nimm den dümmsten Fernseher mit dem besten Bild, Ton kauft man meist eh extra (bei einem dünnen LED Fernseher erwarte ich nicht, dass die Boxen klingen als hätten sie das Innenvolumen einer Kathedrale) und dann stelle ich lieber einen Mini/Mikro Server daneben, der "smart" ist. Und den ich nicht mit dem Fernseher wegwerfen muss und der auf einen Hersteller angewiesen ist um Updates zu bekommen. (Raspberry Pi reicht für viele schon aus, ansonsten gibts mit den IvyBridge Atom Serien oder Core I3 EE basierenden NUCs sehr stromsparende kleine Kraftpakete. Darauf ein XBMC oder Plesk und ggf. noch VoD Service der Wahl und alles ist gut.)

    Aber wir schweifen ab. Bei Bedarf aber gern mehr, ich habe das bei mir zu Hause mit multiplen Räumen und Receivern auch ähnlich gelöst.

    1. Pakete sagt sicher jeder was anderes. Aber ich behaupte, wenn man eh ein wenig Gespühr hat - und dass du darüber in diesem Maßstab nachdenkst, zeigt das ja - ist der beste Schutz keine Firewall, sondern Brain 2.0 :) AntiVirus - finde ich - würde nur etwas bringen, wenn du dir selbst Mail ins Haus schicken lässt. AntiVirus auf der Firewall (als Content Filter) bringt dir sonst vermutlich kaum etwas. Ich würde zumindest nicht jeden HTTP Traffic durch den Content Filter blasen wollen. Proxy könnte ggf. was bringen, wenn es um Beschleunigung o.ä. geht. Filtern... eher weniger. Das Wichtigere finde ich sind klar definierte Zugänge. Wenn keine Verbindung von draußen erlaubt ist, ist das schonmal ein guter Anfang. VPN hilft ebenso, zudem Trennung der Segmente und Zugang klar definieren durch Regeln. Alles andere macht man am ehesten da wo es Sinn macht. AV beim Download? Hm. Dann eher auf dem Windows-PC einen Virenscanner. Ggf. noch auf dem NAS um ab und an mal den Datenbestand durchzugehen. Synos selbst sind aber Mini-Linuxe, denen macht das eher weniger aus.

    Grüße



  • Moin Jens,

    im Moment würde ich es dann so machen:

    Vlan1: DSL Modem
    Vlan2: PCs, Drucker
    Vlan3: Wlan     
    Vlan4: Wlan Gast (gleicher AP, andere SSID)
    Vlan5: NAS1 & 2
    Vlan6: Haustechnik
    Vlan7: 2 Streaming Clients
    Vlan8: Smart TV

    zu 1) Ich bin mir nicht ganz sicher, ob dies hier das ist was du meinst:

    _…Type the value for such SSID. Packets transferred from such
    SSID to LAN will be tagged with the number.
    If your network uses VLANs, you can assign the SSID to a
    VLAN on your network. Client devices that associate using the
    SSID are grouped into this VLAN...

    Enable 2 Subnet (Simulate 2 APs) - Check the box to enable the
    function for two independent subnets. Once you enable this
    function, LAN-A and LAN-B would be independent. Next, you
    can connect one router in LAN-A, and another router in LAN-B.
    Such mechanism can make you feeling that you have two
    independent AP/subnet functions in one VigorAP 800.
    If you disable this function, LAN-A and LAN-B ports are in the
    same domain. You could only connect one router (no matter
    VigorAP 800 User’s Guide  17
    connecting to LAN-A or LAN-B) in this environment.
    Multiple SSID - When Enable 2 Subnet is enabled, you can
    specify subnet interface (LAN-A or LAN-B) for each SSID by
    using the drop down menu._
    So wie ich es verstehe kann ich sowohl eine SSID auf ein VLAN taggen, als auch einer SSID einen eigenen LAN Port zuweisen. So könnte ich also auch WLAN und GastWLAN jeweils über eine eigene Leitung zum Switch oder der Firewall führen.

    zu4) Ich stimme dir völlig zu. Die Software ist sowas von buggy und mein Philipps TV stürzt auch gerne mal ab oder friert ein. Selbst regelmäßige Firmwareupdates helfen da nur wenig. Ich denke aber sehr wohl daß ähnlich wie bei den Android Smartphones Sicherheitslücken ausgenutzt werden. Deshalb bekommt er auch nur Internet-Zugriff und ich streame meine Medien lieber über andere Clients. Ein eigens VLAN schützt dann zumindest den Rest der Geräte.

    zu5) Die Pakete werde ich mir nochmal genau ansehen. Zumindest Snort und pfBlocker scheinen ja ganz sinvoll zu sein. Mails wollte ich bisher lieber draußen lassen. Gibt es eigentlich Standard-Regeln zwischen WAN und LAN die man unbedingt einstellen sollte?  (z.B. Web Gui Ports 80,443,22 für WAN sperren usw.) Ich habe da bisher keine brauchbaren Tutorials gefunden…

    cu


  • Moderator

    1. Klingt mit der Anzahl der VLANs etwas nach Overkill. GästeWLAN seperiert ist ja durchaus OK, das "normale" WLAN soll ja aber eher wie LAN behandelt werde (vermute ich), insofern würde ich das ggf. ins LAN bridgen oder zumindest gleich behandeln. VLAN 1 würde ich nicht vergeben, das default-VLAN macht manchmal wenn es in Nutzung ist Probleme bzw. ist Fallback. Zudem sollte das Modem nicht in ein VLAN, da das Modem überhaupt nichts von dem IP Layer weiß. Modem einfach direkt an die pfSense anschließen und gut. Nix VLAN.

    Warum dann noch irgendwelche Streaming Clients extra nehmen? Hört sich eher an, als wären die wie der SmartTV zu behandeln. Nicht nur VLANs nutzen, weil man es kann, nur nutzen, wenn es Sinn macht.

    1. ja das klingt so, als könnte er VLAN Tagging auf den SSIDs. Dann wäre es denkbar, wenn der AP am Switch mit den PCs etc. hängt, das interne WLAN auf das gleiche VLAN wie die PCs zu taggen, damit bspw. ein Laptop mit den PCs kommunizieren kann, Gäste aber in ein extra VLAN zu legen.

    2. Sicherheitslücken… vielleicht. Deshalb mag ich persönlich keine SmartTVs, sondern mach das lieber über eine extra kleine Box. Wenn du Interesse hast, gern per PN, da das ein ganz anderes Thema ist, aber da gibts auch Lösungen wie der Raspberry, der sich dann bspw. via HDMI-CEC direkt wie ein SmartTV mit der Fernbedienung des Fernsehers steuern lässt.
      Eine Isolation ist aber m.E. eher weniger notwendig. Wichtig ist nur, dass niemand von außen auf das Gerät kommt. Dann hält sich auch der Gefahrenaspekt mit Schadsoftware in Grenzen. Denn wenn ein SmartTV "gehackt" wird ist das den anderen Geräten eher egal. Schlimmer ist da eher, wenn das Ding bspw. noch ne Kamera für Skype hat, dass dich jemand bespitzeln kann.

    3. Nein. Es ist alles verboten was nicht explizit erlaubt wird. Lediglich auf dem LAN ist immer eine Default Regel "abgehend ins Internet alles erlauben aus dem LAN", aber ansonsten ist jedes Interface per default erstmal dicht und muss Stück für Stück aufgemacht werden. Default ist auch eine NAT von LAN auf WAN. Wenn man bspw. aus GästeVLAN ins Internet will, muss dafür dann auch ein NAT Eintrag rein dito NAS, TV, etc. Und natürlich entsprechende Regeln.

    PfBlocker ja. Snort halte ich eigentlich für zu Hause für ein wenig Overkill, aber jedem das Seine :)

    Grüße