Routeren tussen Vlans*

Ik heb de luxe dat ik met een foundry router mag spelen en hierdoor een test kan doen die ik al enige tijd zou willen doen. Ik heb een publiek IP-block hiervoor beschikbaar om te testen, dus ik hoef niet alleen intern te werken, is wat overzichtelijker.

Het idee, is vrij simpel:

Men neme een router en 2 firewalls welke in failover mode geconfigureerd zijn en welke het netwerk er achter zouden moeten beschermen tegen de kwade wereld.

OK, dit is vrij duidelijk, er is alleen 1 probleem. Je hebt een router, ok switch welke ook kan routeren, en deze zal in principe onbruikbaar zijn voor switching omdat de firewalls hier op aangesloten zullen worden en achter de firewalls dan weer een switch komt te hangen waar je servers op aan kunt sluiten welke "veilig" zijn.

Om toch de router/switch te kunnen gebruiken dacht ik aan een loopback op de router/switch zelf doormiddel van een extra vlan met de firewalls hier tussen.

De situatie is nu als volgt op de foundry:

Ik heb een virtual port aan gemaakt welke ik in een vlan (vlan2) gezet heb. Deze Virtual port heeft het IP dat ik als gateway gebruik vanaf de servers die aan de foundry hangen.

De router heeft natuurlijk ook een adres wat ik aan een poort gehangen heb + het subnet waar deze in hangt. HIer zit uiteraard de uplink op. Deze poort hangt niet in de vlan waar de Virtual port en de rest van de poorten welke ik wil gebruiken, dus niet in vlan2.

Ik heb een route aangemaakt als volgt:

ip route 0.0.0.0 0.0.0.0 123.123.123.123

Waar 123.123.123.123 de router is waar ik weer heen moet routeren.


Dit werkt, iedere poort die ik untag uit vlan1 (deze is namelijk default uiteraard) en in vlan2 hang kan gewoon connectie maken met de buitenwereld.

Nu komt alleen het iets wat complexere stuk met de firewalls.

Mijn idee is om beide WAN-kanten van de firewalls in een vlan te hangen, dus vlan2, de rest hieruit te gooien en in vlan3 te hangen en tevens de lan-kant van beide firewalls. (de opvolgende vlans gebruik ik dan puur om het overzichtelijk te houden)

Ik kan de situatieschets alleen niet helemaal rond krijgen met betrekking to de routing hier. De firewalls zullen ingesteld zijn als transparent bridge, ik gebruik hier pfsense voor. In principe zijn die dingen dus onzichtbaar en kan ik nog steeds mijn virtuele poort gebruiken op mijn servers als gateway.

Het probleem ligt hem alleen tussen mijn vlans waar de firewalls tussen liggen. Maak ik een route van vlan naar vlan aan ? (vlan2 > vlan3) of ga ik toch mijn firewalls ook weer als een soort van gateway gebruiken ?

Ik weet dus niet if ik moet gaan routeren tussen vlans of iets anders moet doen in deze situatie, dit is wat ik uit wil gaan vinden .

Ik heb nu dus een basic config welke werkt zonder firewalls er tussen en waarbij alles op de foundry aangesloten is.

Ik ben hier met wat mensen over in debat want er zijn natuurlijk meerdere mogelijkheden.

De een zegt maak 2 vlans en hang hier de FW tussen. Aangezien hij transparant is moet dat heel makkelijk zijn. Ik vraag me alleen wel af of ik gewoon kan routeren tussen beide vlans zonder problemen. Het lijkt me opzich wel.

De ander zegt, joh, zet L3 op die foundry uit en laat de firewall het L3 verhaal afhandelen.

De laatste optie is opzich geen gek idee, is waarschijnlijk veel overzichtelijker, maar de Foundry is meer ontworpen voor routering dus lijkt het me beter deze routering te laten doen.

Aan de andere kant is de Firewall tussen 2 vlans eigenlijk zo ideaal dat je de firewall zou moeten kunnen vervangen door een crosscable en het zou nog steeds moeten kunnen werken als ik het goed heb.

Ik zou zelf voor optie 1 gaan, natuurlijk hangt optie 2 van de hardware af. ik dacht te beginnen met een Dual Xeon 700 met flink wat mem, die staat hier nog wel weg te stoffen.

Het blijft de vraag hoeveel optie 1 van optie 2 verschilt als je kijkt naar L2 en L3... ik denk toch wel redelijk wat performance.

Na wat geslapen te hebben ben ik weer verder gaan lezen en kom uit op het volgende:

Ik maak dus 2 vlans aan met elk een Virtual interface welke ik een IP uit mijn IP-block geef.

Ik ben er achter dat ik 2 ip-route regels nodig heb om van subnet naar subnet te komen.

Ik stel me dit voor als:



Ik gebruik nu dus een route 0.0.0.0 0.0.0.0 123.123.123.123 als ik maar 1 vlan gebruik, deze werkt trouwens wel... zijn de basics voor een werkende router natuurlijk.

Ik denk dat ik op de goede weg ben en een route beide kanten op moet maken van vlan2 naar vlan3 en van vlan3 naar vlan2

De subnet definitie klopt niet helemaal op de vlans, dit moet even bijgeschaafd worden

Suggesties zijn welkom.

Dit is mijn laatste update.

Het blijkt dat Cisco een SVI oplossing voor het aan elkaar knopen van vlans heeft zonder directe routering. Foundry heeft volgens mij geen oplossing als deze, of ik zou vlans moeten gaan bridgen of iets in die trend.

De laatste oplossing zou zijn de firewall laten routeren, niet het mooiste plan, ik zal uitleggen waarom:

Aangezien ik maar 1 upling heb en firewalls (pfsense) in failover mode wil testen zou ik in de wan-vlan op de router beide firewalls kunnen hangen met de wan-poort en de lan kan van die firewalls in de lan-vlan op de router.

Op Firewall niveau heb je dan wat meer redundancy, ok op router niveau niet, maar dat is niet de doelstelling.

Zou ik de firewall als router laten functioneren zou daar eigenlijk de uplink in moeten, en als ik dan maar 1 uplink heb zoals op dit moment het geval is kan ik de failover niet testen, of ik zou de wan handmatig moeten omzetten, niet de bedoeling