L3 routeringsuitdaging.

Inderdaad zit je vast aan source-based routing, of aparte VRF's (als je apparatuur dat aankan).

Wat voor apparatuur hebben we het hier over waarop je dit wilt doen? Als dat echt professionele routers zijn zou je inderdaad kunnen kijken naar gescheiden VRF's met eventueel route leaking als de subnets elkaar wel moeten kunnen bereiken.

Of je geeft beide netwerken een eigen router met een P2P verbinding tussen beide routers om het onderlinge verkeer (al dan niet middels een routing protocol) te routeren.

Zijn dingen als VXLAN of GRE misschien een mooie oplossing?

rdfeij schreef op dinsdag 28 januari 2020 @ 11:39:
Het enige wat ik me nu nog kan bedenken is policy based routing, echter zou ik dan elk subnet buiten de 192,172 en 10 subnetten handmatig moeten invoeren om te routeren. Niet echt een constructieve (en nette) oplossing vermoed ik.

Ik hoor graag ideeën.

Als je ietwat deftige router hebt staan gewoon inderdaad PBR (PolicyBasedRouting).
En dat zal een heel simpele config zijn.

Default Route = next-hop Gateway1
Source 192.x.y.z = next-hop Gateway2

Waarom denk je dat je "veel subnets" moet invoeren in die config ? Werkt je met Cisco ?

[...]


Klinkt goed. Ben me aan het inlezen. Maar ik snap nog steeds niet hoe ik met deze oplossing een 2e defautl gateway kan creëren.

Je creëert eigenlijk een laag 2 over laag 3 verbinding. Welk laag 3 configuratie je erop hangt kan je natuurlijk zelf kiezen. Wij gebruiken GRE om over een laag 3 netwerk een aparte Guest vLan te maken die niet kan communiceren met de rest. Het endpoint is in ons geval dan de firewall, of dat past in jouw configuratie weet ik niet.

rdfeij schreef op woensdag 29 januari 2020 @ 15:18:
[...]


Dat zou het simpelste zijn. Echter zijn er binnen dit stuk ook meerdere VLAN's die onderling moeten communiceren (gerouteerd worden).
Al het overige verkeer moet inderdaad naar een firewall alleen dat is dus de hamvraag: hoe stel ik een 2e default gateway in voor deze afgeschermde VLAN's.

Maar als je al deze Vlans via GRE (VXLan, enz) laat lopen dan komen ze allemaal op hetzelfde apparaat uit waar jij ze weer onderling (en naar andere apparaten) kan laten communiceren? Het is gewoon een extra netwerk over je eigen netwerk heen, zie het als een VPN verbinding over je netwerk. Vlans zijn laag 2 en dienen voor broadcast afscheiden, deze hebben niets met laag 3 dingen te maken, je kan over één vlan wel 100 subnetten gooien.

Ik zie het nut van VXLAN,GRE,IPSEC,Q-in-Q in deze niet. TS heeft al verschillende VLANS en kan deze
imo laten "uitkomen" waar hij wil. De vraag gaat dan ook puur over L3 (routing).

rdfeij schreef op dinsdag 28 januari 2020 @ 11:39:
Indien er iets niet gerouteerd kan worden gaat dit naar de default gateway van de L3 core (internet verbinding).

Ik weet niet wat de "default gateway" is van de 10.10.x.x subnets en het "nieuwe" 192.168.x.x subnet?
Welk device is dit? Als dit de switches zijn kun je deze prima het traffic tussen de vlans laten routeren (inter vlan routing). Als de switches dan een "0.0.0.0/0" route naar de "internet router" hebben moet je op die router PBR instellen om het traffic met een bepaald source address over een andere gateway te routeren (wat jvanhambelgium zegt). Andere optie is 192.168.x.x in een ander "VR" te hangen op je switches en al het "WAN" traffic naar een andere router (met andere ISP) te sturen. Hangt allemaal af van je setup wat voor mij nu nog niet helemaal duidelijk is. Makkelijkste lijkt mij PBR gebruiken op de "internet router" indien mogelijk.

Vlans L2 doorzetten naar je firewall en ze daar in een zone hangen en routeren ?

[ Voor 15% gewijzigd door mash_man02 op 29-01-2020 22:31 ]

rdfeij schreef op zaterdag 1 februari 2020 @ 19:31:
Dat zou een oplossing zijn. Maar we willen niet onze router "misbruiken" om al het interne verkeer te routeren. Dat zou inhouden dat alle server <-> client verkeer onder andere ook hier gerouteerd wordt. Dat is niet onze bedoeling. Dat willen we binnen de L3 switch houden.

Sommige typen firewall's doen dat in hardware waardoor ze dat net zo snel kunnen als L3 switches.

rdfeij schreef op zaterdag 1 februari 2020 @ 19:31:
[...]
De 2 default gateways hebben geen relatie met elkaar.
het gehele 10 subnet bestaat al en wordt zoals aangegeven op de L3 core ook gerouteerd. Indien geen routering dan naar default gateway van de core. Daar hangt een pfsense router/firewall

Het 192. subnet is nieuw en bij te voegen op dezelfde core maar heeft een ANDERE default gateway (fysiek andere pfsense) nodig.
Ook dit subnet zal diverse vlan's krijgen welke door de L3 switch gerouteerd worden. Met ACL's worden 10. en 192. gescheiden. Deze mogen onderling geen routeringen hebben.
Vanwege veiligheidsoverwegingen mogen ook de 2 routers onderling geen communicatie hebben. PBR lijkt me dan geen optie.
[...]

Heb even de handleiding van je product diagonaal bekeken en veel opties zijn er eigenlijk niet hoor indien je L3 echt op die Zyxel wil koppelen/termineren. Ik denk dat PBR nog steeds prima kan, ondanks je "vanwege veiligheidsoverwegingen" claim.
Dit product doet helaas geen zaken als VRF (lite) ofzo om de routings strikt te scheiden ipv met 1 routing-table te werken.


Maak op je alternatieve/nieuwe upstream router/firewall een interface in de 192.168.x.y en zorg dat deze tot op de Zyxel komt dmv van VLAN of fysiek poort en geef die 192.168.x.254
Op de Zyxel maak je dan vb een L3-interface 192.168.x.1

Feit dat je doorheen je netwerk verschillende VLAN's heb ook in de 192.168.x.y maakt niet uit. Je gaat/moet de nodige L3-interfaces toch aanmaken voor elk van die 192.168.x.y VLAN's als je die op de L3-core wil verwerken/consolideren.

Maak dan 1 PBR "classifier" aan (ik zie in de handleiding dat je behoorlijk wat triggers kan ingeven. Je kan hier een L3 source-IP/prefix combinatie ingeven (vb 192.168.0.0 1.1.0.0 denk ik, dus alles 192.168.dontcare.dontcare)

Nu nog een PBR "rule" met actie next-hop = 192.168.x.254 en dat stuk is al klaar.

Nu ... de security ... "de routers mogen geen onderling communicatie hebben" ga je toch enigzins moeten bijstellen/anders interpreteren. (wat is "communicatie" hé)

Wat je wel kan doen is goed filteren en zorgen dat het ENIGE verkeer dat richting de andere gateway op 192.168.x.1 gaat enkel komt van clients in het 192.168.x.y aangezien er niemand anders hoeft te zijn.

1) Filter zetten (egress) op de link richting de default gateway op 10.10.x.x dat je alle verkeer source 192.168.x.y dropped
2) zien dat je L2 protocolletjes qua discovery etc kan afzetten voor de interfaces naar de alternatieve gateway voor de 192.168.x.y clients.
3) Filter (egress) opzetten op de link richting alternatieve gateway waar je alles verkeer dropped met source NOT 192.168.x.y. Daar hoort dus enkel verkeer met source 192.168.x.y thuis.

rdfeij schreef op dinsdag 28 januari 2020 @ 11:39:
Nu willen we 2 netwerken samenvoegen. Er komen dus vlan's bij in het 192.168.x.x subnet.
Deze vlan's worden d.m.v. acl's afgeschermd van het 10 subnet.

Als je die hele 192 reeksen nou eens alleen op laag 2 door de switches laat afhandelen? Pfsense als default gateway. Heb je ook meteen een betere scheiding dan met acls en in essentie een simpelere opzet dus ook minder kans op fouten.

anboni schreef op zondag 2 februari 2020 @ 10:01:
[...]


Als je die hele 192 reeksen nou eens alleen op laag 2 door de switches laat afhandelen? Pfsense als default gateway. Heb je ook meteen een betere scheiding dan met acls en in essentie een simpelere opzet dus ook minder kans op fouten.

Dat is idd het eenvoudigste zijn, maar er zal een reden zijn dat vraag expliciet was om L3 terminatie op de coreswitches te doen. Verleg je het L3 punt naar vb Firewall moet je ook zorgen dat die high-available is.
Deze Zyxel stack is hoogste waarschijnlijk een L3 HA-oplossing (niet voor niets de L3 core switch)

rdfeij schreef op zaterdag 1 februari 2020 @ 19:31:
Het 192. subnet is nieuw en bij te voegen op dezelfde core maar heeft een ANDERE default gateway (fysiek andere pfsense) nodig.
Ook dit subnet zal diverse vlan's krijgen welke door de L3 switch gerouteerd worden. Met ACL's worden 10. en 192. gescheiden. Deze mogen onderling geen routeringen hebben.
Vanwege veiligheidsoverwegingen mogen ook de 2 routers onderling geen communicatie hebben. PBR lijkt me dan geen optie.

Dan horen die 2 netwerken ook niet aan mekaar te hangen, behalve via hun gateways.
Dus ofwel los je het op met VRF's die beide een gateway naar een andere pfsense hebben, ofwel zet je een aparte L3 op voor de 192.168.0.0/16 netwerken.