transparant firewall - Netwerken

maandag 10 januari 2005 17:04

Acties:

Verwijderd

Topicstarter

beste GoT'ters,

ik heb het volgende probleem dat waarschijnlijk redelijk eenvoudig te verhelpen is, maar ik weet het niet zeker, dus vandaar mijn vraag.

de situatie is alsvolgt:
we hebben in ons bedrijf een zaal waar laptops vrij mogen inpluggen. om het laptopverkeer enigzins in te perken is er een transparante firewall geinstalleerd die enig portfiltering doet.
de firewall heeft een maand mooi gewerkt maar nu klaagt de beheerder van de 2e cisco router over vlan warnings.

de hardware situatie:
er zijn hier 2 cisco switches, 1x onder eigen beheer, en 1x onder beheer van een andere instantie.
de transparante firewall heeft 2 NICs, 1x in VLAN xx en 1x in VLAN yy. en hier komt het probleem: 1 NIC zit in onze switch (VLAN xx) en de andere in de andere switch (VLAN yy).
de laptopzaal heeft alle patches verbonden met onze eigen switch, in VLAN xx.
verder is er ook nog een wireless AP, ook in VLAN xx.

het idee van de transparante firewall was dus, dat alle verkeer van de laptoprange via NIC1 gefilterd naar NIC2 gaat, en andersom. De beheerder van de 2e switch klaagt nu echter dat er buffer overflows komen in de switch omdat de trunk tussen de beide switches OOK gebruik maken van VLAN xx.

ik mag niet zelf zomaar een VLAN kiezen. dat moet allemaal officieel.

enfin: hier zijn mn bedenksels om de andere beheerder tevreden te stellen zonder allemaal dure oplossingen te moeten aanschaffen:

1. omdat er momenteel 2 kabels lopen van switch1 naar switch2 is er een loop gecreeeerd. dus: verbind NIC2 dan ook maar met switch2, maar dan in ander VLAN yy.
werkt dit ?

2. ga zeuren totdat we een VLAN krijgen wat echt totaal ongebruikt is, en laat NIC1 in switch1, en NIC2 in switch2.

3. laat de IPrange van de laptopzaal niet in een door ons toegewezen subnet zitten, maar in een private subnet (192.168.a.b dus). xx VLAN toewijzen aan de patches, en firewall ertussen. klaar ?

wat is jullie mening ?

het gaat trouwens om een CISCO 4006 en een CISCO 4506. en de firewall is een machine met SuSe erop, configged als transparent firewall (dus lvl2 bridge).

maandag 10 januari 2005 18:09

Acties:

reddog33hummer

Dat schept mogelijkheden

Verwijderd schreef op maandag 10 januari 2005 @ 17:04:
we hebben in ons bedrijf een zaal waar laptops vrij mogen inpluggen. om het laptopverkeer enigzins in te perken is er een transparante firewall geinstalleerd die enig portfiltering doet.
de firewall heeft een maand mooi gewerkt maar nu klaagt de beheerder van de 2e cisco router over vlan warnings.

de hardware situatie:
er zijn hier 2 cisco switches, 1x onder eigen beheer, en 1x onder beheer van een andere instantie.
de transparante firewall heeft 2 NICs, 1x in VLAN xx en 1x in VLAN yy. en hier komt het probleem: 1 NIC zit in onze switch (VLAN xx) en de andere in de andere switch (VLAN yy).
de laptopzaal heeft alle patches verbonden met onze eigen switch, in VLAN xx.
verder is er ook nog een wireless AP, ook in VLAN xx.

het idee van de transparante firewall was dus, dat alle verkeer van de laptoprange via NIC1 gefilterd naar NIC2 gaat, en andersom. De beheerder van de 2e switch klaagt nu echter dat er buffer overflows komen in de switch omdat de trunk tussen de beide switches OOK gebruik maken van VLAN xx.

ik mag niet zelf zomaar een VLAN kiezen. dat moet allemaal officieel.

enfin: hier zijn mn bedenksels om de andere beheerder tevreden te stellen zonder allemaal dure oplossingen te moeten aanschaffen:

1. omdat er momenteel 2 kabels lopen van switch1 naar switch2 is er een loop gecreeeerd. dus: verbind NIC2 dan ook maar met switch2, maar dan in ander VLAN yy.
werkt dit ?

2. ga zeuren totdat we een VLAN krijgen wat echt totaal ongebruikt is, en laat NIC1 in switch1, en NIC2 in switch2.

3. laat de IPrange van de laptopzaal niet in een door ons toegewezen subnet zitten, maar in een private subnet (192.168.a.b dus). xx VLAN toewijzen aan de patches, en firewall ertussen. klaar ?

wat is jullie mening ?

het gaat trouwens om een CISCO 4006 en een CISCO 4506. en de firewall is een machine met SuSe erop, configged als transparent firewall (dus lvl2 bridge).

De 2 utp kabels zoals jij ze beschrijft is een trunk. Dus hier heb je geen rondsingeling.
Tenzij de suse bak als repeater hebt ingesteld zou dit geen probleem moeten zijn.

De suse bak zou als het goed is is gewoon zaken moeten routeren.
Deze maakt dus een keuze welk VLAN hij moet gebruiken.
Wat dat dus geeft is dat laptops in VLAN(YY) en VLAN (XX) zitten te spelen. Dat komt omdat als die suse back pakketten van de laptops via vlan(YY) of (XX) weg kan sturen. Ik kan me niet voorstellen dat VLAN(XX) hier voor bedoeld was. volgensmij als je de poorten die je clients hebben in VLAN(YY) zet en de onderlinge communicatie tussen de switches VLAN(XX) laat zijn je ook minder problemen hebt.

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

maandag 10 januari 2005 18:14

Acties:

reddog33hummer

Dat schept mogelijkheden

reddog33hummer schreef op maandag 10 januari 2005 @ 18:09:
[...]

De 2 utp kabels zoals jij ze beschrijft is een trunk. Dus hier heb je geen rondsingeling.
Tenzij de suse bak als repeater hebt ingesteld zou dit geen probleem moeten zijn.

De suse bak zou als het goed is is gewoon zaken moeten routeren.
Deze maakt dus een keuze welk VLAN hij moet gebruiken.
Wat dat dus geeft is dat laptops in VLAN(YY) en VLAN (XX) zitten te spelen. Dat komt omdat als die suse back pakketten van de laptops via vlan(YY) of (XX) weg kan sturen. Ik kan me niet voorstellen dat VLAN(XX) hier voor bedoeld was. volgensmij als je de poorten die je clients hebben in VLAN(YY) zet en de onderlinge communicatie tussen de switches VLAN(XX) laat zijn je ook minder problemen hebt.

Meerdere mogelijkheden,

Ik quote even mezelf omdat zodra ik deze post opvraag react denkt dat ik uitgelogd ben (en dus niet kan editen) [rml][ pns] uitgelogd bij bekijken eigen post[/rml].

Ik zie net staan dat je de suse bak hebt geconfigureerd als bridge. Hierbij heb je dus een repeater gemaakt. De ethernet frames worden gewoon van vlan XX afgehaald en naar VLAN YY gecopieerd. Maak van die suse bak een gewone router.

[ Voor 3% gewijzigd door reddog33hummer op 10-01-2005 18:20 ]

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

maandag 10 januari 2005 20:05

Acties:

Verwijderd

Topicstarter

er zit dus al een trunk tussen de beide switches. zal wel fiber zijn, maar dat is niet onder ons beheer.

we beheren maar 1 switch, met daarin 5 blades. en op tig van die ports op die switch zitten patches voor laptops aangesloten (mooi in een groepje weliswaar).

dus, helemaal zonder mn bridging firewall zitten mn laptops theoretisch in a.b.91.100 tot 91.150, en ook nog eens in VLAN 91.

nu wil ik mn laptopconnecties scheiden van het LAN, en het verkeer van de laptops via een extra bij te zetten firewall laten lopen. die firewall is mijn gefröbel: een bridging firewall met 1 NIC in vlan 91, en 1 NIC in VLAN 300 ofzo. alle laptops dan ook in VLAN 300. beide utp kabels echter in in dezelfde switch dus. dit mag toch, als ze in verschillende VLANs zitten ?

het gaat zeker verkeerd in mijn situatie omdat ze me een VLAN ID hebben gegeven waar ook de echte trunk gebruik van maakt, toch ?

ik begrijp uit je bovenstaande post dat ik van mn transparante firewall een echte router moet maken. persoonlijk heb ik echter liever, dat die hele firewall niet zichtbaar is in bijv. een traceroute, en zelfs geen IP heeft. dit moet toch mogelijk zijn ?

maandag 10 januari 2005 20:39

Acties:

ijdod

Wat je wilt is vrij duidelijk, wat me niet geheel duidelijk is, is hoe je een en ander nu exact aan elkaar geknoopt hebt.

Waarom zit de transparante firewall (in essentie een layer 2 apparaat) op jouw switch in vlan xx en op de andere in vlan yy? Normaal gesproken zou je verwachten dat dit beiden xx (of yy) zou zijn, en dat xx (of yy) op de trunk tussen beide switches niet wordt doorgegeven.

Root don't mean a thing, if you ain't got that ping...

maandag 10 januari 2005 22:00

Acties:

Verwijderd

Topicstarter

eens kijken of ik dit kan verduidelijken.

Afbeeldingslocatie: http://www.rijsdam.com/setup.gif

in de oude situatie zat alles waar nu lijntjes heenwijzen in VLAN x, behalve NIC2. die zat in VLAN z. (vanaf hier, z vergeten)

NIC1 en NIC2 behoren bij een server die we nog over hebben, en die ik ingericht heb als firewall. en het idee eigenlijk is, dat het uiteindelijk een bridging firewall wordt maar eerst nog even verder beschrijven.

de AP en de laptop patches zitten in VLAN x, allemaal in hetzelfde subnet, maar nu wil ik ze scheiden van de rest van de servers en machines die ook in dat subnet zitten, door ze in een apart VLAN te stoppen (y dus).
mijn idee was dus, om AP en laptoppatches in VLAN y te stoppen, en een bridge te maken tussen VLAN x en VLAN y dmv die mooie transparante firewall.

---------------------------------

dit heeft een maand mooi gewerkt.
tot vandaag zat namelijk NIC2 in het testblokje, in VLAN y, en NIC1 op zn oude plek (in VLAN x dus, op de switch die we niet beheren).
nu blijkt dus, dat VLAN y ook gebruikt wordt in de trunk die al tussen 4006 en 4506 zit.

is mn probleem te verhelpen door:
1) NIC1 connectie te verplaatsen naar mn testblokje, maar dan ook in VLAN x ?
2) omdat VLAN y al in de trunk gebruikt wordt, een heel nieuw VLAN aan te vragen ?
3) omdat een van mn subnetten (xxx.xxx.91.0/255.255.255.0) dus opgedeeld wordt door VLAN x en VLAN y, misschien toch ipv alles in VLAN y te stoppen, een private subnet aanmaken (192.168.1.0/255.255.255.0) en daar dan wat mee knoeien ?

dinsdag 11 januari 2005 12:24

Acties:

reddog33hummer

Dat schept mogelijkheden

Verwijderd schreef op maandag 10 januari 2005 @ 20:05:
ik begrijp uit je bovenstaande post dat ik van mn transparante firewall een echte router moet maken. persoonlijk heb ik echter liever, dat die hele firewall niet zichtbaar is in bijv. een traceroute, en zelfs geen IP heeft. dit moet toch mogelijk zijn ?

Ik kan begrijpen dat je dit wil hebben omdat ze dan op die server niet in kunnen breken.
Bedenk wel dat deze server ze toch wel heel snel gevonden hebben met een sniffer.
Als je het gewoon routeerd geeft dat wel een duidelijkere structuur aan je netwerk. Ook de broadcasts die binnen het netwerk zitten komen dan ook niet bij de laptops (hares enzo).

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

dinsdag 11 januari 2005 14:34

Acties:

Verwijderd

Topicstarter

de transparency reden is: geen IP betekent geen mogelijkheid om remote in te loggen.
ik wou ook de rest van mn servergedeeltes redelijk hetlzelfde laten. dhcp ranges/server enzovoort, domain policies ..

op de firewall wil ik uiteindelijk buiten alleen firewall rules ook een soort authenticatie hebben (gebaseerd op radius en ldap, systeem werkt dus ook al), met een mooie webpagina waar onbekende laptops geredirect worden en zich kunnen authenticaten).

de switches kunnen dus ook al authenticeren mbv 802.1x via radius maar dan kom ik in de knel met de (cheapo) WLAN aansluiting (radius op MAC basis .. we hebben 25000 potentiele laptopgebruikers en om handmatig al die MACs in te voeren, nou nee).. een restrictie van authenticatie van een multiport op mn 4006 switch is dat zodra 1 connectie authenticated is, de volgende connecties ook allemaal authenticated worden .. en zodra de authenticated connectie wegvalt wordt iedereen via die port erafgeknikkerd.

maar ja, misschien zal ik er wel een router van maken.

bedankt voor je input.

dinsdag 11 januari 2005 21:45

Acties:

Verwijderd

Topicstarter

ok, probleem denk ik opgelost.

momenteel steken beide UTP kabels van de firewall in het 'testblokje' (zie plaatje). 1x in VLAN x en 1x in VLAN y. alle flaptops in VLAN y, en rest van het subnet in VLAN x, klaar.

ik dacht zo bij mezelf, dat het wel zou liggen aan het feit dat er al een trunk tussen de beide switches zat, en mn bridging firewall dus eigenlijk een 2e trunk zou zijn, wat natuurlijk niet mag.

nu maar afwachten of de buffers weer gaan vollopen.

Pagina: 1

Reageer