WinFuture-Forum.de: Unterstützung bei Systemumsetzung gesucht :) - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
Seite 1 von 1

Unterstützung bei Systemumsetzung gesucht :)


#1 _Member_ZERO_

  • Gruppe: Gäste

geschrieben 16. März 2013 - 00:33

Hallo,

ich habe ein eher spezielles Anliegen. Im Haus meiner Ellis soll eine Fire hin. Zur Zeit ist es wie folgt.

Im OG wird eine Steckdosenleiste eingeschaltet. Ist dies der Fall, so soll das Internet betriebsbereit geschaltet werden. Da der Internetanschluss mit NTBA und Splitter im Keller ist, wurde auch Router/Modem im Keller installiert. Dieser wird über eine TP-Link Lösung über POE gespeist und mit dem Einschalten der Steckdosenleiste im OG eingeschaltet. Vom Router im Keller gehen dann 3 Leitungen weg:

1. wieder ins Obergeschoss -> POE/LAN Funktion
2. ebenso OG
3. EG -> MediaCenter

Jetzt ist es aber so, dass noch die Fire zwischen Router im Keller und den Verteilungen muss.

Leider reichen die 12Watt, die die POE Anlage max. speisen kann nicht aus, um die FW als auch die Router/Modem Kombination zu versorgen, auch soll die FW nicht durch eine Stromunterbrechung abgeschaltet werden, da dies zu Datenfehlern auf Flash Speichern führen kann.

Nun meine grundlegende Frage:

Kann ich die FW einfach an den Router anschließen, den DHCP des Routers deaktivieren und die Aufgabe der FW zu teilen, sodass die FW dem Router eine statische IP gibt bzw ich dem Router eine geben werde und den anderen Geräten im Netz dynamisch eine IP vergeben wird und diese trotzdem den Traffic über die FW schicken? Hier würde auf der FW nur ein green existieren, doch müsste der Proxy, als auch ClamAV zwischen allen Teilnehmern auf green funktionieren, damit die FW überhaupt zu trage kommt. Ist das möglich.

Ich hoffe man konnte verstehen, was ich vorhabe.

Da der Router dank dd-wrt einen WOl deamon hat, möchte ich nach dem Start des Routers eine IP Steckdose zuschalten, die dann die FW startet. Die FW pingt dann immermal den Router und wenn dieser aus ist, schaltet die FW aus. In wie weit die IP Steckdose dann die FW pingen kann (bzw für ein genaues abschalten müsste ein Ping für Router und FW als Abschaltbedingung gesetzt werden, damit die Steckdose nicht gleich beim Start der FW wieder abschaltet :)) und abschaltet muss ich noch in Erfahrung bringen. Vll. können die heutigen IP Steckdosen ja sowas.

So klingt alles recht kompliziert und ich finde die Umsetzung auch recht gewöhnungsbedürftig, doch es sollte so möglich sein?

Wenn die Funktion der FW nur über green nicht realisiert werden kann funktioniert die gesamte Sache schon so nicht mehr und cih müsste auf 2 Subnetze zurückgreifen, was aber mit dem Router -> Switch bei abgeschaltetem DHCP und einer zusätzlichen LAn Karte der FW machbar sein sollte.

Vll. weiß aber einer eine einfachere, elegantere Lösung :).

Angehängtes Bild: Unbenannt.jpg

Viele Grüße

MZ
0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.889
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 16. März 2013 - 00:45

Was denn für eine FW genau? Oder hab ich das nur übersehen? Dann sorry.

Idealerweise übernimmt eine FW keine weiteren Aufgaben. Wo der DHCP-Server steht, ist ohnehin egal, solange wie nur einer vorhanden ist.

Die FWs, die ich so kenne, sind allerdings transparent im Netzwerk - haben keine eigene IP und existieren daher so nicht. Der Traffic wird da einfach physisch durchgereicht (LAN-Port in/LAN-Port out).

Mglw ist das bei Dir aber anders.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 _Member_ZERO_

  • Gruppe: Gäste

geschrieben 16. März 2013 - 01:13

Ah sorry hab das aus dem IP Fire Forum mit C/P einfach mal mit hier reingehauen :D.

Es handelt sich also um IPFire.

Genau es ist an sich ein transparenter Proxy und da sehe ich auch das Problem. Eine IP hat die FW schon, denn ich kann den transparenten Proxy auch ausschalten und so muss ich die IP der FW mit Port angeben (bei den Klienten), damit diese überhaupt noch raus kommen. Sowas macht sich allerdings bei mobilen Geräten auf Dauer unpraktisch, vor allem da auch unerfahrene Nutzer in meiner Familie zu Hauf angesiedelt sind :(.

Meine FW stellt den DHCP, Proxy, OpenVPN und ClamAV sowie SquidAV.

Naja da die Klienten alle über die FW kommunizieren sollen, muss diese schon den DHCP bereit stellen, damit der Gateway usw nicht der Router, sondern die FW sind :). Sonst ist die FW ja nutzlos.

Deine Aussage: "Der Traffic wird da einfach physisch durchgereicht (LAN-Port in/LAN-Port out)." klingt plausibel. OK dann komm ich um eine 2. LAN Karte an der FW nicht herum, doch das ist nicht schlimm.

Ich hab mal die Steckdose ALLNET ALL3075V2 ins Auge gefasst. Diese kann, wenn sich meine FW automatisch abgeschalten hat, wenn der Router aus ist, nach einer gewissen Haltezeit auch die Stromversorgung zur FW kappen, so wie ich es möchte, doch gibt es da auch günstigere Alternativen? 120€ sind schon ein starkes Stück. Ob die Steckdose den Ausgang mittels eine WOl Befehls aktiv setzen kann hab ich mal beim Hersteller angefragt. Wenn ja, ist sie eine mögliche Lösung.

Aber noch eine wichtige Sache: Macht der Router folgendes mit, da keine VLAN Unterstützung vorliegt:

Der Router hat einen 4 Port Switch und keine Aktiven DHCP -> gebe dem eine IP zBsp 192.168.0.100 im Subnetz 255.255.255.0. Nun hänge ich an den 1. Switch Port die FW -> Port in. Dieser NIC gebe ich die IP 192.168.0.200 im Subnetz 255.255.255.0. Die 2. NIC der FW schließe ich an den 2. LAN Port des Routers/Switches an mit der IP 192.168.1.1 im Subnetz 255.255.255.0. Über diese Schnittstelle geht dann der DHCP. An den anderen freien Ports des Routers/Switches liegen nun die anderen Klienten, welche via DHCP die Konfig Daten bekommen möchten.

Funktioniert das so? Die beiden Subnetze sollten sich ja nicht sehen können.

ABER: Ich habe die Befürchtung, da Port 1 und 2 des Routers/Switches ja physisch gekoppelt sind, der DHCP der FW ggf. ärger mit der IP Vergabe des Routers selber und dem "LAN-Port in" der FW macht. Meines Verständnisses nach sollte das zwar nicht passieren können, da Subnetzbegrenzung, doch vll liege ich falsch.

Hab so eine Verzweigung noch nie gehabt :D.

Edit: zum besseren Verständnis kurz und knapp:
Ziel ist es das Inet im Keller gerätefreundlich ein- und auszuschalten.
Als jemand will ins Netz und schaltet im OG die Steckdosenleiste ein:
-> Router im Keller geht an
-> Router schickt ein WOL Package an die IP Steckdose
-> IP Steckdose schaltet Ausgang ein
-> Firewall startet
Keiner will mehr ins Netz und Steckdosenleiste im OG wird ausgeschaltet
-> Router geht aus
-> FW checkt zyklisch via IP Ping, ob der Router noch an ist
-> wenn Router aus FW schaltet ab
-> IP Steckdose testet zyklisch, ob die FW noch an ist
-> ist FW aus, schaltet die Steckdose den Ausgang inaktiv

So solls sein :D.

Dieser Beitrag wurde von Member_ZERO bearbeitet: 16. März 2013 - 01:21

0

#4 Mitglied ist offline   RalphS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.889
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 16. März 2013 - 01:47

Also *idealerweise* wär es so:

- Du konfigurierst den DHCP so, daß dieser die FW-IP als Gateway verteilt (statt sich selber).

- Oder Du konfigurierst die FW transparent. Sämtliche Server runter davon und, wenn möglich, zwischen Inet-In und Router hängen. Geht das nicht, wird transparenter Betrieb wohl nicht möglich sein (meines Erachtens).

- Router sendet ein Magic-Packet (oder eine Sequenz) an die Firewall on-shutdown. Dies schaltet die FW ab.
- Selbes kann die FW mit der IP-Dose tun, wenn diese über LAN ausgeschaltet werden kann.

### WARNUNG! ### Dies ist eine Sicherheitslücke - zumindest eine potentielle. Aber das ist jeder übers Netz mögliche Befehl, der die FW beeinflußt.

Und wie erwähnt, alle Services-die-nicht-Firewall-heißen runter von der FW-Hardware. Das sind alles Sicherheitslöcher für die Firewall. Und wenn das transparent laufen soll, würden sie gar nicht erst funktionieren.


Subnetzkonfiguration reich ich mal weiter. Allerdings riecht mir dieses Loopback etwas verdächtig... ob das so funktioniert? :huh:

Kleiner nitpick: Das Subnetz ist natürlich 192.168.0.0/24 bzw. 192.168.0.0/255.255.255.0 (bzw. -1- für das zweite). 255.255.255.0 ist die Netzmaske. :)
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 _Member_ZERO_

  • Gruppe: Gäste

geschrieben 16. März 2013 - 02:26

Beitrag anzeigenZitat (RalphS: 16. März 2013 - 01:47)

Also *idealerweise* wär es so:

- Du konfigurierst den DHCP so, daß dieser die FW-IP als Gateway verteilt (statt sich selber).

- Oder Du konfigurierst die FW transparent. Sämtliche Server runter davon und, wenn möglich, zwischen Inet-In und Router hängen. Geht das nicht, wird transparenter Betrieb wohl nicht möglich sein (meines Erachtens).

So wie es ausschaut ist für die FW definitiv ein red und green, also separates Netz für Inet und LAN erforderlich. Da ich einen transparenten Proxy brauche, wirds wohl wie oben beschrieben werden, dass beide NICs der FW am Router hängen. Btw der Router muss die 1. Schnittstelle sein, da sich dieser einloggt -> integriertes Modem. Ich hoffe nur, dass der Switch im Router mit den beiden Subnetzen keinen Ärger macht.

Beitrag anzeigenZitat (RalphS: 16. März 2013 - 01:47)

- Router sendet ein Magic-Packet (oder eine Sequenz) an die Firewall on-shutdown. Dies schaltet die FW ab.
- Selbes kann die FW mit der IP-Dose tun, wenn diese über LAN ausgeschaltet werden kann.

Wenn der Router mir nichts dir nicht abgeschaltet wird (Strom weg), kann er nix mehr schicken -> geht also nicht :). Daher stellt der Betriebszustand des Routers auch die Ausschaltbedingung der FW dar. ist bei mir hier auch schon so und funktioniert hervorragend.
Da die IP Steckdose selber Ausschaltbedienungen unterstützt, braucht die FW nix schicken und selbst wenn sie das würde, müsste die IP Steckdose eine Haltezeit haben, da sonst die FW sofort ausgeschaltet werden würde, ohne dass diese sich herunter fahren könnte und das darf nicht sein.

Beitrag anzeigenZitat (RalphS: 16. März 2013 - 01:47)

### WARNUNG! ### Dies ist eine Sicherheitslücke - zumindest eine potentielle. Aber das ist jeder übers Netz mögliche Befehl, der die FW beeinflußt.

Und wie erwähnt, alle Services-die-nicht-Firewall-heißen runter von der FW-Hardware. Das sind alles Sicherheitslöcher für die Firewall. Und wenn das transparent laufen soll, würden sie gar nicht erst funktionieren.

Sind sowieso Bestandteil des Firewall Systems und können nicht ausgelagert werden, da keine weiteren Geräte zum Einsatz kommen können -> sonst mehr Probleme mit der Versorgung sowie automatisierter Zuschaltung. Die Dienste funktionieren bei mir zu Hause ganz normal mit transparentem Proxy.

Dieser Beitrag wurde von Member_ZERO bearbeitet: 16. März 2013 - 02:30

0

#6 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.701
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 16. März 2013 - 07:57

Macht du das alles wegen Strom sparen?

Eine Firewall, hat im Normalfall immer mehr wie eine NIC. Das was du da beschreibst, heißt z. B. bei MS "Single Network Adapater". MS ISA und TMG können so eine Konfiguration. In der Natur der Sache liegt es nämlich, dass dann viele "Funktionen", will man sie so nennen, nicht funktionieren können. Sowas macht man, wenn überhaupt nur, zum Forwarden im LAN oder als einfacher Cache.

Eine "transparente Firewall", greif ich diesen Begriff mal auf, kenne ich nicht, weil maßgeblich IP kommunizieren (Layer 3).

Im Großen und Ganzen finde ich die Idee des Projektes schon auffällig. Ich würde mir noch mal Gedanken machen, was da alles soll, auch würde ich mir genau überlegen, was der tiefere Sinn einer "Firewall" ist und was ich mit SquidAV und ClamAV erreichen will und was auch nicht damit erreicht werden kann.

Wenn du mehr Werkzeuge suchst, wie IPCop oder IPFire bieten, dann ist pfSense eine Blick Wert.

Bei deinem Budget für, aus meiner Sicht unnütze und fehleranfällig Hardware, habe ich einen Rat für dich.

Kaufe dir bei ebay, eine alte Watchguard mit ein paar Ports mehr und mache wenn dir der Funktionsumfang nicht reicht, dort die pfSense drauf. Dann lese dich mal noch in das Thema PoE powered Switch ein. Sowas z. B. http://z2z-hpcom-sta...ries/index.aspx
Admin akbar
0

#7 _Member_ZERO_

  • Gruppe: Gäste

geschrieben 16. März 2013 - 11:53

Jo ist alle eine Frage des Verbrauchs, da bei meinen Ellis im Vergleich zu mir der Strompreis sehr hoch ist. So hat sich die unechte POE Lösung schon nach 4 Monaten ausgezahlt.

Die Firewall dienst später als TV Recorder, Mail Server, usw...

Ne Quark, lässt sich aber heute alle mit damit machen, was ich auch falsch finde. Bei mir soll das Teil als Zwischenfirenscanner funktionieren, was bei mir super funktioniert. Auch soll ein URL/IP-Filter mit Blacklists für Spam/Fishing und die ganzen bösen Sachen zum Einsatz kommen, was bei mir auch schon der Fall ist und bestens funktioniert.

Das OpenVPN soll nur sein, damit ich sicher über RD auf die PCs im Netzwerk zugreifen kann, wenn meine Family mal Mist gebaut hat und vll. noch was zu retten ist.

Mehr Geräte möchte ich vermeiden, da wieder das Problem der Stromversorgung besteht. Ja die POE Lösung war damals die einzige Lösung, da ich annahm, dass keine erreichbare Steckdose im Raum sein -> woher sollte ich wissen, dass es an jedem HÜP für TV einen aktiven Verstärker in einem kleinen abgeschlossenen Schrank gibt, wo eine Steckdose ist :D.

Wie kannst du wissen, dass meine HW fehleranfällig ist, wenn du garnicht weiß, was ich für HW einsetze?

Oder meinst du die Allnet IP Dose? Ich hab bei eBay günstig einen Futro S550 gekauft und dieser soll die Aufgabe der FW übernehmen. Jede NIC braucht Strom und so soll nur so wenig wie möglich laufen.
0

#8 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.701
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 16. März 2013 - 11:59

Fehlerhäufigkeit? Ganz einfach Hardware n+1 und Anzahl der Start/Stop-Zyklen.

Was Spricht gegen eine Appliance die gleichzeitig eine Layer3 VLAN Router/Switch ist und dann die menge der PoE Switches die PoE-Powerd als auch PoE-Passtrough sind?

Einfacher uns sparsamer geht es nicht und du hast alle Profi-Features.
Admin akbar
0

#9 _Member_ZERO_

  • Gruppe: Gäste

geschrieben 16. März 2013 - 12:14

Hm ich weiß nicht genau was du meinst. Router/Modem muss ja schon fürs Inet bleiben und nach meiner Vorstellung hätte ich nur ein Gerät mehr -> FW (naja und die Steckdose halt, doch um die komme ich, wenn ich die Geräte bis auf die Steckdose im Keller spannungsfrei bekommen möchte, nicht herum).

Die Dinger werden max. 365x im Jahr ein bzw. ausgeschaltet. Wenn der Futro als Business Gerät sowas nicht verträgt, dann weiß ich auch nicht. Naja die Router/Modem Kombi ist eine Fritz! und bis jetzt hält sie 3 Jahre :).

Was meinst du jetzt mit POE Switches usw. Brauche ich doch nicht :unsure: ?
0

#10 _Member_ZERO_

  • Gruppe: Gäste

geschrieben 16. März 2013 - 13:21

Was mir gerade noch eingefallen ist:
Diese unechte "POE" Löung braucht ja auch 5Watt. Da kann ich auch einen kleinen Router ins OG stellen, welcher mit der Steckdosenleiste eingeschaltet wird und ein WOL Package in den Keller schickt und die Dose aktiviert.

Modem/Router + FW hängen nun an der Dose und werden eingeschaltet. Als Aussschaltbedingung für die gilt nun der Router im OG und als Ausschaltbedingung der Dose weiterhin die FW.

Problem an der Sache: ich hab nur einen Anschluss im OG.

Da würde mir dann nur sowas bleiben, da auch das Inet im OG anliegen muss: http://www.amazon.de...63436236&sr=8-3

Oder ein POE Router im OG, welcher auch nach dem Start WOL Packages schicken kann und halt ein POE betriebener Switch im Keller.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0