Hi,

also ich zerbrech mir seit guten 2Std. den Kopf über ein Netzwerk.
Ich möchte folgendes Netz aufbauen und wollt mich nur nochmal bei
weiteren Personen absichern, da es ja schnell mal zu Denkfehlern kommt
und ich das ganze auch schon ne Weile nimmer gemacht habe.

Netzaufbau:

Gateway / Firewall: 192.168.0.1/21 (255.255.248.0) VLAN ID:10

Netz1: WLAN Netz 192.168.1.1/24 (255.255.255.0) VLAN ID:20
Netz2: Rechner Netz 192.168.0.1/24 (255.255.255.0) VLAN ID: 10
Netz3: Telefon Netz 192.168.2.1/24 (255.255.255.0) VLAN ID:30
Netz4: Server Netz 192.168.3.1/24 (255.255.255.0) VLAN ID:40
Netz5: VPN Netz 192.168.4.1/24 (255.255.255.0) VLAN ID:50

Die Firewall routet alle Daten durch die versch. Netze und macht auch DHCP für die einzelnen Netze.

Würdet ihr die Subnetmaske generell auf 255.255.248.0 stellen?
Eigentlich sollte die Kommunikation zwischen den einzelnen VLAN's ja
funktionieren, der Switch kann das ja verwalten und die Firewall routet zwischen den einzelnen Netzen.

Hab ihr irgendwelche Tipps, hab ich Denkfehler? Is glaube auch zu soät für son Kram :)

Wie würdet ihr ein solches Netz planen (VLAN muss sein)?

Danke, gut Nacht
Gruß

Hawky

Macht die das wirklich ist die Frage...
Da müsste sie ja auch irgendwie eine IP in jedem Netz haben...

Mhm, generell o.k. aber ich finde das Vlan übertrieben.
Was für ne Firewall solls denn sein?
Die kommt da ganz sicher stark zum schwitzen.

mfg dreas

@Haarmann
Naja die firewall hat ne 21 bit maskierung, daher, sollte sie in der Lage sein in die einzelnen Netze zu gelangen.

@dreas
Naja ich mein du teilst mit VLAN's ja ein großes in mehrere kleine Netze.
Ich kann ja alles 21bit maskieren und nur die VLAN's zu teilung nutzen.

firewall sollte das können, 1HE Server mit Dual XEON

Hawky

Tja also das Problem ist einfach...
Die Firewall wird die Clients sehen bei der Maske, aber für die VLANs hast die Maske auf 24 Bit gesetzt -> die sehen die Firewall ned.

:P

Siehste ich wusste da is nen Denkfehler drin :), deswegen hab ich gefragt ^^

Klar is ja auch unlogisch, einfach ein ganzes 21bit Maskiertes netz bauen, dass dann mit VLANs unterteilt wird und fertig is der Schuh.

Muss nur schauen wie ich das mit dem DHCP gerissen bekomm, weil für jedes VLAN ein DHCP is doof, im schlimmsten Fall einfach DHCP-Relay in das jeweilige Netz ... ma recherchieren ^^

Hawky

Dank den VLANs kannst ja auch mit einem Subnetz leben...
Es sei denn Du willst, dass gewisse Dienste von VLAN A auch im VLAN B zu sehen sind.

Jo eben ich unterteil mein netz ja mit den VLANs somit kann ich mit einem großen subnetz leben.

Das mit den diensten ist so eine Sache, Email z.B. wollte ich eigentlich ins Servernetz stellen.

Aber eigentlich sollte ich ja über den Router von einem VLAN isn andere kommen?

Hawky

Wie soll der Router im selben Subnetz wissen, dass er jetzt routen muss, weil das VLAN sperrt?

Von daher war der Ansatz mit den kleinen Subnetzen besser, aber dann muss die Firewall auch in jedem Subnetz eine IP haben und entsprechend DHCP sein.

auch wieder wahr...scheiße man vergisst einfach zuviel wenn mans lang nicht gemacht hat.

Hawky

Dafür merkt mans ja wenigstens schnell, wenns dann nicht geht...

Es gibt ansonsten noch die Lösung, Du hast ja keine public IPs intern, dass Du auf die äussere IP verbindest, allerdings gehen da nur die Dienste, die von Aussen auch zu sehen sind.