Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

Ajoutez un deuxième pare-feu à une connexion ISP avec plusieurs sous-réseaux?

Ma connaissance de routage est légèrement obsolète. J'ai une connexion Internet à fibre optique, comme ceci:

L'interrupteur géré est interrompu VLANS Pour un service réseau transparent, qui transmet également via le serveur fournisseur. Je pense que ce n'est principalement pas lié à ce problème, alors je l'ai exclu des diagrammes.

J'ai deux sous-réseaux / 29 (Sur l'exemple d'adresses de
https://tools.ietf.org/html/rfc5735
):

192.0.2.144/29 (.144-151) - principale. Notre porte d'entrée - 192.0.2.145, et l'adresse principale du pare-feu - 192.0.2.146.

203.0.113.88/29 (.88-.95) - Le deuxième sous-réseau qui n'a pas de passerelle et de routs par le fournisseur au premier (Je pense que c'est la partie où j'ai confondu).

Le pare-feu a toutes les adresses IP des deux sous-réseaux ajoutés à son interface. WAN, et effectue NAT Pour divers serveurs.

Maintenant, je veux ajouter un réseau séparé avec votre propre pare-feu en dehors de notre pare-feu et elle a besoin de sa propre adresse IP disponible publiquement, par exemple:

Je n'utilise toujours pas 203.0.113.94, Par conséquent, j'allais le supprimer des adresses supplémentaires sur le pare-feu existant et la transférer à un nouveau pare-feu. ... Mais cela ne fonctionnera pas, non? Il n'y a pas de passerelle dans son sous-réseau.

Ou je pourrais réorganiser les choses et lui donner une des adresses 192.0.2.144/29. Cela fonctionnera-t-il correctement et permettra aux deux réseaux de travailler normalement? Y a-t-il une meilleure façon de le faire?

Je pourrais joindre un nouveau pare-feu à l'existant s'il pouvait toujours avoir une vraie adresse IP publique et non NAT, Mais je ne sais pas s'il y a un moyen de le faire avec un pare-feu Watchguard. Il est probablement nécessaire de diviser davantage le sous-réseau et j'ai déjà presque terminé les adresses IP.

Le nouveau réseau devrait être notre laboratoire de test. (Pour que je puisse enfin arrêter de tester dans l'environnement de production!). Je ne veux pas que deux réseaux se parlent jamais, car ils auront un seul et même sous-réseau intérieur et des clones de machines de production. J'ai besoin d'un nouveau pare-feu pour avoir une adresse IP publique sans NAT.
Invité:

Hannah

Confirmation de:

Je pense qu'il sera préférable de contacter votre fournisseur Internet et de clarifier ce qu'ils vous donnent exactement avec le bloc 203.0.113.88/29. Il n'y a aucune raison de compliquer la situation en raison de l'incertitude de ces adresses IP.

Le scénario le plus parfait - Connectez-vous à cet interrupteur le deuxième pare-feu et donnez-lui une des adresses IP du réseau. 203.0.113.88/29 Avec la passerelle par défaut sur le même réseau.

Alice

Confirmation de:

Comment votre fournisseur peut voler 203.0.113.88/29 Dans votre réseau? Pour une raison quelconque, je doute que c'était le cas.

Si vous n'utilisez pas complètement votre réseau 192.0.2.144/29 (ou 203.0.113.88/29), Vous pouvez installer l'interface sur votre commutateur avec l'une des adresses IP de cette gamme. Je recommanderais d'utiliser 2 Adresses IP (si ils sont). Par exemple:

Switch1:

Interface FaX / X (Votre nouveau pare-feu est connecté ici.)

adresse IP 192.0.2.147 255.255.255.252!

Puis sur le nouveau pare-feu que vous avez mis

Interface X / X 192.0.2.148 255.255.255.252

Il clarifie votre besoin de passerelle par défaut, vous pouvez également mettre un masque dessus. / 29 Et utilisez la même passerelle actuellement utilisée sur votre commutateur.

par exemple (Supposons que vous utilisiez vlan 20 Sur son commutateur)

adresse IP Vlan 20 192.0.2.145 255.255.255.248

interface FaX / X (Votre nouveau pare-feu est connecté ici.) switchport access vlan 20

sur votre nouveau pare-feu

adresse IP 192.0.2.147 255.255.255.248

En ce qui concerne la règle de manque de communication, vous aurez besoin d'un sous-réseau séparé ou ACL Sur votre commutateur.

J'espère que cela aidera

Giselle

Confirmation de:

Je ne connais pas les caractéristiques de votre pare-feu, mais comme je le ferais presque avec n'importe quel pare-feu de classe affaires, deux pare-feu ne sont pas nécessaires:

Mettre

203.0.113.88/29

Réseau sur votre premier pare-feu, sur une interface séparée (ou sous-interface si vous pouvez utiliser VLAN), Et laissez le pare-feu protège les réseaux les uns des autres. Il suffit d'attribuer une adresse d'écran de l'interview à partir du bloc réseau, et ce sera une passerelle pour le réseau. Vous aurez besoin d'une route par défaut du réseau vers l'interface WAN du pare-feu. (ou adresse du routeur ISP), Et tout est prêt.

NAT n'a vraiment rien à voir avec des pare-feu; Pare-feu généralement juste un endroit confortable pour NAT. Tu n'as pas besoin NAT Sur le réseau, si vous ne le voulez pas, et je n'utiliserais pas les adresses disponibles au public.

Hannah

Confirmation de:

But de l'adresse du pare-feu de laboratoire dans 192.0.2.144/29 ou 203.0.113.88/29 Il ne fonctionnera pas si ce n'est pour aucun dispositif agissant comme une passerelle pour cet espace d'adressage, car tout périphérique ayant cette adresse de diffusion répondra aux demandes ARP.

Vous pouvez attribuer l'adresse du flux ascendant de votre pare-feu Watchdog ou au lieu de Watchdog Annoncé un réseau / 29, Vous pouvez le casser / 29 sur / 30. Attribuer / 30 un pare-feu et l'autre / 30 - Un nouveau pare-feu de laboratoire, si vous n'avez pas besoin de tout 8 adresses hôtes dans / 29 Sur un pare-feu.

Blanche

Confirmation de:

Si votre fournisseur Internet envoie ces deux zones à votre pare-feu actuel, vous pouvez configurer la configuration souhaitée sans logiciel supplémentaire, selon votre modèle. Watchguard. Watchguard Excellents copies avec des problèmes similaires. Il semble que vous puissiez avoir une mauvaise configuration réseau. 192 ou 203, Au moins en termes de l'utiliser comme réseau public. Vous devez avoir au moins un an de prise en charge de l'appareil et si vous ne payez pas pour un autre, il existe leurs directives pour la configuration de cette configuration pour vous. Mais demandez-leur d'abord de confirmer que votre modèle actuel du pare-feu peut traiter la configuration et la charge du trafic que vous pouvez attendre des deux réseaux.

Quant à votre fournisseur Internet, il semble qu'ils découlent simplement la deuxième zone de réseau au-dessus du premier. Quiconque donne le service probablement à cette époque ne pouvait pas configurer les points finaux à votre entreprise et tout laisser tout comme c'est. Recevoir cette explication d'eux aidera. Cela vous aidera à discuter de votre configuration avec Watchguard. Personnellement, je n'utiliserais qu'un seul pare-feu pour un certain nombre de raisons, par exemple une charge électrique, mais une autre raison - Contrats de service et autres dépenses périodiques et besoins de soutien. Si vous n'avez vraiment pas de problème différent, par exemple, si vos projets de développement pour une raison quelconque nécessitent un redémarrage de l'appareil, par exemple, le développement du logiciel de gestion de réseau. Ou, si l'unité actuelle est petite pour travailler pour supporter la charge des deux réseaux. Considérez ces questions.

Pour répondre aux questions, connectez-vous ou registre