Ajoutez un deuxième pare-feu à une connexion ISP avec plusieurs sous-réseaux?
Ma connaissance de routage est légèrement obsolète. J'ai une connexion Internet à fibre optique, comme ceci:
L'interrupteur géré est interrompu VLANS Pour un service réseau transparent, qui transmet également via le serveur fournisseur. Je pense que ce n'est principalement pas lié à ce problème, alors je l'ai exclu des diagrammes.
J'ai deux sous-réseaux / 29 (Sur l'exemple d'adresses de
https://tools.ietf.org/html/rfc5735
):
192.0.2.144/29 (.144-151) - principale. Notre porte d'entrée - 192.0.2.145, et l'adresse principale du pare-feu - 192.0.2.146.
203.0.113.88/29 (.88-.95) - Le deuxième sous-réseau qui n'a pas de passerelle et de routs par le fournisseur au premier (Je pense que c'est la partie où j'ai confondu).
Le pare-feu a toutes les adresses IP des deux sous-réseaux ajoutés à son interface. WAN, et effectue NAT Pour divers serveurs.
Maintenant, je veux ajouter un réseau séparé avec votre propre pare-feu en dehors de notre pare-feu et elle a besoin de sa propre adresse IP disponible publiquement, par exemple:
Je n'utilise toujours pas 203.0.113.94, Par conséquent, j'allais le supprimer des adresses supplémentaires sur le pare-feu existant et la transférer à un nouveau pare-feu. ... Mais cela ne fonctionnera pas, non? Il n'y a pas de passerelle dans son sous-réseau.
Ou je pourrais réorganiser les choses et lui donner une des adresses 192.0.2.144/29. Cela fonctionnera-t-il correctement et permettra aux deux réseaux de travailler normalement? Y a-t-il une meilleure façon de le faire?
Je pourrais joindre un nouveau pare-feu à l'existant s'il pouvait toujours avoir une vraie adresse IP publique et non NAT, Mais je ne sais pas s'il y a un moyen de le faire avec un pare-feu Watchguard. Il est probablement nécessaire de diviser davantage le sous-réseau et j'ai déjà presque terminé les adresses IP.
Le nouveau réseau devrait être notre laboratoire de test. (Pour que je puisse enfin arrêter de tester dans l'environnement de production!). Je ne veux pas que deux réseaux se parlent jamais, car ils auront un seul et même sous-réseau intérieur et des clones de machines de production. J'ai besoin d'un nouveau pare-feu pour avoir une adresse IP publique sans NAT.
L'interrupteur géré est interrompu VLANS Pour un service réseau transparent, qui transmet également via le serveur fournisseur. Je pense que ce n'est principalement pas lié à ce problème, alors je l'ai exclu des diagrammes.
J'ai deux sous-réseaux / 29 (Sur l'exemple d'adresses de
https://tools.ietf.org/html/rfc5735
):
192.0.2.144/29 (.144-151) - principale. Notre porte d'entrée - 192.0.2.145, et l'adresse principale du pare-feu - 192.0.2.146.
203.0.113.88/29 (.88-.95) - Le deuxième sous-réseau qui n'a pas de passerelle et de routs par le fournisseur au premier (Je pense que c'est la partie où j'ai confondu).
Le pare-feu a toutes les adresses IP des deux sous-réseaux ajoutés à son interface. WAN, et effectue NAT Pour divers serveurs.
Maintenant, je veux ajouter un réseau séparé avec votre propre pare-feu en dehors de notre pare-feu et elle a besoin de sa propre adresse IP disponible publiquement, par exemple:
Je n'utilise toujours pas 203.0.113.94, Par conséquent, j'allais le supprimer des adresses supplémentaires sur le pare-feu existant et la transférer à un nouveau pare-feu. ... Mais cela ne fonctionnera pas, non? Il n'y a pas de passerelle dans son sous-réseau.
Ou je pourrais réorganiser les choses et lui donner une des adresses 192.0.2.144/29. Cela fonctionnera-t-il correctement et permettra aux deux réseaux de travailler normalement? Y a-t-il une meilleure façon de le faire?
Je pourrais joindre un nouveau pare-feu à l'existant s'il pouvait toujours avoir une vraie adresse IP publique et non NAT, Mais je ne sais pas s'il y a un moyen de le faire avec un pare-feu Watchguard. Il est probablement nécessaire de diviser davantage le sous-réseau et j'ai déjà presque terminé les adresses IP.
Le nouveau réseau devrait être notre laboratoire de test. (Pour que je puisse enfin arrêter de tester dans l'environnement de production!). Je ne veux pas que deux réseaux se parlent jamais, car ils auront un seul et même sous-réseau intérieur et des clones de machines de production. J'ai besoin d'un nouveau pare-feu pour avoir une adresse IP publique sans NAT.
Aucun résultat connexe trouvé
Invité:
Pour répondre aux questions, connectez-vous ou registre
5 réponses
Hannah
Confirmation de:
Le scénario le plus parfait - Connectez-vous à cet interrupteur le deuxième pare-feu et donnez-lui une des adresses IP du réseau. 203.0.113.88/29 Avec la passerelle par défaut sur le même réseau.
Alice
Confirmation de:
Si vous n'utilisez pas complètement votre réseau 192.0.2.144/29 (ou 203.0.113.88/29), Vous pouvez installer l'interface sur votre commutateur avec l'une des adresses IP de cette gamme. Je recommanderais d'utiliser 2 Adresses IP (si ils sont). Par exemple:
Switch1:
Interface FaX / X (Votre nouveau pare-feu est connecté ici.)
adresse IP 192.0.2.147 255.255.255.252!
Puis sur le nouveau pare-feu que vous avez mis
Interface X / X 192.0.2.148 255.255.255.252
Il clarifie votre besoin de passerelle par défaut, vous pouvez également mettre un masque dessus. / 29 Et utilisez la même passerelle actuellement utilisée sur votre commutateur.
par exemple (Supposons que vous utilisiez vlan 20 Sur son commutateur)
adresse IP Vlan 20 192.0.2.145 255.255.255.248
interface FaX / X (Votre nouveau pare-feu est connecté ici.) switchport access vlan 20
sur votre nouveau pare-feu
adresse IP 192.0.2.147 255.255.255.248
En ce qui concerne la règle de manque de communication, vous aurez besoin d'un sous-réseau séparé ou ACL Sur votre commutateur.
J'espère que cela aidera
Giselle
Confirmation de:
Mettre
Réseau sur votre premier pare-feu, sur une interface séparée (ou sous-interface si vous pouvez utiliser VLAN), Et laissez le pare-feu protège les réseaux les uns des autres. Il suffit d'attribuer une adresse d'écran de l'interview à partir du bloc réseau, et ce sera une passerelle pour le réseau. Vous aurez besoin d'une route par défaut du réseau vers l'interface WAN du pare-feu. (ou adresse du routeur ISP), Et tout est prêt.
NAT n'a vraiment rien à voir avec des pare-feu; Pare-feu généralement juste un endroit confortable pour NAT. Tu n'as pas besoin NAT Sur le réseau, si vous ne le voulez pas, et je n'utiliserais pas les adresses disponibles au public.
Hannah
Confirmation de:
Vous pouvez attribuer l'adresse du flux ascendant de votre pare-feu Watchdog ou au lieu de Watchdog Annoncé un réseau / 29, Vous pouvez le casser / 29 sur / 30. Attribuer / 30 un pare-feu et l'autre / 30 - Un nouveau pare-feu de laboratoire, si vous n'avez pas besoin de tout 8 adresses hôtes dans / 29 Sur un pare-feu.
Blanche
Confirmation de:
Quant à votre fournisseur Internet, il semble qu'ils découlent simplement la deuxième zone de réseau au-dessus du premier. Quiconque donne le service probablement à cette époque ne pouvait pas configurer les points finaux à votre entreprise et tout laisser tout comme c'est. Recevoir cette explication d'eux aidera. Cela vous aidera à discuter de votre configuration avec Watchguard. Personnellement, je n'utiliserais qu'un seul pare-feu pour un certain nombre de raisons, par exemple une charge électrique, mais une autre raison - Contrats de service et autres dépenses périodiques et besoins de soutien. Si vous n'avez vraiment pas de problème différent, par exemple, si vos projets de développement pour une raison quelconque nécessitent un redémarrage de l'appareil, par exemple, le développement du logiciel de gestion de réseau. Ou, si l'unité actuelle est petite pour travailler pour supporter la charge des deux réseaux. Considérez ces questions.