Назад | Перейти на главную страницу

Требуется Watchguard VLAN Head-Grasping

Я пытаюсь осознать настройку моего нового сторожевого устройства M400. Вот что мне нужно выяснить и что я уже сделал.

Мой интернет-провайдер предоставил мне P2P IP, который я подключил к своему интерфейсу (адрес 107.). У них также есть блок IP-адресов в другой подсети (также совершенно другой диапазон, 50. диапазон), так что имейте это в виду. У меня также есть личный (192), который я хочу использовать.

У меня есть настройка interface0 с IP-адресом P2P (внешний) и внутренняя настройка (доверенная) с простым 192.

У меня за брандмауэром есть несколько переключателей:

Первый коммутатор (имя: CORE1) - это 48 портов, на которых будет много виртуальных локальных сетей. Порт один, если явно будет порт межсетевого экрана (магистральный).

Второй порт будет восходящим каналом к ​​другому коммутатору (имя: CORE2, VLAN = 4) для моей отдельной сети камеры.

Некоторые другие порты будут частными для офиса, в котором находится топка (доверенная сеть) VLAN = 5

Остальные порты на 48-м порте (CORE1) будут подключены к серверам, которым нужны назначенные им общедоступные IP-адреса, и при общении с внешним миром им нужно будет показывать свои общедоступные IP-адреса, а не IP-адрес моей топки (что обычно показать адрес P2P)

Я думаю, что у меня это заработало (вроде), но я создал дополнительный интерфейс, назначив ему первый IP-адрес моего блока, затем я установил другой блок для своего ноутбука, и все сработало волшебным образом.

Проблема в том, что при таком подходе мне понадобится несколько подключений, идущих от топки до переключателя, что, как я думаю, не сработает.

Я попытался настроить VLAN на коробке, но он хочет, чтобы я создал отдельный интерфейс для того, что я не уверен, что хочу сделать?

Я включил импровизированный рисунок, который я сделал, чтобы помочь вам визуализировать:

Теперь мои интерфейсы на моей топке выглядят следующим образом:

Итак, вы можете увидеть три интерфейса. Я просто сделал "VLANUplink" просто для проверки, так что это мусор. Я действительно хотел бы сжать все это, насколько это возможно.

Я попытался поиграть со свойствами VLAN, где по какой-то причине мне нужно было настроить специальный интерфейс для VLAN, поэтому вы видите интерфейс «vlanuplink». Опять же, это все хлам.

И для тех из вас, кто отсылает меня к онлайн-статьям, я прочитал много статей за ночь, и мне не разрешено публиковать их, так как у меня недостаточно «репутации». Но поверьте мне в этом.

Я нашел здесь эту замечательную статью:

Поскольку я не могу разместить ссылку, перейдите в Google и введите «использовать публичный IP-адрес за xtm», это первый PDF-файл.

И я думаю, что меня сочли бы «сценарием 1», но поправьте меня, если я ошибаюсь. Пожалуйста, обратитесь к моей импровизированной карте сети, которую я нарисовал для сравнения. Я хочу, чтобы все за брандмауэром, но ничего за брандмауэром не взаимодействовало друг с другом, поэтому есть вланнинг.

Поскольку это только что было перенесено на главную страницу - вам, вероятно, не нужны были сценарии «использовать общедоступный IP-адрес за XTM», и вы действительно хотели создавать новые интерфейсы VLAN.

Установите Interface 0 как External, назначьте публичный адрес, как и вы.

Делать новые интерфейсы VLAN, по одному для каждой VLAN. Установите их как «необязательные», дайте межсетевому экрану внутренний IP-адрес в каждой VLAN и, возможно, настройте DHCP, если необходимо. Каждое устройство в VLAN должно получить IP-адрес брандмауэра в этой VLAN в качестве своего шлюза - использование брандмауэра для обслуживания DHCP будет делать это автоматически, если они настроены вручную или что-то еще делает DHCP, вам нужно будет установить это.

Затем установите Интерфейс 1 как интерфейс VLAN и пометьте его для отправки трафика для всех VLAN. вы только что определили.

Чтобы получить отдельные общедоступные IP-адреса для некоторых серверов, добавить 1-1 записи NAT для сопоставления общедоступных IP-адресов с внутренними IP-адресами сервера.

Сделайте политики брандмауэра для трафика между VLAN, например Разрешите «Any from VLAN2 to VLAN5», что подходит для создания отдельной сети камер и сети частного офиса.

На стороне коммутатора установите его как порт магистрали VLAN.

Эта настройка требует только одного кабеля от брандмауэра для переключения (хотя легко добавить больше кабелей, если вам нужна дополнительная пропускная способность - настройте интерфейс 2 как магистраль VLAN и пометьте некоторые VLAN на интерфейсе 1, а некоторые - на интерфейсе 2).

Здесь вы многого просите и на каком-то довольно конкретном оборудовании, поэтому я просто дам несколько общих рекомендаций, чтобы это было разумным.

Во-первых, серверы. Вы хотите, чтобы у них были общедоступные IP-адреса. Это нормально и хорошо. Однако они также являются частью вашей внутренней сети; дайте им внутренние IP-адреса. Затем вам нужно настроить политики переадресации портов на сторожевом устройстве, чтобы сопоставить общедоступный IP-адрес для каждого сервера и перенаправить трафик на правильный внутренний адрес. Вероятно, вы захотите связать это с настройкой записей на локальном DNS-сервере, чтобы любые домены, которые вы публично указали на IP-адреса в Интернете, указывали на локальные IP-адреса, если вы выполняете поиск изнутри своей сети.

Далее переключатели. На вашей диаграмме переключатель CORE1 изображен как гораздо более важный / центральный, чем другие. Если это возможно, вы должны использовать этот коммутатор для маршрутизации vlan вместо сторожевого устройства. Этот коммутатор должен иметь виртуальный интерфейс для каждого vlan, и все, что делает dhcp в вашей сети, должно выдавать соответствующий IP-адрес интерфейса на коммутаторе в качестве шлюза по умолчанию для всех устройств. Сам коммутатор должен установить внутренний IP-адрес сторожевого устройства в качестве шлюза и иметь маршруты ко всем vlan. Затем установите порт, идущий к watchguard, как порт транка, или просто пометьте все vlan, кроме одного для внутреннего IP-адреса watchguard (он будет нетегированным членом).

Теперь на страже вы можете настроить политики и маршруты NAT для каждой из ваших внутренних сетей и, конечно же, политики переадресации портов для серверов. Для этого вам нужно будет настроить только два из ваших интерфейсов, и один кабель сможет обрабатывать весь этот трафик.

К сожалению, я не могу быть более конкретным. Я успешно настроил серию Watchguard 400 таким образом, но только в качестве демонстрации, которую мы позже вернули, и поэтому я не могу в настоящее время более конкретно указать, куда обращаться для каждой опции. (FWIW, вместо этого мы используем Untangle, и мне это нравится намного больше).