Fritzbox/Astaro/ESXI Zusammenspiel

[mosjka]

Hallo Leute, bitte um Hilfe und Tipps!

1. Die Fritzbox baut Verbindung mit Internet auf. Darauf läuft Telefonie, WLAN und Freetz. DHCP Server ist AUS!
2. Nach der Fritzbox hängt ein SWITSH
3. An dem SWITCH hängt ESXI 5.0 und darauf läuft unteranderem "AstaroV8 Firewall". Auf dem Astaro läuft ein DHCP Server.
4. Sobald sich der Client über Wlan oder Switch verbindet, bekommt er eine IP Adresse von der Astaro Firewall (DHCP Server) zugeteil und die Gateway lautet dabei "192.168.178.254".

Damit soll erreicht werden, dass der ganze Datenverkehr über die Astaro Firewall läuft. Ist das generell so machbar? Kann einer mit den Einstellungen in Astaro helfen?


Danke

PS.:
1. Ich möchte nicht, dass die Astaro vor der Fritzbox hängt bzw. die Fritzbox nur als Modem genutzt wird. (Grund, Internettelefonie 1&1)
2. Ich möchte, dass die FB und die Astaro sich in der gleichen IP Range befinden (192.168.178.1-192.168.178.255)

 

[fdsonne]

Je nachdem was du genau willst... Auf deinem Bild ist der Client mit ner 192.168.178er IP gezeigt. In deiner Astaro Config gibst du aber dem DHCP nen IP Bereich aus dem 192.168.0er Bereich.

Im Grunde ist es schon machbar, was du vorhast. Aber ich halte es für etwas ungünstig nen Router intern im gleichen Subnetz zu nutzen. Das macht wenig Sinn...

Ich würde eher aus Gründen der Sicherheit die Astaro dediziert mit der FB verbinden. Sprich auf dem ESXi einfach ein anderes Interface nehmen (deine Kiste hat ja zwei LAN Interfaces, wenn ich das richtig in Erinnerung habe) und nen zweiten virtuellen Switch anlegen, wo dann die Astaro mit dem WAN Interface drin hängt. Dieser Bereich wäre dann das 178er Netz als Transfernetz zur FB. Intern lässt du die Astaro über das gleiche Interface raus, wie das MGMT Interface des ESXis ist. (wohl dann 192.168.0er Bereich)
Die Clients bekommen ne IP von der Astaro, als Default Gateway wird die IP der Astaro genutzt, gleichsam die Astaro als DNS.
Die Astaro macht dann NAT von intern ins Transfernetz (wobei das nichtmal unbedingt nötig wäre) und fungiert als Router zur FB, welche wiederum ins INet Routet.

Du könntest dann sogar noch Accesslisten bzw. Firewall Regeln auf der Astaro hinterlegen, um den Zugriff auf das Webinterface der FB zu regeln.

Beim WLAN müsste man dazu noch die FB mit dem Switch verbinden. Durch den DHCP im Bereich 192.168.0 bekommen die Clients ne IP von dort. Und landen im internen Netz anstatt im Transfernetz. Der Zugriff dediziert auf die FB ist somit nicht möglich, sondern läuft zwingend über den Router.


FB und Router in einem Netz wird schwer zu realisieren, weil einfach die Astaro nicht Routen kann, wenn sich das Ziel im gleichen Netz befindet. Das dürfte meine ich nicht funktionieren (auch wenn ich das bis dato nie probiert habe)

 

[mosjka]

Danke Dir für die ausführliche Erklärung!

Hast du es so gemeint? Mit der Skizze ist es für mich einfacher zu verstehen

 

[fdsonne]

genau so mein ich das... Die FB nutzt für das WLAN und die Ports hinten dran nur Layer2, sprich bridged das dumm hinten durch. Obwohl das Interface ne andere IP hat.

Du könntest dir halt theoretisch die zweite NIC noch sparen und das ganze über den Switch laufen lassen. Kommt aber aufs gleiche raus. (macht sich aber bei Fehlern etwas schwerer mit dem Troubleshooten.

 

[heuchler]

Und wenn Du mal ein wenig Kohle übrig hast, kannste dir nen Astaro WLan AP10 kaufen und den mit deiner Astaro verbinden... oder bis dahin sind die AP50 draußen, den teste ich gerade.

 

[fdsonne]

Die Astaro APs sind irgendwie schweine teuer Würd ich mir zwei mal überlegen. Das Featurefucking was Astaro mit den Teilen betreibt ist auch ziemlich übel. Der Leistungsbedarf ist ziemlich enorm und die Optimierung auf verschiedene CPU Cores ist nicht unbedingt extrem schön

 

[mosjka]

Ne die APs sind Schweineteur!!
Da gabs doch was bezüglich den Ports der FB. Wenn die Astaro Firewall nach der FB hängt, so muss man die Ports immer doppelt freigegeben FB+Astaro, oder gibt es eine andere Lösung dafür - sodass man die Portfreigabe nach außen nur über Astaro macht.

 

[fdsonne]

Wieso doppelt?
Du könntest NAT auf der Astaro weglassen und straight in das 178er Transfernetz durchrouten.
Auf der FB brauchst du nen Statischen Routeneintrag zum 192.168.0er Netz mit der Astaro (IP 178.2 in deinem Bild) als Ziel. Und schon brauchst du nur einmal NAT.

Alternative zwei wäre es die jenigen Dienste, um die es sich handelt doppelt anzubinden. Sprich ein Bein in das 178er Netz, das andere ins 0er Netz. Und von der FB aus auf die IPs im 178er Netz "NATen"
Letzteres bringt aber den Nachteil der fehlenden Firewall Regelmöglichkeiten durch die Astaro, für Zugriffe aus dem Web muss somit allein die FB reglementieren. Und den möglicherweise höheren Konfigurationsaufwand in den Diensten selbst...
Letzteres wäre quasi ne vorgeschaltete DMZ

 

[Cyrrel]

Hi,

ich würde mich hier gerne mal einklinken, habe nämlich ein recht ähnliches Setting:

WWW --> FRITZBOX --> ASTARO --> LAN

FritzBox mit
- 192.168.1.1 und statischer Route ins Netzwerk 192.168.178.0 über Gateway 192.168.1.254

Astaro mit
- "extern" 192.168.1.254 (an Fritzbox), Defaulft GW 192.168.1.1
- "intern" 192.168.178.254 (am Switch fürs restliche Netz)
- DHCP-Server für .178 und .1 (jeweils mit GW .254 aus dem entsprechenden Netz)
- Firewall noch auf any-any und any-dns-any

Internet / Zugriff funktioniert soweit im .1er und .178er Netz.


Nun würde ich eigentlich gerne meine WLAN-Clients nicht über das .1er Netz laufen lassen sondern sie sollen auch im .178er die DHCP - Settings bekommen - klappt aber nicht (vermutlich zu Recht!?). Kann mir einer sagen ob es möglich ist dass das WLAN der Fritzbox den DHCP des internen Netzes der Astaro bekommt?


Danke

 

[heuchler]

Naja, die APs sind schon nicht verkehrt, sie laufen nämlich idR einfach. Vorallem kommen die neuen "Features" (dein Wort müsstest Du mir mal erklären..) mit der V9. Nichts weltbewegendes.. aber nützlich.
Für den Heimbedarf sicher weniger interessant, da gebe ich Dir recht.

@Cyrrel:

Paketfilter steht bei Dir wirklich auf :
1. any - any - any
2. any - dns - any
?

Zur FB äußere ich mich nicht da ich die Konfigurationsmöglichkeiten (explizit für das WLan: DNS, Gateway..) nicht kenne.

 

[Cyrrel]

Hi,

ja udp dns wollte ich damit abfangen da der Standard any-any ja auf tcp nur geht. Will das ganze auch noch restriktiver umsetzen, allerdings möchte ich dass es erstmal läuft und mir da nicht irgendeine Regel zwischenfunkt

Fritzbox soll ja mit dem WLAN nicht viel zu tun haben außer irgendwie den DHCP Request weiterleiten an die Astaro (.1.254) und die wiederum intern an die 178.254.
Bin mir nur nicht so sicher ob der Layer3 Broadcast für den DHCP so einfach durchkommt...

 

[Cyrrel]

Zur Veranschaulichung habe ich das noch mal aufgemalt ;-)




Weiß jemand ob es überhaupt funktionieren kann bei genau dieser Aufstellung der Hardware / Netze, dass die WLAN - Clients (per DHCP) ins .178er Netz kommen?

 

[Diamond472]

Hallo,

ich möchte der Astaro beibringen, dass die Clients im LAN Zugriff auf das Internet bekommen.
Mein Netz ist folgender maßen aufgebaut:

WWW---ROUTER---WEBSERVER---ASTARO---CLIENTS

Könnte ich den Zugriff auf das WWW so gestatten?

 

[Fr3@k]

@Diamond472

Ja sollte so passen, jedoch würd ich als Destination in der Regel nicht "Any" sondern "Internet IPv4" nehmen.