Szenario: DMZ mit verschiedenen IP´s/ip-kreisen

[logix]

Hallo,

Nun, als Partner wollen wir natürlich nicht nur den Intranator verkaufen, sondern ihn auch noch selbst einsetzen.

Folgende Problemstellung:

Derzeit eingesetzte Firewall: Watchguard

Diese sollte mit dem Intranator ersetzt werden.

Zusätzlich sind wir ein ISP, dh. wir haben webserver, datenbankserver, backupserver, und den ganzen Rest.
Da wir auch kundenspezifische Programme mit automatischen UPdate-Routinen basteln, liegen die Updates ebenfalls im Rechenzentrum/DMZ.

Da es uns aber (anscheinend leider) schon sehr lange gibt, und wir auch verschiedene Internet-Anbindungen mit verschiedenen IP-Ranges haben/hatten, haben wir nun verschiedene IP-Kreise.
Diese lassen sich auch nichtmehr wirklich ändern, schließlich braucht man für domain name services verschiedene IP-Ranges (wird von den meisten NIC´s so vorrausgesetzt), genauso wie ich alles andere umstellen müßte... (Mit einem Bagger durch unser REchenzentrum zu fahren und händisch alles wieder zusammenzukleben wäre wohl schneller...).

Nun aber das Problem: der Intranator kann anscheinend nur einen IP-Kreis pro Netzwerkkarte haben.

Ist für kleine Netzwerke mit einem Webserver und ein paar Diensten lustig, aber sobald man ip-adressen dazukaufen müßte (sie können einen ja mal ausgehen) oder eben wie wir IP-Adressen von einem alten Provider mitnimmt (in der guten alten Zeit mußte man sie ja noch kaufen) und diese nicht im gleichen IP-Range liegen (also eigentlich immer, wie hoch ist schon die chance sich wieder im gleichen Kreis zu befinden, andere ISP´s geben ip´s ab wie sie sie haben, und nicht reservieren immer die nächsten 20) ist man aufgeschmissen.

Zusätzlich haben die meisten unserer Server eben IP`s aus verschiedenen Ranges, dh. ich kann sie nichtmal physisch trennen (bitte jetzt kein: ip-ranges ändern, wir sind ISP, kein Fertig-Fahrrad-Bausatz).

Nun hätten wir natürlich gerne eine Lösung, denn mehrere IP´s auf einer NIC zu unterstützen hatte die Watchguard anstandslos geschafft, auch meine private Netgear FVS124G (dual-wan-router mit 4port-gb-switch, ~ 130 EUR) kann nämlich mehrere IP´s managen... (dies wahrscheinlich weil er 2 WAN-Anschlüsse mit bandwidth-managemend & failover hat).

Für uns ist der Intranator in seinem jetzigem Zustand nutzlos, schade ist, das wir diese Funktion einfach vorrausgesetzt haben und nicht im vorab kontrolliert haben, dh. sind meine Schulung sowie die Appliance im Sand... :-(.

Ich will übrigens keine xx netzwerkkarten einbaun, oder rumrouten/switchen, schließlich kauft man fertige Kisten um eben NICHT drin rumzuschrauben und sich irgendwann wieder mit xx herstellern über garantien streiten muß. Ansonsten wäre selbst zusammenbasteln ja um einiges billiger gewesen.

Anbei nochmal eine Symbolic des Netzwerkes, damit es auch jeder versteht.

- lokales Lan (192.****)
- internet - [intranator] <
- DMZ - Server a (ip1: 194.152.*.*, ip2: 213.129.*.*) server b (ip1: 213..129.*.*, ip2: 62.116.*.*)

dies ist eine stark vereinfachte variante, sollte aber das Problem klarmachen (sind ein paar server, und eigentlich auch einige ip´s mehr).

Nun könnte ich natürlich einen router vor den intranator hängen, welcher die intranator umgeht -> nicht sinn der sache.
Ich könnte den intranator mit mehreren dualen netzwerkkarten bestücken -> dahinter dann einen router o.ä. welches mir die netze wieder in die einzelnen server führt -> kostenaufwand etwas pikär (und noch eine heizmaschiene im Rechenzentrum) und vom garantie-rennen will ich garnicht reden.

Ich könnte mir mehrere intranatoren kaufen, und mich zu einem 8er konfigurieren... -> nochmehr tippereien und kabelrumbasteleien...
Also bitte hier etwaig andere lösungen, die auch halten
Ich bitte um IRGENDEINE (brauchbare, kein rumpfuschen oder einkaufen von xx anderen aktiven Komponenten um viel geld) Lösung, oder evtl. einen Ansatz ob das je irgendwie behoben wird, andernfalls habe ich ab heute einen weiteren teuren staubfänger im Lager....

Ich hoffe doch das nicht alles umsonst gewesen ist, und verbleibe bis dahin mit freundlichen grüßen aus dem fahrrad-magerem Wien.
Alexander Kalaschek


P.s.: wenn der intranator nicht dhcp spielt, muß ich JEDEN einzelnen rechner HÄNDISCH eintragen?!?! warum kann ich nicht einfach einen range angeben, und er holt sich aus diesem range die namen? da brauch ich ja ne sekritärin die mir das einpflegt...(und wenn sie sich auch nur irgendwo vertippt, darf sie alles nochmal nachkontrollieren...)

[Thomas Jarosch]

Hallo Herr Kalaschek,

zuerst einmal vielen Dank für Ihre Anfrage.

Der Intranator wird kurzfristig keine mehrfachen IP-Adressen
pro Netzwerkkarte bieten. Alle denkbaren Workarounds haben Sie
ja kategorisch ausgeschlossen. Allerdings stellt sich die Frage,
ob der Intranator das richtige Produkt für den Aufbau einer ISP Firewall ist.
Der Intranator kann sehr viel, aber eben nicht alles.

Mich wundert, daß Ihnen das fehlen dieser speziellen Funktion
nicht bei Ihren Tests oder in der Schulung aufgefallen ist.

Mein Vorschlag wäre, ein zweistufiges Konzept zu fahren.
Einige Kunden haben das auch schon so im Einsatz:
Die Watchguard ist die Firewall nach Aussen hin,
der Intranator steht als Mail- und Proxyserver in der DMZ.

Ein DNS-Namensauflösung über IP-Bereiche ist vorerst
nicht angedacht. Wofür benötigen Sie denn die?

Herzliche Grüsse,
Thomas Jarosch