Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 9 replies
  • Subscribers 40 subscribers
  • Views 5350 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos RED mit 4 Netzen

snowblast

Guten Abend an die Community,

ich habe folgendes Problem / Wissenslücke und hoffe hier auf Hilfe ;-)

Ich habe eine UTM SG210 am Stammsitz unserer Firma, die auf 4 LAN-Anschlüssen jeweils ein getrenntes Netz verwaltet. Untereinander haben diese Netzt nur sehr beschränkte Zugriffsrechte, aber die Firewall-Regeln funktionieren. Bisher haben wir einen MPLS Netzanbieter, der unsere Standorte anbindet auf einem der LAN-Anschlüsse mit einem Transfernetz endet. Die Standorte haben die Netze:

Netz 1: 10.10.X.0/24
Netz 2: 10.11.X.0/24
Netz 3: 10.12.X.0/24
Netz 4: 10.13.X.0/24

wobei X pro Standort verschieden ist. Der MPLS-Netzanbieter hat jetzt Cisco 800 Router im Einsatz, die 4 LAN-Ports haben und wir konnten definieren, dass ein bestimmter Port dann eines der Netze hat mit DHCP, DNS etc.

Ich würde jetzt gerne Standorte ohne diesen Anbieter einbinden und einen normalen Router / DSL-Modem mit einer RED 15w betreiben. Kann ich in der Konfiguration bestimmen, dass ein definierter Port jeweils ein Netz hat? Die Netze sollten dann bei bestimmten Anfragen, z.Bsp: 192.168.100.6 -> am Netz 1 ein Routing in die Zentrale haben, aber Anfragen an das Internet sollen direkt am Standort raus geroutet werden.

Zusammenfassung: Netz pro Port definierbar mit Splitmodus? Geht das ;-)

 

Grüße

Felix



This thread was automatically locked due to age.
  • 0

    Hallo Felix,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    This is the type of question that should be put to your Sophos reseller.  Will the RED 15w be powerful enough for the number of users and the WAN throughput needed?

    Rather than a RED, you might want to consider IPsec site-to-site tunnels with XG 105/115s with Basic license or an SG 105/115s with Network Protection.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Hallo Felix,

    leider nein. Die Ports an der Red15 sind alle im LAN und als Switch ausgeführt.

    Daher kure Antwort, ein Netz pro Port funktioniert hier leider nicht.

    Beste Grüße

    Alex

    -

  • +1

    Hallo,

     

    also mit einer RED 15 wäre dies so leider nicht realisierbar. Wobei natürlich auch die Frage, die schon gestellt wurde, ob eine RED 15 

    vom Durchsatz, mit 90 Mbit/s reichen würde. 

    Realisierbar wäre es dagegen mit einer RED50 im VLAN Modus. Hier lassen sich unterschiedliche VLANs auf die einzelnen Lan Ports

    schalten mit denen du dann natürlich via Regeln etc. auf der Firewall dies realisieren könntest.

    Hinzu käme eben ein Durchsatz von max. 360 Mbit/s sowie zwei WAN Ports wo durch die RED auch redundant auslegbar wäre.

     

    Hoffe das hilft.

     

    Viele Grüße

     

    Pascal

    best regards,

    Pascal

    IT-SECURITY CONSULTANT 

    Certified Architect - XG | UTM | MOBILE 

  • 0 in reply to Pascal G

    Guten Abend Pacal,

    vielen Dank für deine Antwort. Der Druchsatz wäre kein Problem, da wir in den Standorten nur Zahlungsdaten in Höhe von 100MB / Tag verarbeiten. Aber wenn ich eine RED 50 entsprechend auslegen kann, dann ist das natürlich die Wahl. Das war die Antwort, die ich gesucht habe!

    Grüße

    Felix

  • 0 in reply to snowblast

    Felix, it's likely that a RED 50 with Warranty Extensions is more expensive and less flexible than an XG 115.  I know that's the case here in North America.

    You might want to read RED device - Change metric.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Hallo,

     

    wenn hinter der RED15 noch ein managebarer Switch ist und du als Mode "Standard / Unified" benutzt, kannst du ja 4 VLANs an die RED15 binden, den einen UplinkPort am Switch mit den 4 VLANs taggen und auf dem Switch die Ports ins jeweilige VLAN untaggen.

    Bei dem Konstrukt ist aber zu beachten, das Kommunikation zwischen den lokalen VLANs immer über die Zentrale UTM geht und halt der Internettraffic auch. Den bekommst du nicht lokal raus.

     

    Gruß Sax

  • 0 in reply to BAlfson

    Hi Bob,

    ich habe den Artikel aufmerksam gelesen und auch die Preise verglichen. Eine XG 115 wird wohl tatsächlich die bessere Wahl sein. Gerade weil das VPN schon in der Basislizenz enthalten ist. Damit muss ich mich zwar um das Updaten etc. kümmern, aber das bleibt in einem erträglichen Rahmen.

    Jetzt bleibt für mich nur noch die Frage: Ist es lizenzrechtlich oder auch technisch ein Problem eine SG210 in der Zentrale mit mehrern XG115 als VPN Endpunkte zu verbinden? Wenn nicht, dann wird dies meine Lösung, die ich teste...

    MfG

    Felix

  • 0 in reply to SaxdaAnhalta

    Hallo Sax,

    ich finde das eine klevere Idee, die mein Ziel erreichen würde. Ich möchte aber gerne einigen Traffic in den Filialen ausleiten ins Netz, so dass dieser Traffic gar nicht erst ins VPN kommt. Daher werde ich es dann wohl mit einer XG115 probieren. Es ist aber ein gutes Beispiel dafür, dass mehr geht als man erst mal denkt ;-)

     

    MfG Felix

  • 0 in reply to snowblast

    It should be no problem to create IPsec site-to-site VPN tunnels between XGs and your existing UTM SG.  The reason I suggest a 115 instead of an 85 or 105 is that you might want to add Web Protection in the future.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML