Cisco Firewall für zwei extene Leitungen

[pete.db 10]

Hallo zusammen,

 

kann mir irgendjemand sagen, ob bei den Security Appliances Cisco PIX 525 bzw. Cisco ASA 5500 (oder auch vergleichbaren Geräten) die Möglichkeit besteht mit einem Gerät zwei externe Leitungen zu managen?

 

Ds Problem ist, dass wir zwei DSL-Leitugen (jeweils über Cisco 2610 Router) haben, die wir über eine Firewall laufen lassen möchten. Router bleiben bestehen.

 

Danke euch im voraus

[osirus01 10]

Du könntest auf den bei Routern HSRP oder VRRP laufen lassen. Dann hättest Du auch keine Probleme wenn die eine Leitung mal ausfällt.

 

Gruß

 

Osirus

[pete.db 10]

Die Router werden ferngewartet. Da kommen wir nicht dran.

 

Nochmal kurz zur Erklärung:

Ich bekomme nur zwei physikalisch verschiedene Leitungen zur Verfügung.

Diese Leitungen möchte ich über eine Cisco PIX bzw. ASA managen (z.B. Mitarbeiter surfen nur über Leitung 1, Netz-zu-Netz-VPN geht nur über Leitung 2 etc.).

 

Die Frage ist nur ob die Cisco PIXs bzw. ASAs es mir erlauben zwei externe Leitungen anzuschließen (vorher hatten wir IPCop. Der kapiert aber nur eine externe Leitung).

[osirus01 10]

Wir haben bei uns das selbe aufgebaut. Wir haben auf den beiden Router zwei HSRP Gruppen konfiguriert bzw. die T-COM. Nun Routen wir via Default Route den HTTP Traffic auf die einen HSRP-Adresse und fest VPN Verbindung via Host oder Netz Routen auf die zweite HSRP Adresse.

VOn wem werden die denn gemanaged?

 

 

Gruß

 

Michael

[pete.db 10]

Hallo,

 

die Router werden bei uns ebenfalls von der T-Com gemanaged.

Wir haben dazu zwei externe IP-Bereiche, der eine läuft über Router1 und der zweite über Router2. Bislang wurde (mit IPCop) nur IP-Bereich1 über Router1 genutzt. Jetzt soll ebenfalls IP-Bereich2 über Router2 genutzt werden. Das kann ein IPCop nicht. Ich müsste also hinter Router2 einen neuen IPCop einrichten. Da ich aber sowieso von diesem Produkt weg möchte (ich will keine zwei Firewalls administrieren müssen) war die Frage bezügl. zwei externen Leitungen auf einer Cisco.

 

Magnus

[Data1701 10]

Sorry, wenn ich mal doof Frage.

 

Du hast einen Anschluß mit IP-Bereich A und einen weiteren Anschluß mit IP-Bereich B. (Jeweils öffentliche Adressen)

 

Nun willst Du, dass Http (z.B.) über A bearbeitet wird und VPN über B. Korrekt ?

 

Du benötigst also ein Stück Hardware welches zwei Outside Interface managen kann. Korrekt ?

 

Nun, das kann eine Pix 515 und größer oder eine ASA. Stellt kein Problem dar. Die Interface sind ja nicht wie bei den kleinen Pixen, welche ja auch nur 2 Interface haben (Die Pix 501 bringt halt nur noch eine 4 Portswitchfunktionalität mit), in Outside und Inside unterteilt.

 

Beantwortet das Deine Frage ?

 

Gruß Data

[pete.db 10]

Hallo Data,

genau die Info hab` ich gebraucht.

 

Danke dir!!! :D

[Data1701 10]

Null Problemo.

 

Gruß Data

[Wurstbläser 10]

Hi Pete,

 

die etwas "coolere" Lösung wäre die Implementation eines zusätzlichen externen Packetfilters. Das Cisco IOS bietet wesentlich ausgereiftere Routingfunktionalitäten als die Pixen - z.B. Policy Routing via Route Maps. Gerdaezu Ideal eignet sich ein äußerer Packetfilter auch um mit die Pix vor allzu banalen Spoofing oder DoS attacken mit ACls zu entlasten.

 

Wie ist denn das zu verstehen daß Du HINTER dem T-Com Router R2 wieder eine eigene Firewall implementieren willst?? Layer 2? Wäre das nicht im Netz der T-Com?