Firewall über ESXi mit nur einer Netzwerkkarte und VLANs

[jodi]

Hallo,

ich wollte evtl mein Heimnetz ein bisschen umstellen.

Zur Zeit steht folgendes zur Verfügung. Ein Cisco SG300 Switch (Layer3 Mode) und ein Intel Nuc mit einer Netzwerkkarte.
Internetanschluss von Unitymedia, Business mit einer fester IP, 50Mbps

Auf dem Intel Nuc wollte ich nun ESXi 5.5 installieren und auf diesem wiederum die Sophos UTM Firewall und zusätzlich noch DNS Server etc.

Jetzt habe ich mir das z.B. so vorgestellt.

Erstelle VLANs auf Cisco
VLAN666 für das böse Internet - WAN
VLAN99 für LAN Sophos
VLAN20 Servernetz
VLAN30 PCs, Multimedia etc.

Verkabelung:
CableModem --> Cisco Switch Port 10 (VLAN666 ungetagged)

Intel Nuc --> Cisco Switch Port 9 (VLAN666, VLAN20, VLAN30 und VLAN99 alle getagged)

Einstellung vSwitch ESXi:
Portgruppe "Sophos WAN" mit VLAN666
Portgruppe "Sophos LAN" mit VLAN99
Portgruppe "Server" mit VLAN20
Portgruppe "PCs" mit VLAN30

Die Sophos bekommt dann in der VM auf der WAN Schnittstelle die feste IP und auf der LAN Schnittstelle eine interne.

Ist das so sinnig und machbar oder bin ich total auf dem Holzweg?

 

[OpamitKruecke]

Ist ein nuc wirklich schnell genug für sophos und den rest?

 

[jodi]

Ist ein nuc wirklich schnell genug für sophos und den rest?

Naja wird sich zeigen, der hat den i3 drin und 16gb ram. Der soll ja nur den Esc, die Sophos und ein Windows Server befeuern, mehr nicht

 

[jodi]

Und was meinst Du mit der Konfig? Ist das so machbar mit nur einer Netzwerkkarte?

 

[Fr3@k]

Das sollte so funktionieren, mach ich auch immer so.

 

[fdsonne]

Gehen tut das so, zumindest wenn das Abschlussgerät zwischen "Dose" und LAN Port nur Bridget betrieben wird, so dass die UTM die public IP direkt hält.
Geht das allerdings nicht und die public IP wird von einen externen Modem/Router gehalten, dann müsstest du dir noch mit dem Routing intern Gedanken machen. Sinnvollerweise sollte dann das besagte Gerät statische Routen intern zulassen, so dass du die verschiedenen internen Netze direkt ansprechen kannst.

Machbar ist das schon, ob es allerdings sinnvoll ist? Für nen Testaufbau würde ich das allerdings wohl ähnlich machen. Im "Livebetrieb" nutze ich allerdings idR IMMER externe Router... Ist aber weitläufig eher Ansichtssache.

 

[jodi]

Erstmal danke für die Antworten.

Also dann sollte das so klappen, super.

Die Kabelbox ist die 6390 und die fungiert nur als Modem (Gateway). Die feste IP könnte ich dann auf der Sophos installieren.

Ich hatte hier noch ein APU1D Motherboard rumfliegen und am Wochenende mal schnell dort die Sophos UTM installiert. Das funktioniert soweit, aber ich möchte eigentlich nur ein Gerät 24h am laufen lassen, sodass ich doch gerne die Intel NUC mit ESXi, Sophos und DNS Windows Server aufsetzen werde.
Sicherheitstechnisch sollte es mit VLANs ja auch keine Probleme geben.