pantrag_fisi Projektantrag: Installation und Konfiguration einer Failover-Funktion für den Internetzugang und Einrichtung einer DMZ mit der BSD-basierten Firewall-Distribution Pfsense

[Timo118de]

Hallo zusammen,

da ich bis Ende Januar meinen Projektantrag abgeben muss, würde ich mich freuen wenn ihr drüberschauen könntet.

Über Verbesserung- Änderungsvorschläge wäre ich dankbar.

Projektbezeichnung / Projektziel (Auftrag/Teilauftrag):
Installation und Konfiguration einer Failover-Funktion für den Internetzugang und Einrichtung einer DMZ mit der BSD-basierten Firewall-Distribution Pfsense.

Aussagekräftige Beschreibung des betrieblichen Projektes:
Die XXX AG hat drei Standorte in Deutschland die per VPN (Virtual Private Network) miteinander verbunden sind. Alle drei Standorte verwenden die identische Hard- und Software für den Internetzugang und die VPN-Verbindung. Die benötigten Hardwarekomponenten wurden von der IT-Abteilung zusammengestellt und montiert, die Software wurde und Form von der BSD-basierten Firewall-Distribution "Pfsense" ebenfalls in Eigenarbeit installiert und konfiguriert. Der Internetzugang in XXX erfolgt über zwei Unitymedia Anschlüsse mit 200 Mbit/s, desweiteren existiert noch ein ungenutzter Telekom DSL Anschluss mit 3 Mbit/s.

Ziel des Projektes ist es, eine Ausfallsicherheit des Internetzugangs zu gewährleisten und in diesem Zuge eine abgesicherte DMZ einzurichten, mit der es möglich ist eigene Produkte (Mess- & Prüfanlagen) und Server öffentlich zu stellen.

Im Rahmen den Projektes soll die identische Hardwarekonfiguration, wie diese bereits bei allen drei Standorten im Einsatz ist, erneut bestellt und montiert werden. Anschließend soll die Firewall-Distribution Pfsense installiert und konfiguriert werden. Der Internetzugang soll dann in der Pfsense Software so konfiguriert werden, dass beim Ausfall eines Unitymedia Anschlusses ein Failover, also ein Umschalten, auf den zweiten Unitymedia Anschluss stattfindet und dieser nun die Internetverbindung zur Verfügung stellt. Auch der bisher ungenutzte Telekom Anschluss soll wieder reaktiviert werden und im Falle eines Ausfalls beider Unitymedia Anschlüsse die Internetverbindung für einen "Minimalbetrieb" zur Verfügung stellen.

Zur Abgrenzung der einzurichten DMZ werden dedizierte Netzwerkports verwendet. Mit Hilfe von Routing und Filterregeln wird dann der Zugriff in dieses Netzwerk geregelt.

Der Projektumfang umfasst zunächst die Erstellung einer Testumgebung in der das Projekt realisiert wird. Nach erfolgreichen Abschluss des Projektes wird die Konfiguration später in das Echtsystem übernommen.

 

 

Projektumfeld:

 

Die XXX AG ist ein weltweit agierendes Unternehmen mit dem Hauptstandort und der IT-Verwaltung in XXX. Das Projekt wird in der IT-Abteilung der XXX AG und mit der dort vorhandenen Infrastruktur durchgeführt. Die benötigten Komponenten werden von der XXX AG zur Verfügung gestellt. Die Durchführung erfolgt in Abstimmung mit den betroffenen Fachabteilungen.

 

 

Projektphasen mit Zeitplanung in Stunden:

 

 

 

1. Planungsphase
Ist-Analyse 1h
Soll-Konzept 3h

2. Realisierungsphase
Aufbau von Testumgebung 3h
Firewall/Router (Pfsense) Installation und Konfiguration 3h
Internet-Failover Installation und Konfiguration 5h
DMZ Installation und Konfiguration 6h

3. Kontrollphase
Test 3h
Fehleranalyse und -behebung 3h

4. Abschlussphase
Erstellung der Projektdokumentation 8

 

 

Gesamtstundenzahl
35

 

Danke im Voraus und liebe Grüße!

[mapr]

Triffst du irgendwo (wirtschaftliche) Entscheidungen?
In deinem Projekt ist doch schon alles vorgegeben und du installierst nur noch.
So wird das nichts.

[Timo118de]

Also ich müsste ja die kompletten Komponenten erneut einkaufen. D.h. Komponenten raussuchen, Preise vergleichen, Verfügbarkeit prüfen und den Bestellprozess mit dem Einkauf in die Wege leiten. Wie könnte ich hier am besten die wirtschaftlichen Entscheidungen besser zum Ausdruck bringen?

Vorgegeben ist eigentlich nichts, außer die Konfiguration für die bisherige Firewall, VPN und den einfachen Internetzugang.
Ich müsste den Kompletten Router aus Einzelteilen zusammen bauen und Pfsense frisch installieren. Die Konfiguration der Firewall so wie sie bis jetzt ist und des VPN würde ich in das neue System übernehmen.
Dann würde ich den Internetzugang neu Einrichten und den Gateway-Failover konfigurieren, mit den dazugehörigen Firewallregeln falls eine Internetleitung ausfällt.
Nun würde über einen dedizierten Netzwerkport ein DMZ Netz eingerichtet. Dafür muss auch einiges an Routing und Firewalleinträgen vorgenommen werden. Je nach Zeit, mit der öffentlichstellung des Webinterfaces von einem der eigenen Geräte.

Gehen diese Schritte nicht genug in die Tiefe oder was sollte ich noch verändern?

[Cruster]

vor 5 Minuten schrieb Timo118de:

Also ich müsste ja die kompletten Komponenten erneut einkaufen. D.h. Komponenten raussuchen, Preise vergleichen, Verfügbarkeit prüfen und den Bestellprozess mit dem Einkauf in die Wege leiten. Wie könnte ich hier am besten die wirtschaftlichen Entscheidungen besser zum Ausdruck bringen?

Das sind keine wirklich kaufmännischen Tätigkeiten und relativ schnell abgehandelt. Es geht eher darum warum du die Hardware verwendest die du verwendest. Warum diese Hardware und nicht eine teurere oder billigere Alternative?

[mapr]

Warum baust du den Router komplett neu?
Die gibt es doch fix und fertig zusammengebaut.
Wo erscheint das in deinem Antrag?

[Timo118de]

Der Router wird zum einen mir als Testumgebung dienen, damit ich nicht am Livesystem konfigurieren und testen muss.
Da an allen Standorten die gleiche Technik im Einsatz ist würde dieser neue Router, nachdem er als Testsystem seinen Dienst getan hat, zum Backuprouter für die Standorte werden. Sobald ein Router z.B. durch einen Hardwaredefekt ausfällt könnte man den Backuprouter mit der jeweiligen Standortkonfig bespielen und zum jeweiligen Standort bringen, anschließen und man wäre wieder online. Alle Standorte sind etwa 2-3 Fahrstunden auseinander.

[Chief Wiggum]

vor 14 Minuten schrieb Timo118de:

Ich müsste den Kompletten Router aus Einzelteilen zusammen bauen und Pfsense frisch installieren.

Kannst du mir erklären, warum du an so einer zentralen Stelle selbstzusammengebastelte Hardware verwendest statt eine fertige Appliance mit Supportvertrag? Oder wenigstens einen "echten" Server mit Servicevertrag?

Ansonsten stimme ich @mapr zu: das ist nichts halbes und nichts ganzes.

 

[Chief Wiggum]

vor 5 Minuten schrieb Timo118de:

Sobald ein Router z.B. durch einen Hardwaredefekt ausfällt könnte man den Backuprouter [...]

Die Aussenstellen sind mit einer redundanten WAN-Strecke mit Failover angeschlossen und du willst dann wirklich ein bewusstes "single point of failure" aufbauen bei dem ein Standort mehrere Stunden offline ist? Warum hat der Standort dann überhaupt eine Failover-Anbindung? Merkst du nicht, dass das ganze etwas idiotisch ist?

[Timo118de]

vor 8 Minuten schrieb Chief Wiggum:

Kannst du mir erklären, warum du an so einer zentralen Stelle selbstzusammengebastelte Hardware verwendest statt eine fertige Appliance mit Supportvertrag? Oder wenigstens einen "echten" Server mit Servicevertrag?

Ansonsten stimme ich @mapr zu: das ist nichts halbes und nichts ganzes.

 

Direkt von der Geschäftsführung wurde wohl eine kostengünstige Opensourcelösung gewünscht, und dies ist dabei rausgekommen. Hier gibt es wenig Aussicht auf eine Änderung.

[Timo118de]

vor 8 Minuten schrieb Chief Wiggum:

Die Aussenstellen sind mit einer redundanten WAN-Strecke mit Failover angeschlossen und du willst dann wirklich ein bewusstes "single point of failure" aufbauen bei dem ein Standort mehrere Stunden offline ist? Warum hat der Standort dann überhaupt eine Failover-Anbindung? Merkst du nicht, dass das ganze etwas idiotisch ist?

Der Standort (Hauptstandort mit fast allen Mitarbeitern) soll für den Ausfall einer Unitymedia Leitung abgesichert werden. Passiert recht oft, dass eine Leitung oder beide mal kurz oder für mehrere Minuten ausfallen. An diesem Standort würde auch der Backup Router gelagert. Bei den anderen beiden Standorten wurde eine Entstörzeit von mehreren Stunden akzeptabel sein laut GF, da diese auch Offline arbeiten können.

[mapr]

Wäre ich Prüfer, würde ich den Antrag so ablehnen.

[Timo118de]

vor 8 Minuten schrieb mapr:

Wäre ich Prüfer, würde ich den Antrag so ablehnen.

Das Projekt an sich oder den Antrag in der jetzigen Form?

Noch ist ja genug Zeit sich über alles Gedanken zu machen bzw. Sachen zu überarbeiten...

[mapr]

Ich würde den Antrag ablehnen.
Aus dem Projekt kann man, denke ich, was machen.

[Timo118de]

Ok, dann werde ich die Tage den Antrag nochmal gründlich überarbeiten.

Vielen Dank erstmal bis hierher! 

[Wuwu]

Quote

Passiert recht oft, dass eine Leitung oder beide mal kurz oder für mehrere Minuten ausfallen

Dein Problem ist nicht eine hochverfuegbare Routerloesung zu finden, sondern zuverlaessige Internetdienstleister...