/ guestpost

[GER]Neues Projekt: Sophos UTM 9, Hetzner und IPv6

Ich bin momentan im allgemeinen mit der Verwaltung und Anbindung meiner Netze ziemlich unzufrieden. Es gibt vier verschiedene IP Adressen, jede mit einer eigenen Router-VM. Diese Router VMs laufen jeweils mit IP-Fire.

Das ganze funktioniert zwar und erfüllt auch seinen Zweck, ist aber meiner Meinung nach unschön und hat viel zu viel Overhead. Nach ein wenig Recherche und Beratung mit meinem Co Admin habe ich mich dazu entschieden mir die Sophos UTM 9 Software Appliance anzuschauen.

An diesem Punkt möchte ich erstmal beschreiben, was genau meine Ziele mit diesem Projekt sind:

  • Ich möchte alle Ip Adressen und Netze über die UTM managen bzw routen können.
  • Die internen Netze sollen untereinander vernünftig konfigurierbar kommunizieren
  • Der eingehende Traffic soll gefiltert werden
  • Jeder virtuellen Maschine soll eine Adresse aus meinem 64er IPv6-Subnetz zugewiesen werden und darunter auch erreichbar sein
  • Eine VPN Lösung für das Netzwerk muss gefunden werden
  • Nat bzw. Dnat soll problemlos möglich sein
  • Es soll für alle Maschinen möglich sein über die ihnen bzw ihrem Netz zugeordnete IP nach Außen zu kommunizieren

Grundlegend sind das ja alles erreichbare Ziele.
Momentan habe ich die UTM auf einer nicht benutzten Ip aufgesetzt und spiele damit herum. Es ist eindeutig klar. Das ist keine Sache für mal eben schnell und dann geht das schon.
Es bedarf einiger Einarbeitung und ja ich gebe auch zu: "Ich habe das Handbuch gelesen."
Geholfen hat aber das auch nur beschränkt. Gerade, wenn es um das richtige anlegen des Routings von den IPv6 Adressen und dergleichen geht bedarf es einigem googlens, aber ich komme langsam Stück für Stück vorran alles ans laufen zu kriegen. Wenn das dann alles irgenwan einmal mit der einen IP läuft werde ich dann aber auch Stück für Stück die anderen IPs auf die schon dafür eingerichteten virtuellen Netzwerkkarten binden und dann meine bisherigen Routereinstellungen in das neue Setup migrieren.

Wie das ganze dann von statten geht werde ich in wahrscheinlich mehren weiteren Blogposts dokumentieren und auch darin zeigen, wie man mit hetznerspezifischen Schwierigkeiten und allen anderen Hürden bei einem solchen Setup klar kommt.

Bis dahin!