ich habe einen bisschen extravaganten Aufbau.
Firewall zum Internet ist eine pfsense auf einem apu-board (apu2e4). Da dran hängt mein Hauptswitch, ein mikrotik crs 326, an dem dran nochmal ein crs326, ein crs 309 und ein dlink dgs-1510-28x, und noch 2 kleine managed dlink switches. Bis auf die kleinen sind alle mit 10gb fibrechannel verbunden.
Extravagant deswegen, weil die pfsense "nur" die internet-firewall ist. Das routing und firewall im internen netz zwischen ca 10 vlans übernimmt der erste mikrotik crs326. Auf der pfsense sind statische Routen auf den mikrotik eingerichtet, ansonsten weiss die ofsense von den vlans nichts. Zwischen den vlans sitzt also die mikrotik firewall mit einer mittlerweile ellenlangen liste an rules. Nur wenn ein paket auf 0.0 0.0 geht, wird auf die pfsense geroutet (statische route an die pfsense), die nur gb-ethernet hat.
Die pfsense könnte eigentlich weg und der mikrotik selbst das gateway machen, aber ich wollte halt unbedingt pfsense im Einsatz. So ist die Last besser verteilt, weil die pfsense sich nicht mit den vlans beschädtigen muss und alles durch den gb Flaschenhals muss. Als nächstes werde ich für den uplink von mikrotik zu pfsense ein port mirroring machen und den gespiegelten port an eine barebone security onion installation senden für snort.
Ich weiss schon, dass 2 firwalls nicht empfoglen wird, aber da firewall 1 (pfsense) fürs wan zuständig ist und firewall 2 (mikrotik) fürs lan/vlan, finde uch, dass das schon so passt. Ist halt historisch gewachsen so.
Kann jedem hier eine Blick auf mikrotik ans Herz legen, deren Software RouterOS ist der Hammer, das kann allesy spielt in der Liga der teuren Cisco Switches, die das zigfache kosten. Die CPU könnte stärker sein, aber für mich reicht es.
Weiss auch nicht, warum Mikrotik so selten erwähnt wird.