Een uitdaging mbt IoT en 1 uitzondering

[The_ike_master]

Hallo allemaal,
dit is mijn eerste post hier.
Ik loop al een tijdje te stoeien met mijn firewall regels.
Ik zal eerst een kleine intro geven over de aanwezige netwerken hoe dit ingesteld staat

Lan netwerk vlan - (0)
Guest vlan - vlan 90 (ingesteld als guest en geisoleerd van de rest)
Childeren - vlan 30 (andere dns instellingen voor content filter)
Isolated - vlan 20 (compleet geïsoleerd en al het uitgaande verkeer wordt geblokkeerd)
Enterprise netwerk - vlan 50 (appart wifi met alleen 5ghz en radius server)
IoT - vlan 300

In de firewall zijn de volgende regels op Lan in
2000- Allow all communication between vlan - source: all -> destination: all -> action: accept
2002- Block IoT to Vlans - Source: (network) IoT -> destination: (address group) All but IoT -> action: drop
-- De groep All but IoT bevat alle subnets behalve die van IoT
2003- Allow 192.168.4.17 to 192.168.1.200 - Source ip) 192.168.4.17 -> Destination: (ip) 192.168.1.200 -> action: allow
-- 192.168.4.17 bevind zich in IoT(300) en 192.168.1.200 bevind zicht in lan(0)

Bovenstaand zijn de relevante firewall settings die problemen geven met wat ik wil bereiken.
IK wil graag dat 1 ip adres binnen IoT verbinding mag maken met alleen ip adres in lan.

Is dit mogelijk?
En zo ja wat doe ik verkeerd.

Kunnen jullie me misschien een zetje in de juiste richting geven?

 

[Stiibun]

2002 en 2003 omwisselen denk ik dan. Firewall regels worden in volgorde afgehandeld.

 

[The_ike_master]

Dank je voor je reactie. Ook dat werkt niet

 

[Hofstede]

Je eerste regel (2000) staat al het verkeer tussen VLANs toe. Dus de daaropvolgende regels doen dan al niets meer.

 

[Stiibun]

Ah mijn fout, ging er vanuit dat regel 2000 alleen voor het LAN VLAN (0) was. Is dat niet wat de USG standaard aanmaakt? Hummm even gekeken, niet dus volgens deze pagina

• LAN_IN: The pre-defined rules will allow all traffic outbound traffic without restrictions: LANs to other LANs, LANs to the Internet, even LAN to "Guest" type networks.

 

[The_ike_master]

Sorry ben een deel vergeten te zeggen.
IoT is wel geïsoleerd van de rest van de vlans. Ook kunnen de vlans bij de apparaten op IoT. IoT kan daar in tegen niet communiceren met de andere vlans. Het enige wat ik wil is dat apparaat kan communiceren met 1 apparaat op lan. De rest werkt alleen de uitzondering niet

 

[Hofstede]

Welke twee apparaten wil je met elkaar laten praten? Let er wel op dat als de communicatie via broadcasts plaatsvindt dat je ook de MDNS service aan moet zetten in de controller. Die stuurt namelijk de broadcasts door naar andere VLANs.

 

[The_ike_master]

op 192.168.1.200 bevind zich een Nas (netwerk LAN geen vlan) deze wil ik toegankelijk maken voor het ip adres 192.168.4.17 (Netwerk IoT vlan 300)
MDNS staat aan.
Een ping uitvoeren vanaf een apparaat binnen LAN naar 192.168.4.17 gaat goed en geeft een response. Een ping vanaf 192.168.4.17 naar 192.168.1.200 geeft een time out. De verbinding blijft dus ook gesloten.

Kom in de verleiding de firewall regels opnieuw op te bouwen vanaf scratch.

Maar is het zover jullie weten mogelijk om een uitzondering te configureren binnen een VLAN waarbij de rest van het VLAN niet naar andere VLANs kan communiceren behalve 1 ip adres?
En welke volgorde in de firewall moet ik dan aanhouden?
Of zit fout in de manier waarop ik de blokkade maak in de firewall op subnet niveau dat ik geen uitzondering op ip kan maken. Dat ik dit op lan niveau moet blokkeren.

 

[Hofstede]

Volgens mij heb je nu alleen een verbinding van 192.168.4.17 naar 192.168.1.200 toegestaan, maar heb je ook 192.168.1.200 naar 192.168.4.17 toegestaan? Het moet wel beide kanten op kunnen.

 

[The_ike_master]

Goed punt : ) .
Ik zal het later eens uitproberen of dit het fixt. Misschien kan ik dit oplossen door in 1 firewall regel beide ip adressen te groeperen in een groep en die bij zowel de source als destination te zetten. Ik laat nog even weten of dit het heeft opgelost .
dank je wel, hier had ik niet op gekomen. Ik had geredeneerd dat de toestemming er al was door regel 2000

 

[Springer]

Zijn deze FW rules zelf aangemaakt of automatisch? Je kan logging per FW rule aanzetten, dan kan je via de logging het pakketje (via ip adres) volgen. Dan zie of dat deze door welke FW gedropt of geaccept wordt. Soms hoeft ie maar 1 kant op en soms moet ie heen en terug. Als je de logging lokaal opslaat op de CK of syslog server dan kan je die stroom volgen.

 

[The_ike_master]

De regels zijn zelf aangemaakt. Helaas zijn de log bestanden heel onduidelijk. Ga eens kijken of dit aan de synology ligt of aan unifi de logs doet. Ga zo eens een backup maken en daarna de regels in de firewall opnieuw aanmaken. Heel soms werkt dit wel eens. Gooi alle custom regels er uit en maak ze allemaal opnieuw aan. Mogelijk staat er gewoon ergens een fout. Ping reageert van 2 kanten niet meer. Hou jullie op de hoogte. Dank jullie wel in ieder geval. Vind dit een erg leuk en gemoedelijk forum. Blijf hier zeker hangen

 

[The_ike_master]

Ok ik heb het probleem gevonden en opgelost.
Het probleem zat niet in de firewall, maar in de synology.
Standaard accepteert de synology nas geen toegang van buiten zijn subnet.
De nas weet simpleweg niet hoe hij terug moet reageren op het andere subnet.
Dit fix je door een statische route te maken in de synology.
Voor het complete plaatje zal ik de configuratie van de firewall delen en hoe dit op de synology te fixen is.

Lan netwerk vlan - (0)
Guest vlan - vlan 90 (ingesteld als guest en geisoleerd van de rest)
Childeren - vlan 30 (andere dns instellingen voor content filter)
Isolated - vlan 20 (compleet geïsoleerd en al het uitgaande verkeer wordt geblokkeerd)
Enterprise netwerk - vlan 50 (appart wifi met alleen 5ghz en radius server)
IoT - vlan 300

Firewall regels
2009 Allow all to comunicate Action=allow Src=any Dst=any
2011 Allow 192.168.4.17 to 192.168.1.200 Action=allow Src= ip 192.168.4.17 Dst= ip 192.168.1.200
2012 Drop all trafic from IoT to All Action=reject (of drop net wat je wilt) Src= subnet van IoT Dst = groep met alle subnets behalve die van IoT

Synology
Configuratiescherm --> netwerk --> Statische routes
netwerkdoel=192.168.4.0 Netmasker=255.255.255.0 Gateway=192.168.1.1

Met deze configuratie behaal je het volgende
IoT heeft geen toegang tot andere Vlans.
1 Apparaat op het IoT netwerk heeft toegang tot de nas op 192.168.1.200
Alle andere apparaten binnen de andere Vlans hebben wel toegang tot de apparaten binnen het netwerk IoT

De oplossing was dus eigenlijk heel erg simpel. De NAS heeft me op het verkeerde been gezet

 

[edwin2019]

Top voor delen van de oplossing!

 

[The_ike_master]

Geen probleem . Er zijn vast meer mensen die er met een synology nas tegenaan gaan lopen . Heb er de nodige uren in gestoken om het probleem te vinden. Helaas ook niets over gevonden op internet. Erg frustrerend was het. Heb de hele firewall geleegd, en opnieuw opgebouwd om alle fouten uit te sluiten. Helaas was dit dus onnodig haha. Ach heb er weer veel van geleerd, en snap nu hoe de firewall werkt.

 

[Hofstede]

Vind dit wel vreemd. Want bij mijn NAS werkt het allemaal zonder static routing in de NAS. Zal wel ergens een klein verschil in de configuratie zijn.

 

[The_ike_master]

Dat is inderdaad wel raar. En jij hebt ook een Synology Nas? Na wat onderzoek online blijkt namelijk dat Synology veel moeite heeft met toegang vanuit ander subnets/vlans.
Zo ben ik op het spoor gekomen.
Mogelijk heb ik ergens een instelling staan in mijn Nas.
Kan opzich wel een keer testen met mijn oude synology met factory defaults.
Doe ik niets meer mee dus staat nu toch in de kast

 

[Springer]

Ik heb alleen toestaan vanaf netwerk 1 2 of 3 en dan alleen toegang tot de benodigde port numbers.

Laatste regel is een deny rule for all. Op mijn Synology.

 

[The_ike_master]

Ik heb alleen toestaan vanaf netwerk 1 2 of 3 en dan alleen toegang tot de benodigde port numbers.

Laatste regel is een deny rule for all. Op mijn Synology.

Maar heb jij om dit werkend te krijgen ook een statische route moeten maken op de nas? Of was het instellen van de firewall op de usg voldoende?

 

[Springer]

Nee heb geen statische route aan gemaakt op de Synology, alleen de range van de desbetreffende devices die daar toegang tot de Synology op aangemaakt in de FW.

Home lan heeft een eigen ip range qua FW rule en dat zelfde ook voor VPN naar de Synology.

Ik gebruik de VPN van de USG 4P

Zou het kunnen zijn dat misschien jouw gateway adres op de Synology niet klopt?