Input/hulp gevraagd - Gescheiden netwerken met firewall rules

Redwish

Inactief
Berichten
1
Waarderingsscore
0
Punten
0
Beste forumleden! Mijn eerste post hier en meteen val ik met de deur in huis voor een aantal vragen waarbij jullie mij wellicht wijzer kunnen maken.

Ik ben bezig met vlan-netwerken voor oa. IoT. Nu heb ik verschillende handleidingen al gevonden, ook de videos van "Crosstalk Sollutions" en "The Hook Up" welke mij al wel een basis geven maar door alle verschillende opties en mijn beperkte basiskennis op dit gebied (VLAN met Firewall-rules) zie ik door de bomen het bos niet meer.

Ik heb 5 (vlan-)netwerken liggen. Deze zijn Privé, IoT, Werk, Gast (VLAN, geen gastprotocol erop omdat mijn gasten vrij op internet mogen) en een apart netwerk op WAN2/LAN2 voor een andere ruimte.

De situatie die ik nu probeer te bereiken is:
- Privé (192.168.1.0/24): Hoofdnetwerk, mag overal in komen.
- IoT (192.168.2.0/24): Voor alle slimme apparaten icl. aansturing, mag niet in andere VLANs komen.
- Werk (192.168.3.0/24): Mag niet in andere VLANs komen ivm monitoring vanuit werkgever
- Gast (192.168.4.0/24): Mag niet in andere VLANs komen
- WAN2/LAN2: Mag niet in andere VLANs komen, is een "apart netwerk" met eigen router etc.

In "Netwerken" heb ik alle netwerken al aangemaakt met de respectievelijke VLANs gekoppeld. Deze heb ik ook al aan elke aparte SSID gekoppeld waardoor ik nu 4 SSIDs uitzend.

Nu moet ik wel vanuit het IoT netwerk via specifieke poorten in mijn Privé netwerk komen (bijv. Plex server via 32400, AdGuard via 53, Sonos via 5300 etc.).

Waar ik vooral tegenaan loop is de basis opzetten. De netwerken zullen dus ongewijzigd blijven na deze opzet en ik zal hooguit firewall rules opzetten voor specifieke toepassingen. Ik ben zover dat ik in "LAN IN" moet zijn om dit werkend te krijgen, maar als ik de videohandleidingen volg dan blokkeert hij of alles, of als ik probeer een poort open te zetten (Poort 32400 vanuit IoT naar Privé) dan kan ik ineens toch op mijn hele prive-netwerk komen en alles zien. Als de basis er ligt en ik weet hoe ik nu juist de regels op kan zetten verwacht ik ook dat dit mij zelf verder lukt zonder dat ik voor elke poep en scheet hulp nodig heb.

Is er iemand die een soortgelijke opzet heeft en mij hierin verder kan helpen, want ik snap er niet veel meer van wat ik nu zelf verkeer doe. Gezien elke handleiding een beetje anders is heb ik nog geen regels aangemaakt in de Firewall, dus ik kan met een blanco basis beginnen.

Aanvullende vraag, meer op de toekomst gericht. Ik wil eigenlijk mijn poorten niet taggen voor VLANs. Dit omdat ik wellicht nog een keer wat moet omprikken. Is het ook mogelijk om een apparaat te taggen zodat hij altijd, ongeacht waar ik hem inprik, hij gedwongen op een VLAN gaat zitten? Als ik bijv. besluit om de IKEA Tradfri Hub te verplaatsen vanwege zijn bereik o.i.d. dat hij automatisch in het IoT-vlan komt? Dit scheelt meteen weer configureren als de opzet fysiek wijzigt.

Toevoeging
De hardware die ik gebruik:
- USG
- US-8
- US-8-60W
- USW-Flex-Mini
- AP-AC-Pro
- AP-AC-LR
- Controller 5.12.66 gehost in Synology Docker
 
Laatst bewerkt:
Bovenaan