LAN naar VLAN (guest) wireless, geen ping

Eddie the Eagle

Moderator
UniFier
8 feb 2019
4.009
4
2.975
163
Ik ben de eerste voorzichtige stapjes naar VLAN aan het zetten. Mijn guest wifi liep over het standaard LAN maar sinds vandaag heb ik daar een apart guest VLAN voor aangemaakt en het guest wifi daaraan gekoppeld, dus met eigen subnet. Werkt prima, de iphone die aan het guest wifi hangt, neemt zijn IP uit het nieuwe subnet .2 ipv uit het standaard LAN subnet .1

Daarna heb ik de firewall regel aangemaakt om standaard LAN toegang te verlenen tot het guest VLAN. Dan zou ik het IP adres (.2) van die iphone toch moeten kunnen pingen ? Toch lukt dat niet, enig idee wat ik fout doe ?
 
Dus met andere woorden jij hebt toegang tot het Gast netwerk maar het Gast netwerk niet tot jou en dat is ook de bedoeling van Vlan.
Als je wilt dat het Gast netwerk toegang heeft tot een bepaalde ip op het lan netwerk dan moet je daar ook een rol voor maken.
Bv. Je wil dat je Gast netwerk toegang heeft tot pi hole in het lan netwerk dan moet je een rol maken van het Gast netwerk poort 53 naar het lan netwerk en ip adres van je pi hole. Hopelijk is het nu iets duidelijker.
 
Uh dit snap ik niet want werkt hier wel degelijk, of mis ik iets?

Voorbeeld hier, iPad zit op main LAN (192.168.1.141) en mijn Marantz Processor zit op IoT 192.168.20.188) en toch werkt ping gewoon en zijn er geen lost packets als ik de Marantz. Dat is toch ook wat Eddie doet, ping van main LAN naar toestel op guest LAN
 
Uh dit snap ik niet want werkt hier wel degelijk, of mis ik iets?

Voorbeeld hier, iPad zit op main LAN (192.168.1.141) en mijn Marantz Processor zit op IoT 192.168.20.188) en toch werkt ping gewoon en zijn er geen lost packets als ik de Marantz. Dat is toch ook wat Eddie doet, ping van main LAN naar toestel op guest LAN
klopt, is precies hetzelfde (althans naar beste eer en geweten)
 
Bij een gast netwerk wordt de toegang van een apparaat tot je andere netwerken al in de AP zelf geblokkeerd. Immers de gast netwerk functie van de AP werkt ook zonder USG. Als het goed is kunnen apparaten op hetzelfde gast netwerk onderling al niet eens communiceren.
Als je een ”gewoon” ander VLAN opzet, met een WiFi netwerk zonder guest policy, dan loopt de blokkade wel via de USG.

Maar ik snap eerlijk gezegd de bedoeling ook niet. Met een gast netwerk wil je juist dat álles geblokkeerd en geisoleerd is om veilig te zijn. Waarom dan via omwegen weer gaten in de beveiliging aanbrengen?
 
Bij een gast netwerk wordt de toegang van een apparaat tot je andere netwerken al in de AP zelf geblokkeerd. Immers de gast netwerk functie van de AP werkt ook zonder USG. Als het goed is kunnen apparaten op hetzelfde gast netwerk onderling al niet eens communiceren.
Als je een ”gewoon” ander VLAN opzet, met een WiFi netwerk zonder guest policy, dan loopt de blokkade wel via de USG.

Maar ik snap eerlijk gezegd de bedoeling ook niet. Met een gast netwerk wil je juist dat álles geblokkeerd en geisoleerd is om veilig te zijn. Waarom dan via omwegen weer gaten in de beveiliging aanbrengen?
klopt klopt klopt, was meer omdat er zometeen ook nog een IoT VLAN bijkomt die wel via LAN te bereiken moet zijn. Dit was dus een eerste test.
 
Je hebt trouwens helemaal gelijk, ga er mee stoppen en zometeen IoT VLAN aanmaken en daarmee verder. Laatste vraagje dan hierover.

Guest VLAN: guest policy dan beter wel aanzetten ?
 
mm, is ook waar. Ik heb deze instructie gevolgd bij 1 uur 6 min. Daar gaat het toch ook zo (?) Ik mis iets.

Ik heb net het filmpje even bekeken maar vind hem zelf behoorlijk ingewikkeld maar dat kan ook aan mij liggen. Zelf vond ik onderstaande filmpje heel duidelijk hoe je ook IoT netwerk moet opzetten en wat verder op in het filmpje word ook uitgelegd hoe je dit in Unifi doet dus kijk eens of je hier wat aan hebt.

 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.