UDM/Pro UDM-Pro - The complete setup 2021 (Crosstalk Solutions)

UniFi UDM/Pro Routers
Status
Niet open voor verdere reacties.
In deze video (5) zie je dat Chris vanaf minuut 24 ingaat op Local LAN regels om te voorkomen dat het IoT VLAN naar de GUI van de gateway kan. Dus hij blokkeert de poorten voor http, ssh van IoT->gateway. Gebruiken jullie deze Local LAN regels ook en zijn ze zinvol ?
Ik gebruik ze ook om dezelfde reden als SDeath.
 
  • Leuk
Waarderingen: m4v3r1ck
Voor IoT inderdaad. Maar op een gast netwerk moeten sowieso alle andere apparaten op datzelfde gastnetwerk onzichtbaar zijn.
Goede tip! Heb je een linkje naar een video/beschrijving hoe je dit kan realiseren?
 
Voor IoT inderdaad. Maar op een gast netwerk moeten sowieso alle andere apparaten op datzelfde gastnetwerk onzichtbaar zijn.
Klopt, daarom heb ik het alleen ingesteld bij mijn IoT en Camera VLAN (regels 2003 en 2004). In mijn Gasten VLAN zijn sowieso alle apparaten geïsoleerd.

1642769703031.png
 
  • Leuk
Waarderingen: m4v3r1ck
Klopt, daarom heb ik het alleen ingesteld bij mijn IoT en Camera VLAN (regels 2003 en 2004). In mijn Gasten VLAN zijn sowieso alle apparaten geïsoleerd.

Bekijk bijlage 4636
Die regels 2003 & 2004 snap ik (guest LAN heeft al device isolation) maar wat doen die regels 2000/2001/2002 dan ?

edit: laat maar, snap ze al, die blokkeren de gateways van de 'andere' netwerken. Staat ook in dezelfde video maar dan bij minuut 20.
 
Laatst bewerkt:
  • Leuk
Waarderingen: rheinen en m4v3r1ck
Als je een netwerk in de controller definieert als Gast netwerk zou dat al automatisch moeten gebeuren. Verder geen instelling noodzakelijk.
Ik las wel dat je in je Gasten WiFi Netwerk, L2 Isolation aan moet vinken. Want zonder zie ik wel alle andere devices. Klopt dit?

edit: met L2 Isolation aan zie ik alleen mijn iPhone en mijn Honeypot in WiFiman Discovery.
 
  • Leuk
Waarderingen: bilek539
Klopt, daarom heb ik het alleen ingesteld bij mijn IoT en Camera VLAN (regels 2003 en 2004). In mijn Gasten VLAN zijn sowieso alle apparaten geïsoleerd.

Bekijk bijlage 4636
Ik heb het net even getest maar die regel 2001 kun je weglaten als je een Guest-type netwerk hebt. Die komt al niet bij de gateways door de device isolation. De andere regels ga ik ook instellen.
 
En Chris laat je ook deze gateway IP groep aanmaken om te voorkomen dat het IoT netwerk bij de poorten 22/80/443 daarvan kan terwijl in de regel daarvoor (2000 in het filmpje; 2001 is al geheel overbodig) reeds de algehele gateways voor MAIN LAN & Guest LAN geblokkeerd zijn met IoT als source. Deze regel is alleen van toepassing op de gateway v/h IoT zelf, dus die groep hoeft alleen dat IP te hebben.

1642778537894.png
 
  • Leuk
Waarderingen: MartinM en m4v3r1ck
Dus zo ziet ie er bij mij nu uit:

1642779402304.png

regel 2000 zorgt dat IoT niet bij de gateways van Main LAN & Guest LAN kan
regel 2001 zorgt dat IoT niet bij zijn eigen gateway kan voor HTTP(S) en SSH
 
  • Leuk
Waarderingen: MartinM en m4v3r1ck
Voor IoT inderdaad. Maar op een gast netwerk moeten sowieso alle andere apparaten op datzelfde gastnetwerk onzichtbaar zijn.
Zie het dan als een extra veiligheid, mocht Device Isolation om wat voor reden dan ook niet goed werken door bijvoorbeeld een firmware update zijn er altijd nog firewall regels die het toegang ook voorkomen.

Ik heb het geloof ik toen ik alles instelde wel getest, dus ik vraag me af of Device Isolation wel de toegang to de router zelf voorkwam. Maar dat weet ik niet 100% zeker meer.
 
  • Leuk
Waarderingen: m4v3r1ck
Ik heb vnl deze gevolgd bij de setup van mijn SE:
met een paar dingetjes van die tutorials aan het begin van deze thread.
Ik heb de TV op IoT network zitten en de computers op de main vlan. Main network heeft toegang tot de IoT, maar niet de andere kant op.
Nu kan ik van de Macbook geen powerpoint laten zien als die op de main zit. wel als ik met de macbook inlog op de IoT zit. Is er verkeer van powerpoint die terug moet en wordt geblokkeerd door de firewall?
 
Maak hier even een apart nieuw draadje van in plaats van een oud draadje te kapen. Deze sluit ik.
 
  • Leuk
Waarderingen: dbw
Status
Niet open voor verdere reacties.
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.