Vlan iot synology nas

PJaco

PJaco

Brons
UniFier
1 apr 2023
43
2
8
40
Essen
Goede avond allen,
Al even aan het bekijken, waar de fout zit!
Ik heb namelijk een aparte vlan aangemaakt voor het iot netwerk.
En dit met de tut van crostalk. Zeer mooie en duidelijke uitleg. Ook alles getest en werkt super.
Enkel geraak ik er niet aan uit dat mijn beide nassen op mijn main Lan, toch gevonden en benaderd kunnen worden vanuit het iot netwerk. Wat ik eigenlijk absoluut niet wil.
Bv mijn udm pro daarin tegen is niet te bereiken wegens die firewal regels die in de tut voorkwamen dus dit is top.

Wie kan er helpen.
Bedankt
 
Dan heb je je firewall regels dus niet goed. Want verkeer tussen main LAN en IoT wordt niet geblokt.
 
  • Leuk
Waarderingen: PJaco
Meer algemene best practice:

standaard staat alle inter-VLAN verkeer open. Zet dat op slot en maak een LAN In regel die alle verkeer dropped van en naar de volgende IP ranges:

1691440364935.png

Nu kan je IoT niet meer bij je NAS. Maak vervolgens regels die de uitzonderingen moeten vormen, dan ben je volledig in control.
 
Laatst bewerkt:
  • Leuk
Waarderingen: Bartfo en PJaco
Eddie the Eagle zei:
Meer algemene best practice:

standaard staat alle inter-VLAN verkeer open. Zet dat op slot en maak een LAN In regel die alle verkeer dropped van en naar de volgende IP ranges:

Bekijk bijlage 7958

Nu kan je IoT niet meer bij je NAS. Maak vervolgens regels die de uitzonderingen moeten vormen, dan ben je volledig in control.
Klik om te vergroten...
Hoi Eddie ik heb de groep RFC1918 toegevoegd aan mijn firewall. Maar nu blockt het mijn internet via vpn en kom er even niet meer uit ? gebruik Wireguard als vpn server op de udm pro
 
Hehedreammachine zei:
Hoi Eddie ik heb de groep RFC1918 toegevoegd aan mijn firewall. Maar nu blockt het mijn internet via vpn en kom er even niet meer uit ? gebruik Wireguard als vpn server op de udm pro
Klik om te vergroten...
Yep, dat vind ik juist de beauty hiervan. Elk toegestaan Inter-VLAN verkeer zul je voor die regel moeten zetten. In de Wireguard instellingen heb je een subnet vastgelegd, afwijkend van je default. Hieronder 192.168.12.0/28 bij mij.


1692001504282.png

Door die RFC1918 regel mag die niet meer naar een ander VLAN. Je zult dus een accept regel moeten maken in de trant van:

accept
van: IP range van wireguard
naar: default of waar je naar toe wilt

Ik gebruik wireguard alleen op mijn UDR dus ik was hier nog niet tegen aan gelopen. Ik kan je wel al wat andere tips geven:

- je kunt vanuit default nu niet meer naar bv een IoT netwerk, aparte regel maken
- IoT mag niet meer terugpraten, aparte established & related regel maken
- je komt niet meer bij je modem, apart regel maken
- etc voor elke toegestane inter-VLAN, denk ook aan Pihole etc.

het blijft me verbazen hoeveel apparaten nog intern verbindingen proberen op te zetten, dat wordt allemaal tegengehouden door deze setup.
 
Eddie the Eagle zei:
Yep, dat vind ik juist de beauty hiervan. Elk toegestaan Inter-VLAN verkeer zul je voor die regel moeten zetten. In de Wireguard instellingen heb je een subnet vastgelegd, afwijkend van je default. Hieronder 192.168.12.0/28 bij mij.


Bekijk bijlage 7993

Door die RFC1918 regel mag die niet meer naar een ander VLAN. Je zult dus een accept regel moeten maken in de trant van:

accept
van: IP range van wireguard
naar: default of waar je naar toe wilt

Ik gebruik wireguard alleen op mijn UDR dus ik was hier nog niet tegen aan gelopen. Ik kan je wel al wat andere tips geven:

- je kunt vanuit default nu niet meer naar bv een IoT netwerk, aparte regel maken
- IoT mag niet meer terugpraten, aparte established & related regel maken
- je komt niet meer bij je modem, apart regel maken
- etc voor elke toegestane inter-VLAN, denk ook aan Pihole etc.

het blijft me verbazen hoeveel apparaten nog intern verbindingen proberen op te zetten, dat wordt allemaal tegengehouden door deze setup.
Klik om te vergroten...
Bedankt voor je uitleg ik gebruik 192.168.8.x range voor Wireguard. Ik loop alles tegen paar dingen aan welke type gebruik ik voor vpn toegang te krijgen en hoe geef ik bij ip aan dat het om een range gaat 192.168.8.2 - 192.168.8.14 zoiets?
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..

Vergelijkbare onderwerpen

B
Kan Synology niet benaderen vanuit VLAN (UniFi)
Reacties
26
Weergaven
308
Routers
Eddie the Eagle
Eddie the Eagle
rheinen
Geen internet bij 'verplaatsen' Pi-holes naar ander VLAN
Reacties
28
Weergaven
460
Overig
gjurriens
G
Toolhead
VM in VLAN
Reacties
16
Weergaven
2K
Enterprise of Things
Eddie the Eagle
Eddie the Eagle
M
VLANs, IoT en NAS
Reacties
17
Weergaven
4K
Switches
klaasvs31
K
The_ike_master
Een uitdaging mbt IoT en 1 uitzondering
Reacties
20
Weergaven
4K
Enterprise of Things
The_ike_master
The_ike_master
Bovenaan Onderaan
Terug