VLAN tips IoT

[Bryan]

Hi,

Ik wil mezelf meer gaan verdiepen in de firewall mogelijkheden van Unifi. Ik heb een aantal netwerken aangemaakt incl. VLAN ID, waaronder een IoT netwerk. Nu wil ik via de firewall instellen dat de apparaten uit mijn 'gewone' netwerk wél kunnen communiceren met de apparatuur in het IoT netwerk (voor het aansturen van smart home apparatuur), maar dat het IoT netwerk niet terug kan communiceren met mijn andere netwerken. Hoe zet ik dit op?

Nog beter zou zijn dat mijn 'gewone' netwerk kan communiceren richting alle andere netwerken (VLAN's), behalve het gasten netwerk, maar de VLAN's niet richting mijn privé netwerk kunnen kijken.

Alvast heel erg bedankt voor een ieder die hier tijd aan wil besteden!

 

[Komodo]

Een eerste aanzet: Ik heb een VLAN voor IoT (IDIoT) en die mag niet naar mijn netwerk. Dat ziet er bij mij zo uit:


Regel 2000:



Regel 4000:


Bij mij werkt dit. Het kan vast beter en professioneler maar dan moet ik eerst een MCSA gaan halen

 

[Bryan]

Een eerste aanzet: Ik heb een VLAN voor IoT (IDIoT) en die mag niet naar mijn netwerk. Dat ziet er bij mij zo uit:
Bekijk bijlage 6913

Regel 2000:

Bekijk bijlage 6914

Regel 4000:
Bekijk bijlage 6915

Bij mij werkt dit. Het kan vast beter en professioneler maar dan moet ik eerst een MCSA gaan halen

Dank voor je reactie! Unifi accepteert naar mijn weten sowieso het communiceren tussen VLAN's toch? Is de 2000 regel in dat geval wel noodzakelijk? Misschien zit ik er helemaal naast hoor

 

[Komodo]

Dat zou zo maar kunnen. Ik heb die regel toegevoegd nadat ik een video van Chris van CrossTalk Solutions had bekeken. Ik heb me er verder niet zo in verdiept

 

[Hofstede]

Het gaat hier om "Established and related". Dat wil zeggen dat als er vanuit main LAN een verbinding wordt opgebouwd naar IoT dan mag IoT ook antwoorden. Echter kan IoT niet zelf een verbinding naar main LAN initieren.

Het vrijuit communiceren tussen VLANs wordt uitgeschakeld door regel 4000. Dat moet want anders hebben de voorgaande firewalll regels geen enkel nut.

 

[Bryan]

Het gaat hier om "Established and related". Dat wil zeggen dat als er vanuit main LAN een verbinding wordt opgebouwd naar IoT dan mag IoT ook antwoorden. Echter kan IoT niet zelf een verbinding naar main LAN initieren.

Het vrijuit communiceren tussen VLANs wordt uitgeschakeld door regel 4000. Dat moet want anders hebben de voorgaande firewalll regels geen enkel nut.

Dus als ik de stappen van Komodo volg is het goed?

 

[Hofstede]

Dat hangt er helemaal van af wat je wilt bereiken met dat VLAN. Maar het is een goed uitgangspunt..

 

[Bryan]

Dat hangt er helemaal van af wat je wilt bereiken met dat VLAN. Maar het is een goed uitgangspunt..

Ik heb een aantal netwerken met VLAN ID's;

- Privé (het gewone privé netwerk)
- IoT
- Camera
- Guests (hier hoeft Privé niet mee te kunnen communiceren)

Het geen dat ik zoek is dat ik vanuit Privé wil kunnen communiceren met de andere VLAN's (voor bijv. het aansturen/bekijken van smart home apparatuur, het alarmsysteem en camera's) maar dat deze merken (waar ik bridges van heb staan in de meterkast) niet naar mijn Privé netwerk kunnen kijken ivm privacy.

 

[Eddie the Eagle]

Of je volgt deze serie, daar komt het allemaal aan bod.

 

[boomer]

Aansluiten hierop is er ook een makkelijke manier om AirPlay en airprint door te laten op het wifi guest netwerk