vLan1 en vLan2

[stronk]

Beste allen,

Zeer gelukkig met de USG router en switch 8-60w en AP. Wat een mooi spul.
Ik heb een aantal vLan's opgezet en het werkt als een tierelier. Nu is er de optie Network Access - Guest Policies. Enabled kunnen de vLan's elkaar niet zien en benaderen. Prachtig.
Als de optie uit staat dan wel. Nu wil ik de schuif enabled hebben en dan met 1 ip-adres van het ene vLan naar het andere vLan kunnen. Wat is hier het beste om te doen?
Mijn eigen gedachte is: schuifje disabled en dan een firewall rule maken en alles dicht zetten en dan 1 rule met ipadres dat wel naar het andere vLan mag. Of kan het ook met schuifje enabled en dan 1 rule voor desbetreffende ip-adres?
Dank voor de antwoorden alvast!
Groet, Rens

 

[PcRene]

Ik heb “schuifje” even moeite je verhaal te volgen. Wat wil je bereiken?

 

[stronk]

Het gaat om dit "schuifje""



Wat ik wil bereiken is dat er 1 laptop met met ip-adres 192.168.6.6 van het vLan 6.x naar vLan 192.168.2.x kan. Rest van 6.x nooit. En dat schuifje heeft mij geleerd dat disabled het hele 6.x vLan kan connecten met 2.x vLan. Enabled kan het hele 6.x vLan niet naar het ander vLan.

 

[PE1PQX]

Het is juist de bedoeling dat gasten geen contact kan krijgen met jouw privé lan, en andersom ook niet.

 

[stronk]

Dat begrijp ik. Als ik 1 laptop van een vLan toegang wil verlenen op een ander vLan is dat mijn beslissing.

 

[PE1PQX]

Klopt, dan is het (tijdelijk) aanmelden op het gastennetwerk een optie??

 

[edwin2019]

Scenario IoT op ene maar je wilt een device wel kunnen benaderen vanaf het andere vlan?

 

[stronk]

Klopt, normaal is het dicht maar met dat je bijv. met 1 device op een vLan naar je controller die op je ander vLan draait.

 

[stronk]

Oplossing. Guest Policies uit en dan een Lan In drop voor alle vLans (groep gemaakt) en daarboven een Lan In accept rule die alleen 1 ipadres toelaat naar het andere vLan adres.

 

[PcRene]

Heb je daar voor de leken onder ons, een korte gedetailleerde beschrijving van: ter vermaak en ter lering.

 

[stronk]

Situatie:

Wifi netwerk:

PrivéWifi zonder Guest Policies
WerkWifi zonder Guest Policies
GastenWifi met Guest Policies (geknepen bandwidth)
CameraWifi met Guest Polices (geknepen bandwidth)

Netwerk:

Management Corporate Lan 192.168.2.0/24
Privé vLan Corporate Lan 192.168.10.0/24
Werk vLan Corporate Lan 192.168.6.0/24
Gasten vLan Guest Lan 192.168.11.0/24
Voip vLan Corporate Lan 192.168.4.0/24
Camera vLan Corporate Lan 192.168.12.0/24

DNS:

Raspberry voorzien van de Unifi Controller en Pi-hole 192.168.2.5

Alle vLans kunnen niet naar elkaar toe en zien elkaar ook niet. Deels door de Guest Policies en deels door firewall rules.
Alle devices gebruiken de Raspberry als DNS zodat al het verkeer door de Pi-hole gaat.

Nu heb ik in de firewall sectie een groep aangemaakt met alle vLans behalve het Werk vLan.
Ook heb ik andere groepen aangemaakt voor verschillende vLans en met poorten die geblokkeerd moeten worden voor Werk vLan.
Dan heb ik een rule aangemaakt dat alleen mijn werk laptop mag verbinden naar de DNS want anders heb ik geen internet.
Dan heb ik een rule aangemaakt dat het Werk vLan niet mag connecten op de poorten van de Controller en de Pi-hole op de DNS Raspberry.
Dan heb ik een rule aangemaakt dat het Werk vLan niet naar andere vLans kan.

Dan heb ik ook een site-to-site IPsec verbinding van mijn Werk vLan naar de cloud server van mijn werk.
En ik heb een OpenVPN verbinding opgezet naar mijn netwerk wat ik hierboven heb beschreven.

Wensenlijst:

Raspberry erbij om de Controller te scheiden van de DNS.

 

[edwin2019]

Waarom dan geen cloudkey v2? Iets duurder maar wel heel simpel te beheren en een nett shutdown via ingebouwde accu

 

[stronk]

De cloudkey ken ik niet en zal het onderzoeken of het wat is. Dank voor de tip.

 

[stronk]

Cloudkey bekeken en als toevoeging op de spullen die ik nu heb eigenlijk overbodig.