Firewall rules tussen VLAN's (UniFi)

Hallo,

Ik ben momenteel bezig met een project. Daarbij wordt er gebruikt gemaakt van een USG PRO. Het betreft een bedrijfsverzamelpand waar 1 verbinding gedeeld moet worden door 9 bedrijven. Ik heb voor alle bedrijven een apart VLAN en DHCP server gemaakt.

Tot zover gaat alles goed. Nu heb ik echter 2 problemen.

Allereerst bleek pas tijdens het installeren van de apparatuur dat de printer bij het 1e bedrijf gedeeld wordt met alle andere bedrijven. Na wat googlen kwam ik tot de oplossing om een Traffic rule aan te maken waarbij ik verkeer van alle vlan's naar de printer toe sta.

Later kwam er nog een wens bij om ook de Apple TV vanuit de gasten-wifi bereikbaar te maken, dit heb ik op dezelfde wijze ingesteld. Ook dit werkte naar behoren.

Ik kwam er pas later achter dat routing tussen vlan's standaard gewoon toegestaan is in UniFi. Toen ik dit aan banden wilde leggen kreeg ik echter een hoop problemen. Ik heb de allow rules bovenaanstaand, gevolgd door de drop rule en de default rules. (in LAN IN)

Zodra ik deze rule echter aanzet kan ik vanaf geen enkel ander VLAN als waar de printer zich in bevind meer de printer pingen.

Wie kan mij in de goede richting wijzen?

gastje01 schreef op maandag 25 september 2017 @ 22:59:
Is het te simpel gedacht om de printer ook in los VLAN te hangen die benaderbaar is vanaf de andere VLANs? (zoals je dus bij de ATV ook van plan was?). Zo zorg je er ook voor dat overige bedrijven waarvan je dit wil alleen aan de printer kunnen en niet aan de overige apparaten die in de VLAN van bedrijf 1 zitten.

Als ik behalve de printer alles block richting dat subnet, is het dan nog steeds een beveiligingsrisico?

eric.1 schreef op maandag 25 september 2017 @ 23:00:
Heb je het wel beide kanten op geregeld (geen ervaring met deze aparatuur, maar lijkt me wel nodig). Dus;

VLAN Y (all) -> VLAN X (device printer)
VLAN X (device printer) -> VLAN Y (all)
(Specifiek op service/poort uiteraard ook, maar goed)

Anders;

[...]

Drop rule achter alle default rules plaatsen?

Of laat even wat firewall regels hier zien ipv een verhaal .

Voor elk subnet heb ik de volgende rules ingesteld:
voorbeeld:
Allow printer netwerk x
before predefined rules
action: accept
protocol: all
source: network x
destination: printer
(in de firewall heb ik dan een Group aangemaakt voor printer. Waarbij ik zowel 192.168.10.10 , 192.168.10.10/32 (kon ik niet opslaan ivm een error) en 192.168.10.10/31 (waarbij ik 192.168.10.11 niet gebruik) geprobeerd. Geen van allen werkte)

Voor de AppleTV heb ik vanuit het gastennetwerk dezelfde rule gemaakt.

Als block rule:
before predefined rule
action: drop
Protocol: all
source address group: (waarbij 192.168.0.0/16 , 172.16.0.0/12 en 10.0.0.0/8 geblockt zijn)
destination hetzelfde
(dit heb ik van de UBNT website gehaald, daar zeiden ze ook before predefined rules)

Thralas schreef op maandag 25 september 2017 @ 23:16:
[...]


Het is een wijdverbreide misvatting dat 'VLANs' een soort magische scheiding van verkeer opleveren op een apparaat dat bedoeld is packets te routeren.

Nu heeft dat apparaat vast minder poorten dan jij 'klanten' hebt, dus je kunt niet om VLANs heen, maar het wordt hier te vaak genoemd als de facto scheiding (ipv. als middel om onderscheid te kunnen maken tussen verkeer).

Daar heb je een punt. Als ik even goed terugdenk aan OpenWRT schiet me weer te binnen dat zonder goede firewall rules die hele VLAN's geen echte scheiding opleveren. UniFi regelt dit automatisch als je alleen gebruik maakt van een gastennetwerk, dat maakt je blijkbaar lui...

Ik zou wat de poster boven me zegt in acht nemen, en dan toch wat meer details geven over je het nu ingericht hebt.

Verder, ook de Apple TV ken ik niet, maar volgens mij hangt het hele Apple-ecosysteem aan elkaar met Bonjour. Dan moet je er ook voor zorgen dat multicastverkeer gerouteerd wordt. En daar zou ik wel een specifieke firewallregel bij bedenken, anders 'ziet' iedereen opeens devices uit een ander netwerk.

Kun je een voorbeeld geven van hoe ik dit multicast verkeer routeer?

Ik zit trouwens ook met het probleem dat als ik de printer vanaf een ander subnet wil benaderen ik hem niet meer automatisch kan vinden. Ik kan hem dan wel op elke computer of mac toevoegen op IP, maar dat is natuurlijk wat omslachtig. Kan ik dit ook nog aanpakken?

Misschien een domme vraag, maar kan ik iets met static routes?

gastje01 schreef op dinsdag 26 september 2017 @ 11:39:
[...]


Als het goed is niet. Ik kwam in een kantoor ongeveer dezelfde situatie tegen als jij nu aan het bouwen bent (ik beheer die locatie zelf niet) en daar hebben ze de printer bewust in een eigen VLAN gehangen en een vast IP gegeven. Zo kan iedereen er aan, maar kan er ook gebruik gemaakt worden van de scanfunctionaliteit en alle andere toeters en bellen die er op dat ding zitten. Dan hoef je niet uit te zoeken hoe alle poorten zijn ingedeeld etc. Ik geloof dat er ook een stukje gemak bij kwam kijken. Wil je een 2e printer? Zelfde VLAN en klaar, rules veranderen niet.

AppleTV weet ik van een tijdelijk baantje dat ik heb gehad dat het een redelijk drama was om die dingen fatsoenlijk over meerdere gescheiden VLANs te laten werken. Durf ik je geen zinnige informatie over te geven, maar dat heeft nooit zonder slag of stoot gewerkt.

Al het verder geen beveiligingsrisico is dan heb ik de voorkeur om hem in het netwerk te laten hangen van het bedrijf waar deze staat, dan weet ik in ieder geval dat zij met network Discovery gewoon de printer kunnen vinden.

Ik vond trouwens net een topic met onderstaand reactie:

Most common issues I've seen:
1. Putting the rule on the wrong group (LAN LOCAL, for instance instead of LAN IN)
2. Using ADDRv4 for the network definition instead of NETv4. ADDRv4 is the firewall address on that network, not the network itself...

Nu heb ik dus inderdaad ADDRv4 in plaats van NETv4. Ik moet echter even afwachten met aanpassen en testen aangezien ik nu niet ter plekke ben en elke wijziging een provision triggered(ik weet niet zeker of een provisioning van de USG tot onderbreking van het internet leidt, maar ik vermoed van wel).

Edit: Ik bedenk me net dat ik gisteren ook een fout kreeg waardoor de USG zelfs ging rebooten. Ik vermoed doordat ik ook verkeer van de clients in hun eigen subnet naar de USG blokkeerde. Moet ik dan een allow regel maken voor al het verkeer richting de USG? (en kan ik dat dan doen door een groep met de default gateway adressen aan te maken, of moet ik dat bij elk subnet apart doen?).

Het heeft wel iets vreemds, aangezien het artikel op UBNT hier niks over vermeld.
https://help.ubnt.com/hc/...-the-UniFi-USG#option%202

[ Voor 14% gewijzigd door Qlimaxxx op 26-09-2017 13:43 ]