Prive Printen op zakelijk netwerk - Unifi USG

Hallo,

Ik ben op zoek naar een oplossing waarbij ik vanaf mijn woning (Ziggo-internet)kan afdrukken op een printer die op mijn kantoor aan huis (VDSL-internet) staat.

De reden dat ik prive via Ziggo werk, is om het netwerkverkeer van mijn kinderen volledig wil afschermen van mijn zakelijke verbinding ivm virussen etc.

Ik wil echter prive zo nu en dan wel wat afdrukken op de zakelijke printer.
Ik heb het eerst een tijd via google cloudprinter geprobeerd, maar dit werkt vaak niet.
Het is in dit geval mogelijk om beide netwerken met een UTP kabel te koppelen, maar ik wil absoluut geen ander netwerkverkeer van a (prive) naar b (zakelijk) en andersom, behalve printopdracht van a(prive) naar b.
Het moet dus volkomen veilig zijn.

Nu heb ik prive achter mijn ziggo modem (in bridge) een Ubiquiti USG, met daarachter een USW.
In de zakelijke router kan ik niet inkomen. Die is afgeschermd door onze voip beheerder.

Bestaat er een mogelijkheid om in de USG middels vlan's en firewall-regels een beveiligde verbinding op te zetten ? Ik ben nl. een volledige noob op gebied van vlan's en firewall instellingen.

Een Vlan opzetten lukt nog wel. Maar daar blijft het wel bij.

Hopelijk kan iemand me op weg helpen.

laurens0619 schreef op zondag 23 september 2018 @ 19:58:
Ja dit kan maar vergt denk ik wel wat configuratie op de usg. Ik denk dat dit het meest eenvoudige is:

- ervoor zorgen dat je private lan en corp lan in aparte ip ranges draaien (hoeft niet perse maakt het wel eenvoudiger)
- utp kabel van je corp lan in de voip poort prikken van je usg (wan2)
- voip poort configureren als second network. Als het goed is kun je nu al de printer bereiken op het ip adres vanuit je private lan.
- je kan nu echter alle hostst bereiken, via firewall rules beperkingen aanbrengen dat je alleen bij de printer en nodige services kan

Daar kan ik wat. Dank je. Heb je toevallig ook nog een idee waar ik wat meer info kan vinden mbt de toe te passen firewall rules ?
Kan me voorstellen dat dat heel regels zijn om alles te blokken.

RobertMe schreef op maandag 24 september 2018 @ 12:29:
[...]

Als je het extra netwerk als Gast netwerk aanmaakt zou dat niet nodig hoeven te zijn. Voor gast netwerken maakt de USG/UniFi controller namelijk zelf al de firewall regels aan om alleen verkeer naar het internet toe te staan. En zoals al door anderen aangegeven zou dat niet uit moeten maken v.w.b. virussen en had je alles ook over één internet verbinding kunnen doen.

Vervolgens wordt het heel simpel:

1. Ga naar Settings => Network => Create new network
2. Vul een naam in voor het netwerk (bv Prive)
3. Als Purpose selecteer Guest
4. Als Network group selecteer LAN2 (let op, aanpassen van Purpose lijkt Network group terug te zetten naar LAN1)
5. Laat VLAN leeg
6. Vul bij Gateway/subnet een uniek IP adres in binnen het subnet van je prive netwerk, dat buiten het bereik van DHCP valt, en zet je netwerk suffix erachter. Bv als je prive netwerk 192.168.1.0/24 is wordt het 192.168.1.2/24 (let op dat die .2 dus een ongebruikt adres is)
7. Zet DHCP Mode op None

Hiermee zou het mogelijk moeten zijn om verkeer vanaf het zakelijke netwerk naar je prive netwerk te sturen, maar niet andersom. Vervolgens moet je dus nog de firewall aanpassen om wel verkeer naar je printer toe te staan, wat als volgt kan:

1. Ga naar Settings => Routing & Firewall => Firewall => (Rules IPv4 => Guest in => Create new rule
2. Vul een naam in, bv "Toestaan printer"
3. Selecteer "Accept" als "Action"
4. Onder Source selecteer Source Type: Network, en als Network selecteer de naam opgegeven in stap 2 van het eerste blok
5. Onder Destination selecteer Destination Type: IP Address, en bij IPv4 Address het IP adres van de router

Er zijn echter twee dingen waar je op moet letten:
1. Het zakelijke netwerk en het prive netwerk moeten beiden een apart subnet hebben (bv 192.168.1.0/24 en 192.168.2.0/24)
2. De printer moet je een static IP adres geven, als je dit niet op de printer zelf moet kan dit vanuit Clients => printer openen => Configuration => Network.

Even druk geweest afgelopen week, nu maar weer eens proberen.

Allereerst bedankt voor al jullie tips en inbreng.

Bovenstaand kan ik niet helemaal volgen.

Even voor de goede orde.
Mijn prive IP-reeks (via USG) is 192.168.1.**
Mijn zakelijke IP-reeks (via externe Router) is 192.168.100.**
Mijn zakelijke printer die ik vanaf mijn prive adres wil benaderen zit op 192.168.100.150 (statisch IP).

Nu kan ik het stappenplan helemaal volgen behalve punt 6 van het 1e stuk. Als ik nl. als Gateway/Subnet 192.168.1.2/24 invul, geeft de controller een foutmelding omdat het IP/Subnet overlapt met de IP-reeks in LAN1

En punt 5 van het tweede deel. Ik zou nl. denken dat daar het IP-adres van de printer ingevoerd zou moeten worden.
Tevens heb ik niet de mogelijkheid om een IPv4 adress in te vullen. Ik kan alleen maar een APv4 adress group of Port groep aanmaken.

Wat doe ik fout ?