Vraag

dinsdag 25 september 2018 15:52

Acties:
  • 0Henk 'm!
  • Creep
  • Registratie: Augustus 2001
  • Laatst online: 26-01 23:16

Creep

Topicstarter
Mijn vraag: hoe scherm ik mijn bedrijfsnetwerk af op het vlan voor mijn Guest wifi netwerk, maar kan ik wel mijn DHCP-server gebruiken

network

Relevante software en hardware die ik gebruik
Unify controller, HP 1920 switch, Sonicwall firewall (als gateway voor clients)

Wat ik al gevonden of geprobeerd heb
Ik heb op de locaties een vlan 30 op de switches aangemaakt en ook op de datacenter switch. Ik heb het guest netwerk op de Unifi AP-AC-Pro ingesteld op vlan 30. Ik krijg nu een dhcp adres, mar kan daar ook alle servers mee benaderen. Dit wil ik voorkomen. Moet ik alleen de DHCP server ook in vlan 30 hangen?

Wie de geschiedenis niet kent, is gedoemd ze te herhalen.

Beste antwoord (via Creep op 01-10-2018 10:09)

maandag 1 oktober 2018 08:34

  • Simon1984
  • Registratie: Oktober 2007
  • Laatst online: 09-01 16:43

Simon1984

Even een vraag;

Heb je op de locaties nu een /24 gebruikt voor alles in dat stuk over verschillende VLANs?
Is mijn aanname correct dat VLAN hopping nu plaatsvind, dus untagged ga je van vlan 1 naar vlan 20?

Of zijn het kleinere segmenten?


PS. Je kunt op Ubiquiti toch ook client isolation aanzetten per SSID?

Alle reacties

dinsdag 25 september 2018 16:01

Acties:
  • 0Henk 'm!
  • tomdabom
  • Registratie: Maart 2010
  • Laatst online: 24-01 08:24

tomdabom

Dus als ik het goed begrijp wil je dezelfde adressen die ook gebruikt worden in je branches uitdelen op je gasten netwerk ?

Welke servers heb je het over ? Staan deze achter de firewall op de colo ?

dinsdag 25 september 2018 16:08

Acties:
  • 0Henk 'm!
  • Creep
  • Registratie: Augustus 2001
  • Laatst online: 26-01 23:16

Creep

Topicstarter
De servers staan in hetzelfde netwerk in het datacenter op dezelfde switch (netwerk 10.10.1.0/24). Hier draait ook de DHCP server. Andere servers hier zijn Exchange/SQL/File/apllicatie servers. Ik wil de toegang naar de servers vanaf het gast wifi netwerk op de Unify ontzeggen en alleen internet access geven.

Wie de geschiedenis niet kent, is gedoemd ze te herhalen.

dinsdag 25 september 2018 20:06

Acties:
  • 0Henk 'm!
  • wwwFan
  • Registratie: Januari 2012
  • Laatst online: 20:06

wwwFan

Dan zul je op de router die het verkeer tussen de verschillende vlans routeerde met een ip helper adres moeten gaan werken. Daarmee kan je ervoor zorgen dat de DHCP request doorgaan naar een ander netwerksegment.

zondag 30 september 2018 12:29

Acties:
  • 0Henk 'm!
  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 26-01 20:22

valkenier

Wat doet die firewall op 10.10.1.5? Als ik je plaatje goed begrijp zit die tussen je data-center servers (inclusief DHCP) en alle clients. Daar kun je toch toegang tot de servers blokkeren vanuit je VLAN 30. Moet je alleen zorgen dat DHCP verkeer wel wordt doorgelaten naar je DHCP server. Kennis is een tikje roestig hier, maar kan dat niet?

zondag 30 september 2018 12:43

Acties:
  • 0Henk 'm!
  • drie van acht
  • Registratie: December 2015
  • Niet online

drie van acht

Ik zie even niet wat "IP-VPN" met het verhaal te maken heeft.

Zoals je het neerzet wil je niet alleen dezelfde DHCP-server gebruiken, maar ook dezelfde IP-adresruimte. Dan zijn de twee netwerken dus stiekem een en dezelfde. Dan moet je iets van een scheiding per packet filter verzinnen nadat je een manier hebt gevonden om gastadressen van bedrijfsadressen te onderscheiden.

Wil je dat niet dan heb je een extra adresreeks nodig, bijvoorbeeld 10.10.30.0/24. Dan kun je oftewel je DHCP-server een pootje in dat subnet (en dus ook dat (V)LAN) geven, oftewel met DHCP-relay de DHCP-aanvragen doorgeven naar de DHCP-server en de antwoorden weer terug doorgeven.

maandag 1 oktober 2018 08:34

Acties:
  • Beste antwoord
  • 0Henk 'm!
  • Simon1984
  • Registratie: Oktober 2007
  • Laatst online: 09-01 16:43

Simon1984

Even een vraag;

Heb je op de locaties nu een /24 gebruikt voor alles in dat stuk over verschillende VLANs?
Is mijn aanname correct dat VLAN hopping nu plaatsvind, dus untagged ga je van vlan 1 naar vlan 20?

Of zijn het kleinere segmenten?


PS. Je kunt op Ubiquiti toch ook client isolation aanzetten per SSID?
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee