Vraag

dinsdag 21 mei 2019 21:52

Acties:
  • 0 Henk 'm!
  • sjigr
  • Registratie: Mei 2018
  • Niet online

sjigr

Topicstarter
Dag allen,

Ik ben bezig om het thuisnetwerk een beetje "goed" aan te pakken. Resultaat is dat we momenteel de volgende apparatuur hebben staan/hangen/liggen:

Router: Ubiquiti Edgerouter Lite
Switch 1: D-Link DGS-1210-24P managed switch (verder te noemen: centrale switch)
Overige switches: TP Link TL-SG108PE PoE managed switch
Acces points: TP Link EAP245 acces point / TP Link EAP225 outdoor acces point

De situatie is als volgt:
VLAN 3 = gast netwerk
VLAN 6 = prive netwerk

De acces points zenden allemaal mooi twee verschillende SSID's uit en je komt via de switches in de juiste VLAN terecht en hebt via beide VLAN's toegang tot het wereldwijde web. Tot zover werkt alles zoals ik het hebben wel.

Volgende stap is deze: ik wil dat er vanuit het gastnetwerk niet naar het prive netwerk gecommuniceerd kan worden. Dus ik heb een regel in de router aangemaakt die dit zou moeten organiseren. Het gaat in zoverre goed dat je vanaf het gastnetwerk niet naar het router adres van het prive netwerk kan pingen (en/of inloggen). Je kan dus vanaf het gastnetwerk (ip range 192.168.192.1/24) niet naar het router adres uit het prive netwerk komen (ip range 192.168.178.1/24)

Echter, d.m.v. een ip scan op het gastnetwerk krijg ik nog wel alle aangesloten apparaten te zien in het prive netwerk (na het handmatig instellen van een custom subnet). Je kan ook gewoon naar de apparatuur pingen ed.

Aangezien je dus niet bij de router kan komen, gok/denk ik dat het probleem bij de acces points ligt, die inter VLAN communicatie gewoon toestaan. Iemand een idee of dit klopt en/of er iets anders aan de hand kan zijn?


Tweede vraag is de volgende:
Een deel van de acces points hangt direct aan de centrale switch. Een ander deel gaat via een of meerdere TP Link switches verder (die switches gaan wel via een lijntje naar de centrale switch).
Ik kan vanaf elk punt in het netwerk (zowel WiFI als bedraad) de AP's benaderen die aan de TP Link switches hangen. Ik kan echter vanaf geen enkel punt in het netwerk de AP's benaderen die direct aan de centrale switch hangen.

Heb al geprobeerd om een van de niet-benaderbare AP's aan een TP-Link te hangen, dan kom ik er gewoon in.

Alle switches en acces points hebben een statisch IP adres. Als ik m'n laptop direct op een AP aansluit kom ik er gewoon bij (zolang ik het IP adres weet :))

Nu is dit verder geen immens probleem, het maakt het updaten en andere toestanden alleen wel onnodig ingewikkeld 8)


Hoop dat iemand mij hierbij kan helpen! _/-\o_ _/-\o_

Beste antwoord (via sjigr op 11-06-2019 22:01)

zondag 9 juni 2019 17:15

  • Qlimaxxx
  • Registratie: April 2008
  • Laatst online: 27-08 17:40

Qlimaxxx

Volgens mij wil je 2 verschillende zaken, dus heb je ook 2 verschillende rulesets nodig:
- Routeren tussen vlan's blokkeren
- Vanuit gastennetwerk toegang tot de Edgerouter blokkeren

Even een groep aanmaken indien je al het intervlan verkeer wilt platleggen:
Address group met de volgende entries:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Ruleset BLOCK_IN, default action accept:
Allow established/related regel met action accept en checkboxes van established en related gecheckt
Block intervlan, action drop, destination address group die je hebt aangemaakt.

Bij interfaces moet je selecteren welke interface het apparaat zit welke je wilt tegenhouden met als direction in. Dus als je alleen gast -> lan wilt blokkeren selecteer je dat VLAN. Als je beide kanten geen verkeer op wilt dan moet je ze allebei selecteren. Stel je doet alleen GAST->LAN dan kan een apparaat uit het LAN wel bij een host op het gastennetwerk, retour verkeer is immers related en wordt wel toegelaten.

Ruleset BLOCK_LOCAL, default action drop:
Allow DNS, action accept, protocol udp, destination port 53
Allow DHCP, action accept, protocol udp, destionation port 67

Toepassen op alle netwerken die niet bij de router mogen komen, behalve DNS/DHCP. Direction local.

Alle reacties

woensdag 22 mei 2019 09:01

Acties:
  • 0 Henk 'm!
  • The Fatal
  • Registratie: Maart 2009
  • Laatst online: 08:54

The Fatal

Welke firewall regels heb je aangemaakt?

woensdag 22 mei 2019 11:56

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Wat jij wilt is afhankelijk van het AP somige AP's ondersteunen een gastnetwerk welke op een andere basis werkt dan VLAN die accepteren alleen echt alleen verkeer naar de router en verder niet. Hierbij wordt er dus geen gebruik gemaakt van VLAN's. Kijk een naar de mogelijkheden van je AP's kan je daar een gastnetwerk aanmaken op een specifiek VLAN?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 22 mei 2019 12:16

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 10:18

lier

MikroTik nerd

Ik vermoed dat je je firewall niet goed hebt ingesteld. Kan je aangeven hoe je dat hebt gedaan? Inter VLAN verkeer vindt niet plaats op de accesspoints.

Heb je ook een VLAN voor management? Hoe heb je de switches ingesteld?

Eerst het probleem, dan de oplossing

woensdag 22 mei 2019 13:15

Acties:
  • 0 Henk 'm!
  • vincedd
  • Registratie: Oktober 2008
  • Laatst online: 12-09 14:17

vincedd

voor de tp link accesspoints is gewoon software te verkrijgen waar je de accesspoints mee kan managen en dus gewoon een gastnetwerk aanmaken die niet in je prive netwerk kan komen. de software heet omada

[ Voor 6% gewijzigd door vincedd op 22-05-2019 13:18 ]

woensdag 22 mei 2019 13:21

Acties:
  • 0 Henk 'm!
  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 14-09 12:25

XiMMiX

sjigr schreef op dinsdag 21 mei 2019 @ 21:52:
De acces points zenden allemaal mooi twee verschillende SSID's uit en je komt via de switches in de juiste VLAN terecht en hebt via beide VLAN's toegang tot het wereldwijde web. Tot zover werkt alles zoals ik het hebben wel.
Als een access point twee SSIDs heeft en die moeten in verschillende VLANs terecht komen dan moet het AP alles in het juiste VLAN plaatsen en niet de switch. Je moet dus in het AP aangeven welk VLAN bij elk SSID hoort.
Let op! Sommige APs kunnen wel verschillende SSIDs aan, maar kunnen niets met VLANs. Ik weet niet tot welke de jouwe behoren.
sjigr schreef op dinsdag 21 mei 2019 @ 21:52:
Volgende stap is deze: ik wil dat er vanuit het gastnetwerk niet naar het prive netwerk gecommuniceerd kan worden. Dus ik heb een regel in de router aangemaakt die dit zou moeten organiseren. Het gaat in zoverre goed dat je vanaf het gastnetwerk niet naar het router adres van het prive netwerk kan pingen (en/of inloggen). Je kan dus vanaf het gastnetwerk (ip range 192.168.192.1/24) niet naar het router adres uit het prive netwerk komen (ip range 192.168.178.1/24)
Dus op IP niveau, layer 3, lijkt het te werken zoals je wil.
sjigr schreef op dinsdag 21 mei 2019 @ 21:52:
Echter, d.m.v. een ip scan op het gastnetwerk krijg ik nog wel alle aangesloten apparaten te zien in het prive netwerk (na het handmatig instellen van een custom subnet). Je kan ook gewoon naar de apparatuur pingen ed.
Dus als je met het gastnetwerk bent verbonden en een statisch IP adres uit je prive subnet instelt kan je je prive netwerk gewoon bereiken? Dan zit het probleem dus in layer 2, dus inderdaad iets met je VLANs.
sjigr schreef op dinsdag 21 mei 2019 @ 21:52:
Aangezien je dus niet bij de router kan komen, gok/denk ik dat het probleem bij de access points ligt, die inter VLAN communicatie gewoon toestaan. Iemand een idee of dit klopt en/of er iets anders aan de hand kan zijn?
Bij de access points of bij de switches. Ik heb hier ook enkele TP link switches en daar zitten alle poorten per definitie in VLAN1. Dat maakt dat je gemakkelijk een configuratie creëert die wel lijkt te werken, maar de VLANs niet echt scheidt. Bijna alles zit dan effectief in VLAN1.
Ik zou dus eens naar de instellingen van de TP link switches kijken, wellicht staat het PVID van sommige poorten nog op 1 ipv het juiste VLAN.
sjigr schreef op dinsdag 21 mei 2019 @ 21:52:
Tweede vraag is de volgende:
Een deel van de acces points hangt direct aan de centrale switch. Een ander deel gaat via een of meerdere TP Link switches verder (die switches gaan wel via een lijntje naar de centrale switch).
Ik kan vanaf elk punt in het netwerk (zowel WiFI als bedraad) de AP's benaderen die aan de TP Link switches hangen. Ik kan echter vanaf geen enkel punt in het netwerk de AP's benaderen die direct aan de centrale switch hangen.

Heb al geprobeerd om een van de niet-benaderbare AP's aan een TP-Link te hangen, dan kom ik er gewoon in.

Alle switches en acces points hebben een statisch IP adres. Als ik m'n laptop direct op een AP aansluit kom ik er gewoon bij (zolang ik het IP adres weet :))
Dat klinkt inderdaad een beetje alsof je per ongeluk via de TP-link switches alles in VLAN1 doet.
(zonder netwerk diagram kan ik niet inschatten of dit een sluitende verklaring is.)

zaterdag 25 mei 2019 21:42

Acties:
  • 0 Henk 'm!
  • sjigr
  • Registratie: Mei 2018
  • Niet online

sjigr

Topicstarter
Thanks allemaal voor de uitgebreide reacties! Had ik niet verwacht :)

Als antwoord op bovenstaande vragen;

Firewall regel is ziet er zo uit (ik heb inmiddels het vermoeden dat het daar mis gaat):
Afbeeldingslocatie: http://i63.tinypic.com/156xruq.png

Bij de AP's kan je per SSID aangeven op welke VLAN die mag draaien, lijkt mij dat dat het probleem niet moet zijn (en ja, die staan goed ingesteld ;) )

Heb geen management VLAN. Verder staan de switches ingesteld dat de switch<>switch verbinding tagged VLAN's betreffen (evenals naar de AP's). Alle andere apparatuur hebben een untagged VLAN (met het PVID juist ingesteld, dus niet op 1, ging ik in het begin al behoorlijk de mist mee in :P )

Verder heb ik dat Omada programma in het begin wel gebruikt. Vond het nog al een drama. Bij het wijzigen van instellingen was spontaan al het WiFI foetsie. Pas na elke AP een harde reset te geven kreeg ik het weer aan de praat. Manage ze nu gewoon via de web interface, beetje omslachtig maar het werkt wel 8)


Nogmaals; dank voor alle reacties _/-\o_ _/-\o_
Hoop dat er met bovenstaande informatie weer wat meer duidelijk wordt :)


edit: En nog als reactie op de laatste opmerking:
Dat klinkt inderdaad een beetje alsof je per ongeluk via de TP-link switches alles in VLAN1 doet.
(zonder netwerk diagram kan ik niet inschatten of dit een sluitende verklaring is.)
Volgens mij gaat dat wel goed, als ik mijn laptop op een tagged poort aansluit en dusdanig configureer dat ik in één van de twee VLAN's terecht kom, krijg ik wel een IP uit de juiste range (zoals geconfigureerd in de router bij de betreffende VLAN).


edit 2 (en dit is de laatste): Stel ik heb poort 1 ingesteld op tagged VLAN 3 en 6, kan de PVID dan op 1 blijven of moet die wel gewijzigd worden in iets anders? Heb nu alleen bij de untagged poorten de PVID aangepast :?

[ Voor 24% gewijzigd door sjigr op 25-05-2019 21:48 ]

woensdag 5 juni 2019 19:58

Acties:
  • 0 Henk 'm!
  • sjigr
  • Registratie: Mei 2018
  • Niet online

sjigr

Topicstarter
Iemand nog suggesties? :)

donderdag 6 juni 2019 10:29

Acties:
  • 0 Henk 'm!
  • Plopeye
  • Registratie: Maart 2002
  • Laatst online: 13-08 07:00

Plopeye

PVID = Primary Vlan ID

Dit is van belang bij untagged of hybrid poorten. De PVID is gelijk aan het het untagged Vlan op een poort.

Als je VLAN 3 en 6 allebij tagged op een poort zet dan moet dat aan de andere kant van de kabel ook zo zijn, De PVID zou hier verder geen effect op moeten hebben, maar dit wil soms wel eens afwijken per merk/type.

Vuistregel bij VLAN's: Doe aan beide kanten van het fysieke touwtje hetzelfde

Unix is user friendly, it's only selective about his friends.....

donderdag 6 juni 2019 17:04

Acties:
  • 0 Henk 'm!
  • kern32
  • Registratie: April 2019
  • Laatst online: 16-10-2024

kern32

Dit had ik ook met mijn Edgerouter Lite.
Je moet via de firewall het verkeer van beide kanten blokkeren bv vlan 5 is 192.168.1.0/24 en vlan 6 is 192.168.2.0/24 dan zul je firewall rules moeten maken dat er geen traffic van 192.168.1.0/24 naar 192.168.2.0/24 kan gaan en vice versa.
Dit kan ook helpen :
https://community.ubnt.co...routing/m-p/723597#M23562

donderdag 6 juni 2019 18:26

Acties:
  • 0 Henk 'm!
  • Nickname55
  • Registratie: Maart 2004
  • Laatst online: 11-09 20:53

Nickname55

Ik heb zelf pfsense. Maar gok dat da niet zoveel uitmaakt. Als ik een nieuw vlan aanmaak (en er dus voor dit vlan nog geen rules in de firewall staan) en daar computers in aansluit, dan kunnen die computers nergens mee verbinding maken. Wel met elkaar, maar niet naar een ander vlan en niet naar internet. Vervolgens ga ik een tabelletje met regels aanmaken. De bovenste regels zorgen er daarbij voor dat voor bepaalde dingen de huidige (geblokeerde) situatie behouden blijft. Zo blokkeer ik allereerst bijv. poort 80 en 443 van de gateway, zodat computers in het vlan geen toegang hebben tot de adminpagina van pfsense. Die regel staat dan boven aan. De regel daaronder geef ik vervolgens volledige toegang tot de gateway. Poorten 80 een 443 zijn dan dus niet toegankelijk, maar alle andere poorten wel. Zo kunnen de computers bijv. communiceren met de DHCP server en zo een IP adres verkrijgen als ze geen static ip hebben. En de DNS server is dan bereikbaar. Hiermee kan er nog geen verkeer het vlan uit. Als ik nu in een ander vlan een printer heb staan die ik bereikbaar wil maken, dan word dat de volgende regel: het ene ip van die printer geef ik toegang. In de regel daaronder blokkeer ik de ip reeksen van de andere vlans (dmv een alias). Dus bijv. 192.168.0.0 / 24, 10.0.0.0 / 24 en 172.17.0.0 / 16. Vervolgens komt onderaan de tabel een regel te staan die alle verkeer toestaat. Deze regel onderaan is dan van toepassing voor het verkeer waar de regels hoger niet van toepassing op zijn.

Je moet je computers aansluiten op untagged poorten. Met pvid is dan het juiste vlan voor deze poort in te stellen. Je accespoints sluit je wel aan op tagged poorten. Vervolgens stel je in de acces point per wifi netwerk instellen welk vlan je ze hebben wilt. En switches / routers onderling verbind je ook onderling met elkaar met tagged poorten. De webinterface van je accespoint is bereikbaar vanaf vlan 0 of 1 of whatever je het uitscheld. Vlan 1 of 0 komt op hetzelfde neer. Het is je basis netwerk waar vanuit je het beheer doet.

[ Voor 41% gewijzigd door Nickname55 op 06-06-2019 23:03 ]

Euhm... \n ...

vrijdag 7 juni 2019 10:08

Acties:
  • 0 Henk 'm!
  • htn02
  • Registratie: December 2004
  • Laatst online: 02-09 15:13

htn02

Wil je voor ons is een screenshot van de hele regelset sturen?

ik vermoed een regel die zegt dat je van het gastennetwerk naar het internet mag, ook zo staat ingesteld dat hij ook naar andere vlan's mag gaan

vrijdag 7 juni 2019 20:35

Acties:
  • 0 Henk 'm!
  • sjigr
  • Registratie: Mei 2018
  • Niet online

sjigr

Topicstarter
Afbeeldingslocatie: http://i68.tinypic.com/lbsas.png

Afbeeldingslocatie: http://i68.tinypic.com/e5ir6o.png

Afbeeldingslocatie: http://i65.tinypic.com/15pjy1h.png

Afbeeldingslocatie: http://i68.tinypic.com/10idzx2.png


Bij deze de rulesets!

Overigens zitten de AP's niet in een apart management VLAN (0/1). Hebben wel een statisch IP gekregen bij het configureren (hingen direct aan mijn laptop).

Vraag me nu dan af in welk VLAN hij zichzelf gooit als er meerdere SSID's met verschillende VLAN's zijn geconfigureerd!? 🤨

zaterdag 8 juni 2019 00:03

Acties:
  • +1 Henk 'm!
  • qwasd
  • Registratie: September 2012
  • Laatst online: 03:37

qwasd

kijk dit filmpje eens:
YouTube: Quick Configs Ubiquiti - Firewall Rules, Guest VLAN & VIF

zondag 9 juni 2019 17:15

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Qlimaxxx
  • Registratie: April 2008
  • Laatst online: 27-08 17:40

Qlimaxxx

Volgens mij wil je 2 verschillende zaken, dus heb je ook 2 verschillende rulesets nodig:
- Routeren tussen vlan's blokkeren
- Vanuit gastennetwerk toegang tot de Edgerouter blokkeren

Even een groep aanmaken indien je al het intervlan verkeer wilt platleggen:
Address group met de volgende entries:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Ruleset BLOCK_IN, default action accept:
Allow established/related regel met action accept en checkboxes van established en related gecheckt
Block intervlan, action drop, destination address group die je hebt aangemaakt.

Bij interfaces moet je selecteren welke interface het apparaat zit welke je wilt tegenhouden met als direction in. Dus als je alleen gast -> lan wilt blokkeren selecteer je dat VLAN. Als je beide kanten geen verkeer op wilt dan moet je ze allebei selecteren. Stel je doet alleen GAST->LAN dan kan een apparaat uit het LAN wel bij een host op het gastennetwerk, retour verkeer is immers related en wordt wel toegelaten.

Ruleset BLOCK_LOCAL, default action drop:
Allow DNS, action accept, protocol udp, destination port 53
Allow DHCP, action accept, protocol udp, destionation port 67

Toepassen op alle netwerken die niet bij de router mogen komen, behalve DNS/DHCP. Direction local.

dinsdag 11 juni 2019 22:01

Acties:
  • 0 Henk 'm!
  • sjigr
  • Registratie: Mei 2018
  • Niet online

sjigr

Topicstarter
Een combinatie van bovenstaande antwoorden (met de laatste in het bijzonder) en wat video's op het web hebben tot resultaat geleidt!

Alles is inmiddels geconfigureerd met switches en AP's in apart management VLAN en ik kom er vanuit de andere VLAN's met geen mogelijkheid meer bij.

Iedereen bedankt! Ik ben weer even happy :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq