Toon posts:

Guest isolation / private VLAN op een Cisco SG250 switch

Pagina: 1
Acties:

Vraag


  • Gwaihir
  • Registratie: December 2002
  • Niet online
Hoe voorkom ik (zo elegant mogelijk) dat guest devices (en later, op een los VLAN IoT devices) elkaar in het netwerk kunnen bereiken, via mijn Cisco switch?

Ik heb 'n router, een Cisco SG250-26HP switch, en een aantal access points. Op de router een Guest VLAN, met de juiste routing regels. Guest hotspot van elk access point is hieraan gekoppeld en tevens scheiden deze (met Layer 2 Isolation) guest clients op hetzelfde access points van elkaar. Maar ja.. die switch die ertussen zit, die switcht gewoon (binnen het VLAN), dus guests op verschillende access points hebben vrij toegang tot elkaar..


Eerlijk gezegd had ik daar een rechttoe rechtaan oplossing voor verwacht, maar die heb ik nog niet weten te vinden. Is die er?

Na wat zoeken kreeg ik de indruk dat de Cisco oplossing hiervoor Private VLAN heet. Die kreet komt ook voor in de help tekst die de switch zelf weergeeft, maar de opties komen niet daadwerkelijk tevoorschijn. Ze lijken bovendien niet aan een trunk poort te koppelen; elk accesspoint biedt natuurlijk ook het privé WLAN aan, dus de APs hangen elk aan een trunk.

Verder kan ik IPv4 (en v6) Static Routes configureren. Dit lijkt bedoelt voor een stuk communicatie tussen VLANs zonder via de router te hoeven. Ik kon er geen voorbeelden voor vinden over hoe een route juist te blokkeren.

Dus heb ik uiteindelijk in de (IPv4-Based) Access Control (praktisch) dezelfde regels ingevoerd die ik ook in de firewall van de router heb zitten. En lijkt prima te werken. (Guest devices functioneren nog, maar kunnen elkaar niet meer pingen.) Klopt dat, is dit een goede oplossing? Is het ook de beste oplossing? Ik ben nu niet bepaald gestruikeld over stapels tutorials die dit aandragen..

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.

Alle reacties


  • Faifz
  • Registratie: November 2010
  • Laatst online: 25-11 22:14
Gwaihir schreef op vrijdag 18 juni 2021 @ 19:57:
Maar ja.. die switch die ertussen zit, die switcht gewoon (binnen het VLAN), dus guests op verschillende access points hebben vrij toegang tot elkaar..


Eerlijk gezegd had ik daar een rechttoe rechtaan oplossing voor verwacht, maar die heb ik nog niet weten te vinden. Is die er?
Firewall regels instellen op de router als het van een netwerk naar een ander netwerk gaat. Heel veel routers laten geen intrazone regels toe en hiermee bedoel ik bv. je hebt een subnet van 192.168.0.0/24 en standaard wordt alle traffic toegelaten binnenin diezelfde subnet. En dat kan je helemaal niet veranderen. De oplossing hiervoor is meestal een ander netwerk aanmaken en dan kun je normaal gezien regels aanmaken voor subnet naar subnet.
Gwaihir schreef op vrijdag 18 juni 2021 @ 19:57:Na wat zoeken kreeg ik de indruk dat de Cisco oplossing hiervoor Private VLAN heet. Die kreet komt ook voor in de help tekst die de switch zelf weergeeft, maar de opties komen niet daadwerkelijk tevoorschijn. Ze lijken bovendien niet aan een trunk poort te koppelen; elk accesspoint biedt natuurlijk ook het privé WLAN aan, dus de APs hangen elk aan een trunk.
Dus je stelt de link tussen de router en de switch als promiscuous mode. Clients stel je in als een community of als isolate. Community als je wilt dat de clients met elkaar kunnen communiceren binnenin dezelfde broadcast domein. Isolate als je geen communicatie wil.
Gwaihir schreef op vrijdag 18 juni 2021 @ 19:57:Verder kan ik IPv4 (en v6) Static Routes configureren. Dit lijkt bedoelt voor een stuk communicatie tussen VLANs zonder via de router te hoeven. Ik kon er geen voorbeelden voor vinden over hoe een route juist te blokkeren.
Routes blokkeer je niet en ze worden sowieso automatisch aangemaakt wanneer je routing inschakelt. Als je twee netwerken aanmaakt of twee SVI's aanmaakt met een IP adres, staan ze al in de routing table. Je doet dit dus met firewall regels of ACL's in Cisco's wereld.

Als ik het zover bekijk, ben je echt veel te ver aan het zoeken en je stelt gewoon best de firewall regels in op de router.

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Faifz schreef op zaterdag 19 juni 2021 @ 08:16:
Firewall regels instellen op de router als het van een netwerk naar een ander netwerk gaat. Heel veel routers laten geen intrazone regels toe en hiermee bedoel ik bv. je hebt een subnet van 192.168.0.0/24 en standaard wordt alle traffic toegelaten binnenin diezelfde subnet. En dat kan je helemaal niet veranderen.
Dat is gelukkig geen probleem op deze router (EdgeRouter4). Binnen het subnet, naar andere LAN delen, en naar zichzelf, blokkeert de router het guest-verkeer prima.
Dus je stelt de link tussen de router en de switch als promiscuous mode. Clients stel je in als een community of als isolate. Community als je wilt dat de clients met elkaar kunnen communiceren binnenin dezelfde broadcast domein. Isolate als je geen communicatie wil.
Een private VLAN in de 'isolate' instelling. Dat lees ik inderdaad als de manier om het te doen op een Cisco enterprise switch. Maar ondersteunt deze SMB switch dat wel? Hoe stel ik dat vast en hoe stel ik dat dan in?
Routes blokkeer je niet en ze worden sowieso automatisch aangemaakt wanneer je routing inschakelt. Als je twee netwerken aanmaakt of twee SVI's aanmaakt met een IP adres, staan ze al in de routing table. Je doet dit dus met firewall regels of ACL's in Cisco's wereld.
Bij de routing in de switch moet ik dus inderdaad niet zijn, begrijp ik. Van een firewall is de switch niet voorzien, toch? Dus wat dat betreft lijkt de greep naar ACL te kloppen.

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Faifz
  • Registratie: November 2010
  • Laatst online: 25-11 22:14
Gwaihir schreef op zaterdag 19 juni 2021 @ 09:49:
[...]

Dat is gelukkig geen probleem op deze router (EdgeRouter4). Binnen het subnet, naar andere LAN delen, en naar zichzelf, blokkeert de router het guest-verkeer prima.
Is er dan een reden waarom je het met private VLAN's wil doen? Als het enkel alleen maar is om guest traffic te blokkeren naar je LAN netwerk?

Als je met private VLAN's wil beginnen, raad ik wel aan dat je het eerst doet in een test omgeving zoals Cisco's packet tracer of GNS3.

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Niet naar het LAN, onderling:
Gwaihir schreef op vrijdag 18 juni 2021 @ 19:57:
Hoe voorkom ik (zo elegant mogelijk) dat guest devices (en later, op een los VLAN IoT devices) elkaar in het netwerk kunnen bereiken, via mijn Cisco switch?
Naar het LAN is probleemloos geblokkeerd. Maar in een guest network worden gasten ook geacht van elkaar afgeschermd te zijn. Juist in een netwerk met de minder vertrouwde devices, vind ik het belangrijk dat een gecompromitteerd device niets anders mee kan trekken.

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Faifz
  • Registratie: November 2010
  • Laatst online: 25-11 22:14
Gwaihir schreef op zaterdag 19 juni 2021 @ 10:46:
Niet naar het LAN, onderling:

[...]

Naar het LAN is probleemloos geblokkeerd. Maar in een guest network worden gasten ook geacht van elkaar afgeschermd te zijn. Juist in een netwerk met de minder vertrouwde devices, vind ik het belangrijk dat een gecompromitteerd device niets anders mee kan trekken.
Had je eerder gevraagd of uw router intrazone traffic kan blokkeren, dus bv van guest naar guest en je zei dat het wel werkt. Ik zou het daarbij houden. Maar als dat niet mogelijk was dan zijn private VLAN's wel ideaal om dit te doen.

Kan je niet echt helpen met de configuratie van private VLAN's op Cisco switches omdat ik het enkel alleen maar heb gedaan met VMware's dswitches. Dit voorbeeldje lijkt me wel duidelijk: https://www.cisco.com/c/e...onGuide/PrivateVLANs.html

Dus je maakt eerst je primary VLAN aan en dit wordt uiteindelijk 'Promiscuous'. Dan maak je een VLAN ID aan voor community/isolate en dit worden secondary VLAN's. Vervolgens map je de secondary VLAN's aan de primary VLAN ID (Promiscuous). En uiteindelijk stel je de interfaces als een private-vlan switchport. Daar komt het op neer.

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Faifz schreef op zaterdag 19 juni 2021 @ 11:39:
Had je eerder gevraagd of uw router intrazone traffic kan blokkeren, dus bv van guest naar guest en je zei dat het wel werkt.
Wat bedoel je? Er zijn drie plekken waar de (ongewenste) connectie van gast naar andere gast tot stand kan komen:
- In het AP al (dat heeft zelf kennelijk ook al een switch functionaliteit..) indien beide gasten op dezelfde zitten -> afgeschermd
- Via de switch, switchen is tenslotte z'n primaire taak, tussen gasten op verschillende AP's -> verrassend lastig netjes af te schermen
- Via de router -> afgeschermd

Dat de router geen guest naar guest traffic toestaat is toch heel nog niet relevant wanneer de switch, waar het eerder komt, het al afhandelt door het wel te switchen?

(Dat de router dit afschermt heb ik daardoor in feite slechts indirect getest. Ben er evenwel wel van overtuigd, aangezien dit zo uit de docs van de fabrikant komt en de rest van de regelset, die zeer gelijkelijk is opgebouwd, aantoonbaar goed werkt voor het afschermen van alle andere LAN delen incl. de router zelf.)
Dit voorbeeldje lijkt me wel duidelijk: https://www.cisco.com/c/e...onGuide/PrivateVLANs.html
Ja, dat gaat heel duidelijk over een enterprise switch, niet over een SG250. Een managed switch voor grootbedrijf en MKB zijn bij Cisco best wel verschillende dingen. Snap je nu dat ik door de bomen het bos niet kan vinden in deze Cisco wereld?

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Faifz
  • Registratie: November 2010
  • Laatst online: 25-11 22:14
Gwaihir schreef op zaterdag 19 juni 2021 @ 11:59:
[...]

Wat bedoel je? Er zijn drie plekken waar de (ongewenste) connectie van gast naar andere gast tot stand kan komen:

Dat de router geen guest naar guest traffic toestaat is toch heel nog niet relevant wanneer de switch, waar het eerder komt, het al afhandelt door het wel te switchen?
Je maakt gebruik van een default gateway, dus het passeert via de router. Devices communiceren via het IP protocol (spreken we over L3 of routers) en switches geven helemaal daar helemaal niets om tenzij je het als een router configureert maar dan is het niet echt meer een switch. En L3 geeft dan weer helemaal niets om L2 frames van een switch.

Als je geen default-gateway zou hebben, kunnen de hosts alsnog met elkaar kunnen communiceren zolang ze maar in hetzelfde subnet zitten en dit wordt gedaan met het ARP protocol. Dan zijn private VLAN's interessant. Maar je hebt een default-gateway want de bedoeling is dat je het internet op kunt en hiervoor heb je natuurlijk routing nodig.
Gwaihir schreef op zaterdag 19 juni 2021 @ 11:59:
Ja, dat gaat heel duidelijk over een enterprise switch, niet over een SG250. Een managed switch voor grootbedrijf en MKB zijn bij Cisco best wel verschillende dingen. Snap je nu dat ik door de bomen het bos niet kan vinden in deze Cisco wereld?
Cisco switches gebruiken IOS en ik vermoed dat het private VLAN's ondersteunt omdat het niet echt iets speciaal is. Je kan altijd inloggen in de CLI en kijken of de mogelijkheid er is.

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Faifz schreef op zaterdag 19 juni 2021 @ 12:52:
Je maakt gebruik van een default gateway, dus het passeert via de router.
Oh? Misschien begrijp ik daar dan iets verkeerd? (Al kan ik dan ook moeilijk verklaren wat ik zie.)

Ik dacht dat alleen verkeer bestemd voor buiten het eigen subnet aan de gateway gericht wordt. En dat verkeer binnen dat subnet de richtste beschikbare weg naar z'n doel pakt. Klopt dat niet?

Het guest subnet heb ik 'normaal' ingericht, d.w.z. met een /24 subnet mask. Moet (en kan?) ik daar ergens mee wisselen dan, zodat de DHCP wel meerdere adressen in die range uitgeeft aan de verschillende guests, maar de guest zelf een /32 subnet mask ontvangt? (Of gaat dan het vinden van de gateway op .1 mis en wellicht broadcast ook?)


Ik moet zeggen dat ik 't L2 <> L3 slechts beperkt kan volgen. Een switch (L2) wordt geacht zich nauwelijks met IP adressen (L3) bezig te houden, begrijp ik. Ok, maar dan stelt toch altijd nog iets eerst een wie-is-waar tabel samen waarin IP's aan MAC's gelinkt worden? (De switch, of alle netwerkadapters al?) Want software vraagt contact met een IP, niet een MAC..

Dus waar ik op de switch (bijvoorbeeld) tussen VLANs zou gaan routen, gebruik ik L3 functionaliteit (met naar ik aanneem een mogelijke performance hit). Maar die ACL, hoewel in IP adressen beschreven, wordt volgens de help vastgelegd in 'TCAM rules'. Is dat dan een L2 ding, en dus beter dan een oplossing m.b.v. routing?

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • 3DDude
  • Registratie: November 2005
  • Laatst online: 23:35

3DDude

I void warranty's

Bijv je hebt 2 vlans

Beiden aangemaakt op je ubiquity
bijvoorbeeld
vlan 10 - 192.168.10.x/24 ( dan kan je .1 t/m .254 als IP's gebruiken) je gebruikt .1 als gateway (is je router zelf).
vlan 20 - 192.168.20.x/24 ( dan kan je .1 t/m .254 als IP's gebruiken) je gebruikt .1 als gateway (is je router zelf).


Je maakt een trunk op de cisco switch en je zet een poortje in vlan 10 en een in vlan 20.

Heb je DHCP draaien op vlan 10 en vlan 20 ga je IP adressen uitdelen met als default gateway je router.

Jouw router stel je in wat kan en mag. (een default gateway gebruikt je client als die ergens naar toe wil buiten het eigen netwerk /subnetje).

Dus in VLAN 10 - met ip 192.168.10.100 werkplek wil naar 192.168.20.100 (vlan 20)
Dan gaat je verkeer naar je default gatweay 192.168.10.1 > dat is je router en die - afhankelijk van de regels zegt dit verkeer mag of dat mag niet. (mag het wel - routeert die het verder zodat je daar uit komt).

Deze gasten hebben software gemaakt om WOB documenten te doorzoeken, zie de substack voor de beerput van onze overheid....


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09 13:39

Brahiewahiewa

boelkloedig

Gwaihir schreef op zaterdag 19 juni 2021 @ 10:46:
Niet naar het LAN, onderling:

[...]

Naar het LAN is probleemloos geblokkeerd. Maar in een guest network worden gasten ook geacht van elkaar afgeschermd te zijn. Juist in een netwerk met de minder vertrouwde devices, vind ik het belangrijk dat een gecompromitteerd device niets anders mee kan trekken.
Ik vrees dat je er niet aan ontkomt om even veel VLAN's aan te maken als dat je access points hebt.
Binnen het VLAN zorgt het access point voor de isolatie, daarbuiten moet je dat met firewall regels voor elkaar krijgen met natuurlijk weer de nodige uitzonderingen want je wilt het wel kunnen managen

QnJhaGlld2FoaWV3YQ==


  • Gwaihir
  • Registratie: December 2002
  • Niet online
3DDude schreef op zaterdag 19 juni 2021 @ 13:31:
een default gateway gebruikt je client als die ergens naar toe wil buiten het eigen netwerk /subnetje
Ok, helder. Dat is inderdaad ook hoe ik de default gateway heb begrepen (en onderwijl nog 'ns op Wikipedia na las.) Maar: mijn uitdaging ligt dus BINNEN het eigen subnetwerk: guests die elkaar niet mogen zien.

De ene guest, op IP x.x.x.10 verbonden met de ene AP, ziet de andere guest op IP x.x.x.11 verbonden met een ander AP (als ik die ACL regelset uitzet).

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Gwaihir
  • Registratie: December 2002
  • Niet online
Brahiewahiewa schreef op zaterdag 19 juni 2021 @ 13:36:
Ik vrees dat je er niet aan ontkomt om even veel VLAN's aan te maken als dat je access points hebt.
Binnen het VLAN zorgt het access point voor de isolatie, daarbuiten moet je dat met firewall regels voor elkaar krijgen met natuurlijk weer de nodige uitzonderingen want je wilt het wel kunnen managen
Dat maakt het management inderdaad wat bewerkelijker, want ik heb dan drie losse guest hotspots, waar ik er ze nu in Unifi ineens manage. Maar vervelender: ik heb dan ook drie losse guest networks, lijkt me. Dus wanneer iemand met z'n telefoon door het huis loopt, verandert hij volledig van netwerkconnectie, i.p.v. dat hij vrij vloeiend van AP naar AP springt.


Maar, even een stapje terug: je herkent dit dus als een best wel netelig probleem? D.w.z. iets wat niet lekker in dit type switches zit en toch wel 'n wat creatieve workaround nodig heeft? Mijn oplossing met ACL werkt dus wel. Maar ik vraag me af of ik niet iets veel eleganters mis. En of iemand enig idee heeft van wat voor performance hit / last op de switch zo'n regelset oplevert. (Er staat nergens bij 'gebruik met mate', maar net als @Faifz verwacht ik dat bijv. 'L3 werk' hem een stuk zwaarder af zal gaan dan standaard L2 werk. En wat is wat..?)

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09 13:39

Brahiewahiewa

boelkloedig

Gwaihir schreef op zaterdag 19 juni 2021 @ 13:44:
[...]Maar vervelender: ik heb dan ook drie losse guest networks, lijkt me. Dus wanneer iemand met z'n telefoon door het huis loopt, verandert hij volledig van netwerkconnectie, i.p.v. dat hij vrij vloeiend van AP naar AP springt...
;o) je bent op zoek naar een one-size-fits-all oplossing maar die is er niet
Je moet de problemen uit elkaar trekken: een netwerk voor iOT, een netwerk voor guests en een netwerk voor geauthenticeerde gebruikers. Hierbij kan "netwerk" één of meerdere VLAN's omvatten

QnJhaGlld2FoaWV3YQ==


  • Gwaihir
  • Registratie: December 2002
  • Niet online
Brahiewahiewa schreef op zaterdag 19 juni 2021 @ 13:57:
[...]

;o) je bent op zoek naar een one-size-fits-all oplossing maar die is er niet
Je moet de problemen uit elkaar trekken: een netwerk voor iOT, een netwerk voor guests en een netwerk voor geauthenticeerde gebruikers. Hierbij kan "netwerk" één of meerdere VLAN's omvatten
Ik denk dat je me verkeerd begrijpt. Die netwerken trek ik inderdaad wel los. Ik heb al die tweede en derde. Heb ik die naar m'n zin, dan stel ik IoT ook los in.

Maar je had het over één VLAN per access point (voor guest, dus per netwerk, neem ik dan aan). Ik heb drie AP's. (Twee in huis, één op het terras. Misschien volgt nog ooit de schuur.) Daartussen loop je nog wel 'ns van de een naar de ander als gast (en ook als robotstofzuiger en -maaier, trouwens), dus die 'roaming' ervaring is erg relevant.


Ondertussen enkele snelheidstestjes gedaan (naar internet speedtest):
[Netwerk, ping, down, up:]
Guest WLAN: 13ms, 95Mbps, 120Mbps
WLAN: 13ms, 125Mbps, 150Mbps
LAN: 3ms, 205Mbps, 220Mbps
(Beide WLANs met zelfde device op zelfde plek, uiteraard.)

*Iets* geeft die Guest Wifi dus wel wat minder vaart, ook al is er hier momenteel verder niets te doen. (Geen door elkaar vid-confs en fimpjes kijkers e.d. op dit moment.)

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • 3DDude
  • Registratie: November 2005
  • Laatst online: 23:35

3DDude

I void warranty's

Ik heb hier ook IOT en alle IOT devices zitten daarop en ja ze kunnen elkaar dan zien (lekker boeiend).

Guest Vlan 110
IOT vlan 120
Test Vlan 130
LAN vlan 140

zoiets per SSID een eigen vlan dus. (ik heb een AP)
Jij wilt per device isolatie (soort vlan doen) tsjah dat is nog even stapje verder dan moeten je spullen dat wel kunnen... ;)

[Voor 8% gewijzigd door 3DDude op 19-06-2021 14:20]

Deze gasten hebben software gemaakt om WOB documenten te doorzoeken, zie de substack voor de beerput van onze overheid....


  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 07:18
Gwaihir schreef op zaterdag 19 juni 2021 @ 11:59:
[...]

Wat bedoel je? Er zijn drie plekken waar de (ongewenste) connectie van gast naar andere gast tot stand kan komen:
- In het AP al (dat heeft zelf kennelijk ook al een switch functionaliteit..) indien beide gasten op dezelfde zitten -> afgeschermd
- Via de switch, switchen is tenslotte z'n primaire taak, tussen gasten op verschillende AP's -> verrassend lastig netjes af te schermen
- Via de router -> afgeschermd
Je bent er toch als het AP op het gastnetwerk alleen verkeer naar de gateway toelaat?
Gwaihir schreef op zaterdag 19 juni 2021 @ 13:44:
Dat maakt het management inderdaad wat bewerkelijker, want ik heb dan drie losse guest hotspots, waar ik er ze nu in Unifi ineens manage.
Ik heb weinig verstand van netwerken maar hier toevallig ook Unifi accesspoints met een gastnetwerk. Volgens mij werkte dit direct en zoals je zou verwachten? Het zit niet eens in een apart VLAN maar clients verbonden met het gastnetwerk kunnen niet met lokale clients communiceren.

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+


  • Gwaihir
  • Registratie: December 2002
  • Niet online
Xander schreef op zaterdag 19 juni 2021 @ 14:21:
Je bent er toch als het AP op het gastnetwerk alleen verkeer naar de gateway toelaat?

[..]

Ik heb weinig verstand van netwerken maar hier toevallig ook Unifi accesspoints met een gastnetwerk. Volgens mij werkte dit direct en zoals je zou verwachten? Het zit niet eens in een apart VLAN maar clients verbonden met het gastnetwerk kunnen niet met lokale clients communiceren.
En ook niet met elkaar?

Maar wat voor switch heb je daar dan tussen? Ik begrijp dat 't met een Unifi switch ertussen en een Unifi router inderdaad gelijk zo gewerkt zou hebben. (Had me niet gerealiseerd dat dit ook maar iets speciaals was en kocht een Cisco, o.a. omdat die Unifi's flink meer stroom zouden gebruiken..)

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 07:18
Gwaihir schreef op zaterdag 19 juni 2021 @ 14:26:
[...]

En ook niet met elkaar?

Maar wat voor switch heb je daar dan tussen? Ik begrijp dat 't met een Unifi switch ertussen en een Unifi router inderdaad gelijk zo gewerkt zou hebben. (Had me niet gerealiseerd dat dit ook maar iets speciaals was en kocht een Cisco, o.a. omdat die Unifi's flink meer stroom zouden gebruiken..)
Nee, een cliënt verbonden met mijn Guest SSID kan alléén verbinden met de gateway, verder met geen enkel ander apparaat in het lokale netwerk (waaronder guests aangemeld op hetzelfde accesspoint, guests aangemeld op een ander accesspoint, bedraad aangesloten apparaten, ...). Dat klinkt zo ongeveer als wat jij probeert te bereiken dacht ik.

Dat koste me niet meer moeite dan:


Maar idd, de accesspoints zitten achter een UniFi switch, misschien heeft die daar meer mee te maken dan ik me realiseerde? :?

(Mocht het toch door het accesspoint worden geregeld zoals ik dacht, is dit natuurlijk ook geen oplossing als je bedraade apparaten in je guest- of IoT-netwerk zou willen opnemen.)

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+


  • Faifz
  • Registratie: November 2010
  • Laatst online: 25-11 22:14
3DDude schreef op zaterdag 19 juni 2021 @ 13:31:
Jouw router stel je in wat kan en mag. (een default gateway gebruikt je client als die ergens naar toe wil buiten het eigen netwerk /subnetje).
Nee, ook voor het eigen subnet.
Gwaihir schreef op zaterdag 19 juni 2021 @ 13:44:
Maar, even een stapje terug: je herkent dit dus als een best wel netelig probleem? D.w.z. iets wat niet lekker in dit type switches zit en toch wel 'n wat creatieve workaround nodig heeft? Mijn oplossing met ACL werkt dus wel. Maar ik vraag me af of ik niet iets veel eleganters mis. En of iemand enig idee heeft van wat voor performance hit / last op de switch zo'n regelset oplevert.
Zie hierboven, hij zit erlangs dat de default gateway enkel alleen maar gebruikt wordt voor een ander netwerk.

Je vraagt om een elegante oplossing en die werd u gegeven. Maar omdat je het niet zo serieus wil nemen, ga ik je een voorbeeld geven hoe dit gedaan wordt met enterprise-grade firewalls zoals Palo Alto Networks.

Hier heb ik 'Ethernet1/1' als interface gekozen met 'Guest Network WiFi' als security zone. 192.168.30.1/24 als gateway address.



Wanneer ik de volgende regel toevoeg, blokkeert de firewall alle traffic binnenin die security zone 'Guest Network WiFi". Dus bv 192.168.30.10 kan niet communiceren met eender welke adres uit die subnet.

https://tweakers.net/i/DxTplR3yESDNCh_pXLlPScHzDgE=/800x/filters:strip_exif()/f/image/VXEiGaku8cMLUA5ipQQLFeJe.png?f=fotoalbum_large

Dit is een voorbeeld log die genegeerd werd. Zelfde security-zone/subnet werd geblokkeerd door de firewall.



Je had mij eerder bevestigd dat dit ook werkt met edgerouters dus ik snap helemaal niet waarom je richting private VLAN's gaat of ACL's op een Cisco switch. De hand liggende oplossing blijft de firewall (bedoel hiermee de router).

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Xander schreef op zaterdag 19 juni 2021 @ 14:46:
Nee, een cliënt verbonden met mijn Guest SSID kan alléén verbinden met de gateway, verder met geen enkel ander apparaat in het lokale netwerk (waaronder guests aangemeld op hetzelfde accesspoint, guests aangemeld op een ander accesspoint, bedraad aangesloten apparaten, ...). Dat klinkt zo ongeveer als wat jij probeert te bereiken dacht ik.
:)
Dat koste me niet meer moeite dan:
[Afbeelding]

Maar idd, de accesspoints zitten achter een UniFi switch, misschien heeft die daar meer mee te maken dan ik me realiseerde? :?

(Mocht het toch door het accesspoint worden geregeld zoals ik dacht, is dit natuurlijk ook geen oplossing als je bedraade apparaten in je guest- of IoT-netwerk zou willen opnemen.)
In het IoT netwerk straks ook bedraade apparaten, maar dat zou desnoods met een VLAN (of enkele) extra kunnen.

Misschien is 't inderdaad samenspel met die Unifi switch. Misschien nog andere verschillen. Twee vragen:

1. gebruik jij de guest portal (met altijd de Controller draaiend)? Ik nl. niet.

2. Je hebt "guest policies" dus aan staan? (Want anders wordt die setting die je toont niet benut, dacht ik?) Ik heb dat (weer) uit gezet, omdat ik dan gelijk al tegen een gat aan liep: een device op 5Ghz zag er een op de 2,4Ghz radio (en v.v., beide op dat guest network), dit hoewel L2 Isolation ook nog aan stond. Dat meende ik hier bevestigd te zien, in een zijdelingse opmerking bij L2 Isolation. Zie jij, dat verschijnsel ook?

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Gwaihir
  • Registratie: December 2002
  • Niet online
Faifz schreef op zaterdag 19 juni 2021 @ 14:46:
Je vraagt om een elegante oplossing en die werd u gegeven. Maar omdat je het niet zo serieus wil nemen,
:? Ik neem serieus wat ik daadwerkelijk waarneem, o.a. met Fing. Die waarnemingen laten zien dat alleen de firewall regels op mijn router niet volstaan. Ik mis nog ergens iets..
hoe dit gedaan wordt met enterprise-grade firewalls zoals Palo Alto Networks.
Dit zijn instellingen op een router? Met verder dezelfde topologie, d.w.z. access points <-> switch <-> router ? (Of toch in elk geval een switch, want daar zit 'm voor zover ik kan nagaan 't probleem.)
Dus bv 192.168.30.10 kan niet communiceren met eender welke adres uit die subnet.
En dat is ook getest, dat er geen paden open staan die geheel niet via de router voeren?
Je had mij eerder bevestigd dat dit ook werkt met edgerouters dus ik snap helemaal niet waarom je richting private VLAN's gaat of ACL's op een Cisco switch. De hand liggende oplossing blijft de firewall (bedoel hiermee de router).
Dan cirkel ik even terug naar het begin van je post, want kennelijk doe je daar toch ergens *iets* anders dan ik en anderen.
Nee, ook voor het eigen subnet.

[...]

Zie hierboven, hij zit erlangs dat de default gateway enkel alleen maar gebruikt wordt voor een ander netwerk.
Die werking van de default gateway zie ik dus echt niet terug (en dan sloeg ik er voor de zekerheid onderwijl wat extra bronnen op na).

Doe jij daar iets speciaals voor, of krijg je dat mee van die enterprise router?
(Wat zegt bijv. die 192.168.30.10 uit je voorbeeld dat z'n netwerkconfiguratie is (en dan met name het subnetmask)?)

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 07:18
Gwaihir schreef op zaterdag 19 juni 2021 @ 15:39:
1. gebruik jij de guest portal (met altijd de Controller draaiend)? Ik nl. niet.
Nee, die heb ik ook niet (meer) in gebruik. Heb ik ooit wel eens mee zitten spelen maar dan moest ik het IP van de controller toevoegen bij de "Pre-Authorization Access", anders kunnen clients de captive portal niet bereiken. :+ De controller draai ik op een server waarvan ik graag heb dat de gasten daar niet mee kunnen verbinden dus ik heb die portal maar opgegeven. Het guest netwerk is hier gewoon met WPA2 beveiligd.
2. Je hebt "guest policies" dus aan staan? (Want anders wordt die setting die je toont niet benut, dacht ik?) Ik heb dat (weer) uit gezet, omdat ik dan gelijk al tegen een gat aan liep: een device op 5Ghz zag er een op de 2,4Ghz radio (en v.v., beide op dat guest network), dit hoewel L2 Isolation ook nog aan stond. Dat meende ik hier bevestigd te zien, in een zijdelingse opmerking bij L2 Isolation. Zie jij, dat verschijnsel ook?
... Mooi die "nieuwe" user interface van de Unifi controller maar ik moest terugschakelen naar de oude om deze instellingen te vinden. 8)7

"Guest policies" heb ik inderdaad aan staan. Dat verschijnsel is mij niet bekend maar wellicht heb ik er ook last van en heb ik destijds niet genoeg getest (heb eigenlijk ook geen clients met 2,4GHz verbonden...). Kun je niet gewoon "Guest policies" én "L2 isolation" inschakelen?

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+


  • Faifz
  • Registratie: November 2010
  • Laatst online: 25-11 22:14
Gwaihir schreef op zaterdag 19 juni 2021 @ 15:45:

Dit zijn instellingen op een router? Met verder dezelfde topologie, d.w.z. access points <-> switch <-> router ? (Of toch in elk geval een switch, want daar zit 'm voor zover ik kan nagaan 't probleem.)
Is een virtual appliance, ter info. Of je nu een switch of een access point hebt, maakt vrij weinig uit zolang ze allemaal in hetzelfde broadcast domein zitten. Als ze niet in hetzelfde broadcast domein zitten, valt de verbinding natuurlijk weg.
Gwaihir schreef op zaterdag 19 juni 2021 @ 15:45:
En dat is ook getest, dat er geen paden open staan die geheel niet via de router voeren?
Veel valt er niet te doen zonder uw TCP/IP stack. Een broadcast message gaat ie niet kunnen stoppen omdat het L2 is. Maar dit is amper een security concern.
Gwaihir schreef op zaterdag 19 juni 2021 @ 15:45:

Dan cirkel ik even terug naar het begin van je post, want kennelijk doe je daar toch ergens *iets* anders dan ik en anderen.

[...]

Die werking van de default gateway zie ik dus echt niet terug (en dan sloeg ik er voor de zekerheid onderwijl wat extra bronnen op na).

Doe jij daar iets speciaals voor, of krijg je dat mee van die enterprise router?
(Wat zegt bijv. die 192.168.30.10 uit je voorbeeld dat z'n netwerkconfiguratie is (en dan met name het subnetmask)?)
Het enige dat ik doe is traffic van 192.168.30.0/24 naar 192.168.30.0/24 blokkeren. Dus de source en destination zijn beide 192.168.30.0/24 en deze regel moet bovenaan staan. Als traffic er alsnog doorgaat dan ligt het aan de Edgerouter. Die vervelende beperkingen kwam ik zelfs op pfSense tegen en leek alsof de regel er hard ingebakken stond; dat alle traffic binnenin dezelfde netwerkinterface toegelaten wordt. Vandaar dat ik het aan je vroeg of het werkt met de Edgerouter.

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Xander schreef op zaterdag 19 juni 2021 @ 17:18:
... Mooi die "nieuwe" user interface van de Unifi controller maar ik moest terugschakelen naar de oude om deze instellingen te vinden. 8)7
Ja.. die opmerking over 'incompleet' zijn staat kennelijk niet voor niets boven die (nieuwe) interface..
"Guest policies" heb ik inderdaad aan staan. Dat verschijnsel is mij niet bekend maar wellicht heb ik er ook last van en heb ik destijds niet genoeg getest (heb eigenlijk ook geen clients met 2,4GHz verbonden...). Kun je niet gewoon "Guest policies" én "L2 isolation" inschakelen?
Dat heb ik, maar 'guest policies' gaan dan kennelijk voor, incl. dat gaatje..

(Vind 't eerlijk gezegd maar een raar verschijnsel; niet iets om braaf te documenteren, maar veel meer om als 'oeps, bug' even snel te fixen.)

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.


Acties:
  • 0Henk 'm!

  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 07:18
Gwaihir schreef op zaterdag 19 juni 2021 @ 20:09:
(Vind 't eerlijk gezegd maar een raar verschijnsel; niet iets om braaf te documenteren, maar veel meer om als 'oeps, bug' even snel te fixen.)
Hoe krijg ik dit het makkelijkste getest?

Heb net even zitten testen met mijn wasmachine, welke alleen 2,4GHz ondersteunt. Deze is verbonden met het normale (niet Guest) netwerk, met het accesspoint op zolder. Als ik met mijn telefoon verbindt met het Guest netwerk, op 5GHz, ook via het accesspoint op zolder, kan ik de wasmachine niet benaderen...

Moet ik testen tussen 2 apparaten welke allebei op het Guest netwerk zijn aangemeld (de instellingen op de wasmachine wijzigen is niet zo simpel :+)? Ik zou ook liever testen met iets anders dan een wasmachine (bijvoorbeeld een laptop of telefoon waar ik nog wat tools op kan draaien :+), maar hoe krijg ik dan 1 van de apparten zo ver om op 2,4GHz te verbinden? :?

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+


Acties:
  • 0Henk 'm!

  • Gwaihir
  • Registratie: December 2002
  • Niet online
Xander schreef op zondag 20 juni 2021 @ 01:46:
Hoe krijg ik dit het makkelijkste getest?
Goed vraag, ben ik helaas ook niet erg thuis in. Maar, geen nood, we zitten op het juiste forum :). Dit is vast ook omgekeerd bruikbaar: [Windows 10 Pro] forceren van 5GHz band bij dual-band WiFI

Ik gebruikte inderdaad twee apparaten op hetzelfde AP, beide op het guest network. Eén robotstofzuiger die geen 5Ghz ondersteunt en één tablet die daar juist de voorkeur aan geeft.

Beperkt actief i.v.m. gedrag van enkele mods. There are FOUR lights.

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee