Nic1 isoleren van Nic2

Idealiter doe je scheiding en rechten regelen in de firewall van de router. Ondersteunt jouw router VLAN's? En hoe heb je VLAN's op je NIC ingesteld?

Zolang je de nic's in verschillende netwerksegmenten plaatst kan er geen onderlinge communicatie plaatsvinden. Tenzij er iets op je debian host draait dat voor de routering zorgt.

oyay schreef op donderdag 1 september 2022 @ 09:19:
[...]


Thx!

Mijn router, een edgerouter 4 ondersteunt vlans. Deze zijn ook ingesteld en werkt goed.

Het probleem is dat ik het niet voor elkaar krijg om mijn stofzuiger in vlan 2 te laten communiceren met mijn homeassistant in vlan1. Het blijkt nogal een dingetje te zijn om dit goed in de firewall geregeld te krijgen voor een leek als ik.

Dit heb ik dus opgelost door de homeassinstant te voorzien van 2 nics. 1 in vlan1 en 1 in vlan2. Hiermee is mijn stofzuiger dus te benaderen vanuit vlan1 en werkt alles naar behoren.

Ik wil dus zeker weten dat ik geen gaatje heb veroorzaakt in mijn netwerk waardoor er apparaten vanuit vlan2 naar vlan1 kunnen door de 2 nics heen.

Je hebt geen brug gemaakt tussen de 2 netwerken, die host gaat uit zichzelf geen verkeer routeren tussen de nics.

In de meest optimale situatie voer je onderstaand uit:

In de edge router moet je verkeer mogelijk maken tussen de VLANS, het mooiste is als je een DHCP reservering aanmaakt voor je stofzuiger in VLAN2, zodat deze altijd hetzelfde IP adres heeft.

Op basis van dat vaste IP adres maak je een firewall regel, waarbij je de stofzuiger toegang geeft tot enkel de homeassistant in VLAN1 op basis van poort X.

oyay schreef op donderdag 1 september 2022 @ 16:04:
[...]


Klopt. Heb ik ook geprobeerd. Dat gaat op zich goed.

Maar dat werkt dus niet met "broadcasting" wat ik nodig heb om de stofzuiger bekend te maken in het netwerk. Dat vraagt wat meer configuratie in de firewall wat mij niet lukt,

Maar jij zegt dus dat er niet zomaar verkeer van nic1 naar nic2 kan en dat het wel veilig is zo?

Waarvoor heb je broadcasting nodig? Als de stofzuiger in deze altijd hetzelfde IP heeft, door een DHCP reservering, weet je toch altijd waar hij in het netwerk is.

Er kan niet zomaar verkeer van nic1 naar nic2 inderdaad. Enkel de host zelf kan met beide netwerken communiceren.

Dan kan je je homeassistant misschien beter in het VLAN bij je stofzuiger zetten, en een toegangsregel voor bijvoorbeeld het andere vlan richting homeassistant geven?

Broadcasting over vlan's kan uiteraard niet.
Het hele idee van vlan's is dat ze van elkaar gescheiden zijn en elkaar niet kunnen bereiken.

En het principe van vlan's is juist dat je Virtual lan's hebt en dus niet meerder nics nodig hebt.

[ Voor 26% gewijzigd door Ben(V) op 01-09-2022 16:27 ]

broadccasts worden inderdaad niet gerouteerd tenzij je er iets speciaals voor doet.
Als je in het ene vlan naar het andere vlan kunt pingen weet je dat de stellige stelling van @Lawwie niet klopt.
hoogstwaarschijnlijk plakt de routeringstabel er netjes een entry in op de host met 2 nics en ziet die host de 2 netwerken als directly connected.

Ik zou het even testen ...

Kabouterplop01 schreef op donderdag 1 september 2022 @ 17:45:
broadccasts worden inderdaad niet gerouteerd tenzij je er iets speciaals voor doet.
Als je in het ene vlan naar het andere vlan kunt pingen weet je dat de stellige stelling van @Lawwie niet klopt.
hoogstwaarschijnlijk plakt de routeringstabel er netjes een entry in op de host met 2 nics en ziet die host de 2 netwerken als directly connected.

Ik zou het even testen ...

Die host heeft inderdaad connectivity in beide vlans, dat ontken ik niet. Alleen de stofzuiger kan niet via die host naar het andere vlan hoppen, waar TS bang voor is

Lawwie schreef op vrijdag 2 september 2022 @ 08:34:
[...]


Die host heeft inderdaad connectivity in beide vlans, dat ontken ik niet. Alleen de stofzuiger kan niet via die host naar het andere vlan hoppen, waar TS bang voor is

Ik heb dat anders gezien, maar niet in dit voorbeeld. Er wordt alleen gechecked op broadcast.
Maar verder wordt niet getest.
Op het moment dat je van een host in vlan1 naar een host in vlan2 kunt pingen is de stelling nl ontkracht.

Werkt dit echt met (native) broadcasts of via mdns o.i.d.?
Volgens mij hebben Edgerouters een avahi (achtig) pakket https://help.ui.com/hc/en...-EdgeRouter-mDNS-Repeater.

Zo heb ik het thuis ook ingericht, alle IOT apparaten 1 (of meerdere) vlans, Avahi vm en een firewall rule:
Allow: LAN > IOT VLAN(s). Uiteraard met ESTABLISHED,RELATED rule.
Is natuurlijk ook af te schermen met bijvoorbeeld een address list.

Maargoed het antwoord is al gegeven check voor de zekerheid sysctl net.ipv4.ip_forward en/of sysctl net.ipv6.conf.all.forwarding en zorg dat deze op "0" staan. Dan "kan" de Debian machine niet routeren ook al geef je deze handmatig op als gateway. Maak iptables -P FORWARD DROP (persistent) aan in je IPtables (firewall) en je bent helemaal klaar.

[ Voor 35% gewijzigd door MasterL op 02-09-2022 10:05 ]