Unifi USG VLAN netwerk bouwen

Ik ben thuis aan de slag gegaan om mijn netwerk te gaan verdelen intern.

VLAN 10 = Main netwerk. Hierop zitten de pc's, printers, en een NAS systeem
VLAN 20 = Kids netwerk. Hierop zitten alle devices van de kids, PC's / Gameconsoles / telefoons.
VLAN 30 = Security Netwerk. Hier komt alles op wat te maken heeft met camera's enzovoort.
VLAN 40 = Guest netwerk. Hierop wil ik alleen mijn gasten op hebben.

Hardware welke ik gebruik intern in het netwerk:

#	Category	Product	Prijs	Subtotaal
1	Netwerk switches	Netgear GS305Pv2-200PES	€ 47,49	€ 47,49
2	Netwerk switches	TP-Link TL-SG105E-Gigabit (5-poorts)	€ 19,59	€ 39,18
1	Netwerk switches	TP-Link TL-SG108E-Gigabit (8-poorts)	€ 25,16	€ 25,16
1	Netwerk switches	TP-Link TL-SG1016DE	€ 68,99	€ 68,99
3	Accesspoints	Ubiquiti UniFi AP-AC LITE (1-Pack)	€ 83,89	€ 251,67
1	Modems en routers	Ubiquiti Unifi Security Gateway (USG)	€ 0,-	€ 0,-
Bekijk collectie Importeer producten			Totaal	€ 432,49

In de Unifi USG heb ik de VLANS aangemaakt, en deze laat ik lopen over de standaard LAN1.
Verbinding gaat van USG LAN1 > TP-Link TL-SG1016DE poort 1.

In de TP-Link TL-SG1016DE heb ik netjes de VLANS aangemaakt, en TAGGED op poort 1 gezet, en weer op poort 16 TAGGED gezet . Want vanaf poort 16 gaat die naar mijn kantoor toe naar de TP-Link TL-SG108E-Gigabit (8-poorts) op Poort 1.

In de TP-Link TL-SG108E-Gigabit (8-poorts) op het kantoor heb ik de VLANS aangemaakt en TAGGED op poort 1 en TAGGED op poort 7 en 8 gezet. Want poort 7 gaat naar de woonkamer en port 8 naar de kinderkamers.

Zowel in de woonkamer als in de kinderkamer heb ik een TP-Link TL-SG105E-Gigabit (5-poorts) staan.
Beide zijn het zelfde ingericht namelijk op poort 1 TAGGED de VLANS.

Nou ben ik bezig geweest met de juiste devices UNTAGGED op de poort te zetten en ook dat werkt prima, want de juiste IP range wordt uitgedeeld naar het devices toe.

De devices kunnen niet bij elkaar komen van de ene VLAN naar de andere VLAN.
Maar nog wel naar de native VLAN 1 toe. Dus ook bij de USG configuratie pagina. En ook als ze naar het gateway adres gaan, komen ze uit op de config pagine van de USB. (Dit is natuurlijk niet wenselijk)

Wat ik wel weer zou willen, op het native VLAN heb ik mijn Proxmox server staan met een aantal VM's erin.
Een daarvan is OpenMediaVault. En een andere is MotionEye.

OpenMediaVault is mijn NAS server met Plex ook geinstaleerd.
En MotionEye is voor de opnames van mijn camera's rondom het huis.

Ik zou graag het volgende voor elkaar willen krijgen:

VLAN 10 moet overal bij kunnen in het huis, aangezien hier ook mijn eigen pc op zit.
VLAN 20 Kids netwerk moet gewoon internet hebben, maar wel bij Plex kunnen, De rest geen toegang
VLAN 30 moeten de camera's welke bij MotionEye kunnen, maar niet bij OpenMediaVault.
VLAN 40 moet geisoleerd worden, maar dat is volgens mij in de UNIFI AP's goed te regelen met een aparte SSID en een guest netwerk met hotspot.

Ik zie op Youtube een hoop filmpjes met uitleg staan, maar allemaal net niet wat ik precies zou willen.
(Of ik heb de juiste nog niet gevonden)

Wie heeft voor mij de gouden uitleg

rjong5 schreef op maandag 13 mei 2024 @ 19:28:
Zo te zien moet je dmv groups je hosts en ports definieren die je in je rules wilt gebruiken.

Dus bijv voor je mediaserver maak je een group voor host en een group voor de poorten die dat apparaat gebruikt.

Deze gebruik je in een rule als destination voor een van je vlan's ( source )

Is daar ergens een voorbeeld van hoe dat eruit ziet?
VLAN is nog vrij nieuw voor mij.

rjong5 schreef op maandag 13 mei 2024 @ 19:35:
Doe even een google search voor afbeeldingen op : usg firewall rules

Genoeg plaatjes te zien, maar in feite is het heel simpel

In een rule geef je een source op , dan kan een single host of netwerk zijn.

Een destination ( idem als source )

Een port die gebruikt wordt ( 80 voor http etc)

En de actie ( allow of de deny).

Het hebben van static ip adressen is voor sommige devices dan wel handig natuurlijk

Dus dan zou deze regel ervoor zorgen dat IP: 192.168.30.80 toegang krijgt op plex welke draait op 192.168.1.3. Maar dan heeft een andere VLAN met bijvoorbeeld ip 192.168.40.80 geen toegang?

rjong5 schreef op maandag 13 mei 2024 @ 19:43:
orrect, alleen bij de source hoef je geen port op te geven.

Je weet nl niet via welke port je source verbinding op wilt zetten.

Alleen destination port is van belang

Plex is niet bereikbaar, maar ook niet als ik puur poort 80 doorzet van 192.168.30.80 -> 192.168.1.3.
Op de een of andere manier klopt er ergens iets niet

Wat het testen ook lastig maakt, is dat het vrij lang duurt voordat de Unifi USG zijn setting heeft opgeslagen.
Na elke wijziging duurt het denk ik minuutje voordat die weer groen in de controller aangeeft.

[ Voor 19% gewijzigd door marcel19 op 13-05-2024 20:04 ]

rjong5 schreef op maandag 13 mei 2024 @ 20:05:
Probeer het eens zonder specifieke poorten op te geven.

Alle devices op alle vlan's hebben de USG ook als gateway ( ga ik wel van uit)

Of probeer het heel breed, dus bijv van netwerk naar netwerk , kikken of dat werkt.

En dan verder proberen dicht te zetten.

Eigenlijk heb ik dat nu zo gedaan, maar nu kan de pc in het netwerk 192.168.20.x ook bij OpenMediaVault komen. En trouwens niet alleen daarbij, maar ALLES wat in 192.168.1.x draait.

(Dit is dan ook wel de NATIV VLAN en volgens mij klopt dat dan weer...

Als ik in het zelfde subnet: 192.168.20.x mijn synology wil bereiken dan werkt dat prima op 192.168.20.76:


Als ik dan een firewill rule aanmaak dat 192.168.30.80 allowed is naar 192.168.20.76 zonder poorten in te vullen. Kan ik het niet bereiken, zelfs niet pingen:

Wat ik sowieso raar vind, is dat Unifi USG standaard al de volgende firewall rules heeft, en ook niet te editen zijn...

rjong5 schreef op maandag 13 mei 2024 @ 20:32:
[...]


Uit wat voor "type" rules kan je kiezen.
Ik las iets over WAN, local, in en out.

Misschien xit daar iets niet goed

Deze opties zijn er:
Internet In
Internet Out
Internet Local
LAN In
LAN Out
LAN Local
Guest In
Guest Out
Guest Local
Internet v6 In
Internet v6 Out
Internet v6 Local
LAN v6 In
LAN v6 Out
LAN v6 Local
Guest v6 In
Guest v6 Out
Guest v6 Local

rjong5 schreef op maandag 13 mei 2024 @ 20:37:
Zo te zien moet je geen lan local type kiezen.

Ik weet niet goed hoe ik lan local moet interpreteren, maar volgens mij moet je type lan in of out hebben afhankelijk van de richting van het verkeer.

Maar dat is snel geprobeerd natuurlijk

Rule Directionality
Besides the network type, the firewall rules also apply to a direction. The following directions are used:

Local: Applies to traffic that is destined for the UDM/USG itself.
In: Applies to traffic that is entering the interface (ingress), destined for other networks.
Out: Applies to traffic that is exiting the interface (egress), destined for this network.
For example, firewall rules configured under LAN In will apply to traffic from the LAN (Corporate) network, destined for other networks. Firewall rules configured under LAN Local will apply to traffic from the LAN (Corporate) network, destined for the UDM/USG itself.

Heb LAN IN en LAN OUT geprobeerd. Beide op protocol ALL zodat het volledig van 192.168.30.80 naar 192.168.20.76 zou openstaan. Maar op geen enkele manier krijg ik verbinding of kan ik pingen.
Ik denk dat het ergens in de Firewall rules zit die er standaard ingebakken zitten.

[ Voor 11% gewijzigd door marcel19 op 13-05-2024 20:50 ]

nelizmastr schreef op maandag 13 mei 2024 @ 22:00:
Hier loop je helaas tegen de grootste zwakte van Unifi aan, firewalling en routing. Op dat vlak is het echt niet geavanceerd of intuïtief. Ook is i.t.t. veel andere implementaties de standaardactie om alles maar toe te staan en het is aan de gebruiker om de boel dicht te bouwen.

Omdat firewall regels van boven naar beneden werken en inderdaad de vooraf ingestelde regels niet aan te passen zijn, zul je voor eigen overrides altijd het vinkje before predefined moeten aanzetten. Een conflict acht ik hier klein, want als je de regels leest accepteren ze allemaal verkeer en zitten daar geen actieve denies in verstopt tot ver onder je gewone LAN regels.

Dat vinkje staat standaard al aan, en dan werkt het dus niet.
Maar ik hekel mezelf al enige tijd aan de USG.

Zit eraan te denken om PfSense/OPNsensee te gaan draaien in mijn Proxmox server.
Ik had al gelezen dat daar standaard alle firewall rules uitstaan, en je 100% zelf moet gaan opbouwen.

Ik zit met die USB gewon nu voor dit tegen teveel restricties aan heb ik het idee.
Want heb geen zin om 5 rules aan te moeten maken, om 1 device ergens toegang tot te gaan geven.

[ Voor 20% gewijzigd door marcel19 op 13-05-2024 22:21 ]

Iedereen bedankt voor de informatie.

Maar ik heb toch besloten om het met PfSense verder te gaan doen. Bevalt me nu sowieso al beter dan die USG (draait al even)