Netzwerk isolieren und dessen Bedeutung

Es gibt 3 Antworten in diesem Thema, welches 577 mal aufgerufen wurde. Der letzte Beitrag () ist von sebcodes.

    Klingt komisch aber mir ist das einfach nicht ganz klar, was der Punkt "Netzwerk isolieren" nun tatsächlich bewirkt.


    Habe mehrere Netzwerke (VLan) erstellt um den Zugriff für iOT-Geräte, Kameras,... zu trennen - soweit so gut, alle erhalten in den entsprechenden VLan´s ihre IP´s.


    Nun möchte ich aber das man nicht vom auch angelegten Test - Netzwerk auf meine anderen oder das Standardnetzwerk zugreifen kann.


    Dies ist der Punkt wo sich mir nun die Frage stellt, was bewirkt "Netzwerk isolieren" - wird dann der Zugriff von einem anderen Netzwerk auf Test verhindert oder kann man dann von Test nicht auf die anderen Netzwerke zugreifen?

    Moin,


    mit Netzwerk Isolieren, insolierst du nur den Zugriff vom Netz zu anderen Netzen, das kannst du schön sehen wenn du es aktiviert hast und dir dann unter Security die Firewall Regel dazu anschaust, da ist die Quelle dein isoliertes Netz, die Ziele sind alle anderen Netze.

    Also würdest du vom Standardnetz noch auf das Test kommen, nur nicht vom test ins standard.


    Am besten ist es wirklich 3-4 standard FW-Regeln zu bauen damit VLAN's auch das tun für was sie da sind, nämlich logische Einzelnetze zu sein, das ist bei Unifi ja standmäßig leider alles offen. Hier sind 2 gute Wikieinträge dazu:

    Firewall-Regeln 2.0 by defcon

    Firewall-Regeln by Naichbindas - ubiquiti - Deutsches Fan Forum

    Und wenn ich am Port "VLAN-Management mit Tag" aktiviere und benutzerdefiniert das Hauptnetz als "Getaggte VLANs" eintrage, dann schaut es so aus:


    Bedeutet das nun was genau?

    Das musst du einmal VLAN Arten mit Firewall unterscheiden dass sind 2 verschiedene Schuhe


    Natives VLAN= Portbasiertes VLAN, das Gerät an dem Port bekommt nur Zugriff auf das Native VLAN.

    Getagged VLAN= Es können mehrere VLAN's über diesen Port transportiert werden, trotzdem bleibt das Datenpaket in seinem eigenen VLAN.

    Wenn VLAN's untereinander getrennt sind, bringt dir auch getagged nix.


    Ein Beispiel:

    Du hast 4 VLAN's, Router und Switch.

    Du möchtest am Switch alle VLAN's nutzen können, also machst du den Uplink Port zu Router als Trunk Port bzw Taggst alle VLAN's die du transportieren willst. Jedes VLAN ist aber immer noch getrennt von sich selbst, da jedes Paket ein zusätzliches VLAN Tag im Header hat.


    Diese Übersicht zeigt einfach an auf welchem Port welches VLAN nativ also fest zugeordnet ist (untagged/nativ) und auf welchem Port das VLAN mit durchgereicht wird (Tagged)


    Möchtest du jetzt dass ein Gerät aus VLAN 1 auf das VLAN 2 zugriff hat, ist dass das sogenannte Inter-vlan-routing und das machst du mit einem Layer 3 gerät, in deinem Fall der Router per Firewall Regel.