Management LAN nachträglich separieren

Blebbens · March 15, 2025 at 6:24 PM

Moin,

ich hatte neulich mein Unifi-Netz neu aufgesetzt:

VLAN1 - Management (alle Unifi-Geräte und alle vertrauenswürdigen Eltern-Geräte)

VLAN2 - IoT

VLAN3 - Kids

Nun möchte ich aus Sicherheitsgründen ein eigenes VLAN für die Unifi-Geräte erstellen (VLAN Infrastruktur). Wie macht man das im laufenden Netz am sichersten ?

Laienhaft würde ich denken, ich aktiviere bei jedem Switch und Access Point „network override“ und wähle dann das neue VLAN „Infrastruktur“. Obwohl die Unifi-Geräte dann beispielsweise eine IP wie 192.168.5.s haben, müssten sie sämltiche VLANs verbreiten/bedienen können, meine ich.

Bei den Uplink-Ports der Switches würde ich dann das Infrastruktur-VLAN auswählen.

Wie kann ich es dann gewährleisten, mich mit meinen Eltern-Geräten nicht vom Zugriff auf die Konsole auszusperren ? Mit einer allow any/any ZBF-Regel vom Management- zum Infrastruktur-VLAN? Was muss ich noch beachten ? Wie weist man das Gateway dem neuen VLAN zu ?

Nutzer666 · March 17, 2025 at 4:40 PM

Alternativ, wenn es dir nur um das Trennen der "Eltern-Geräte" und der Unifi-Geräte geht, könntest du auch einfach ein VLAN4 aufspannen und deine "Eltern-Geräte" in dieses verschieben, oder spricht hier was dagegen?

Sonst ja, "Network Override" ist das richtige Stichwort.

Wir hatten ein ähnliches Thema vor kurzem schonmal...

Virtual Network (VLAN) Troubleshooting – Ubiquiti Help Center

Post

RE: Netzwerkport vor unbefugtem Zugriff durch Ferienwohnung absichern

Lies dir mal das durch:

Virtual Network (VLAN) Troubleshooting – Ubiquiti Help Center

Du kannst einen Port mit keinem nativen netzwerk belegen. Oder ein anderes natives Netzerk drauflegen (z.B. gast). Der AP zieht sich dann trotzdem die IP aus dem "managemant" VLAN, obwohl das nichtals natives Netz auf dem Port konfiguriert ist.

Nutzer666

March 7, 2025 at 8:47 PM

Blebbens · March 17, 2025 at 7:44 PM

Geht im Grunde darum, dass die Unifi-Devices von allem getrennt werden, damit niemand Unbefugtes auf diese zugreifen kann.

Wenn ich denn nun ein eigenes Unifi-Geräte-VLAN erstelle und diese Geräte dann über „network override“ dort zuordne, wie greife ich dann von den trusted-Eltern-Geräten darauf zu ? Einfach mit einer zone-based-Regel „source Eltern-VLAN, destination Unifi-VLAN, any/any, allow return traffic“ ?

Nutzer666 · March 17, 2025 at 8:57 PM

Wie greifst du denn bisher drauf zu? Per ssh oder was ist dein plan?

Wenn die Standard-Einstellungen getroffen sind und du dich mit deinem Online-Konto anmeldest, kannst du doch regulär über unifi.ui.com auf deine Site zugreifen. Da ist egal, von welchem Vlan aus, weil über Internet.

Willst du aber per IP auf deinen Router z.B. geht das per default nur im eigenen VLAN. Also von 192.168.1.x kommst du auf die Gateway IP 192.168.1.1, jedoch nicht auf 192.168.2.1

Wenn du das jedoch möchtest, dann musst du Firewall-Regeln erstellen.

RE: Netzwerkport vor unbefugtem Zugriff durch Ferienwohnung absichern

Participate now!