Hallo zusammen,
ich steige in der Administration der Unifi-Componenten, insbesondere der Firewallregeln, noch nicht so ganz durch und könnte mal einen einen Anstoß gebrauchen. Ich habe folgende Frage:
Es gibt 4 kleine Firmen, die über die gleiche Netzwerkinfrastruktur laufen (UDM-Pro-Max und zwei Switche USW-Pro-Max-24-Poe) Diese sind über VLANs umgesetzt, die voneinander isoliert sind.Das ist so weit konfiguriert und läuft wie erwartet.
Es soll eine neue VOIP-Telefonanlage in Firma 1 gehostet werden, deren Server zwingend im VLAN der Firma 1 bleiben muss und nicht in eine separates VLAN für die Telefone ausgelagert werden kann. Das wäre auch für Firma 1 alleine kein Thema und würde laufen.
Die Besonderheit ist jedoch, dass die Firmen 2 bis 4 ebenfalls von dieser Telefonanlage bedient werden sollen. Jetzt könnte man die jeweiligen Netzwerkanschlüsse der VOIP-Telefone einfach in das VLAN der Firma 1 integrieren. Ich rede hier nicht vom oft üblichen Durchschleifen des PC-Netzwerkanschlusses über das Telefon. Die Telefone hätten eigene Netzwerkanschlüsse. Ich möchte sicherstellen, dass auch beim Anschließen eines PCs an den Telefon-Netzwerkanschluss nicht plötzlich der PC im "falschen" Netzwerk arbeiten kann. Gäbe es noch eine andere Möglichkeit, als alle VLANs über feste MAC-Adressen abzuriegeln? Das ist für alle 4 Firmen nicht gewünscht.
Folgefrage in diesem Zusammenhang:
Auf den PCs in allen 4 Firmen läuft zusätzlich ein "Softphone". Diese Anwendung muss also zwingend eine Verbindung ins VLAN der Firma 1 zur Telefonanlage herstellen können. Die dafür notwendigen Ports sind bekannt.
Und hier stehe administrativ mit beiden Beinen fest auf dem Schlauch. Wie kann ich diese speziellen Ports aus allen VLANS 2-4 in VLAN 1 erlauben, während sämliche restliche Kommunikation wie oben beschrieben weiterhin isoliert bleibt? Ich habe gerade das Gefühl, ich versuche zu duschen ohne nass zu werden.
Viele Grüße
Tom
