Firewall Regeln um VLANs zu trennen

Es gibt 8 Antworten in diesem Thema, welches 6.656 mal aufgerufen wurde. Der letzte Beitrag () ist von PeGaSuS.

    Hallo zusammen.


    Ist mein erster Eintrag hier.


    Ich habe ein Problem/Frage:


    Ich habe einen Kunden der 3 Verschiedene WLANs will und die in separaten Netzen die von einander getrennt sind. Nun habe ich 3 LANs erstellt unter Netzwerke. Das Haupt LAN z.B 192.168.55.0 LAN2 192.168.56.0 VLAN 40 (IoT) und das LAN3 192.168.57.0 VLAN 50. (öffentlich)

    jetzt will ich, dass ich vom Haupt LAN in alle Netze zugreifen kann jedoch die anderen zwei Netze sich gegenseitig nicht sehen und auch nicht ins Hauptnetzt kommen.

    Wenn ich jetzt aber eine Firewall regel erstelle Source LAN2 Destination Haupt LAN und alle Einstellungen mache mit drop, blockiert es immer beide Wege wie ich am Ping sehe.


    Gibt es da eine Möglichkeit, dass ich trotzdem vom Haupt LAN in die anderen LANs komme??


    Setup:

    UniFi Dream Machine Pro

    UniFi Switch 24 POE-250W

    3 UniFi AP-nanoHD


    Vielen Dank für eure Hilfe


    Grüsse Ruf Soft

    Habe die Regel dort geschrieben (LAN in). Das Problem ist jetzt aber dass mit einer Regel beide Wege blockiert sind.

    Sprich ich kann mit dem Laptop welches im WLAN 1 (Haupt) den Surface im WLAN2 (IoT) auch nicht mehr anpingen und das ist das Problem.

    Ich will vom Haupt LAN trotzdem noch ins LAN2 kommen. Nur umgekehrt soll es nicht mehr gehen.


    Die Regel habe ich folgend geschrieben:


    Type: LAN In

    Rule Applied: Before Predefined Ruls

    Action: Drop

    Protocol: All


    Source Type: Network

    Network: LAN2

    Network Type: IPv4 Subnet


    Destination Type: Network

    Network: LAN1

    Network Type: IPV4 Subnet


    Adwanced: alle auf aus


    Nach meinem Verständnis sollte doch jetzt nur nicht mehr vom LAN2 ins LAN1 zugegriffen werden können. Leider ist es aber auch umgekehrt. Und dass möchte ich nicht so.

    Ich hatte das so gemacht, das nur die "Verbindungsaufbauende Pakete" in eine Richtung unter LAN in geblockt wurden. Dadurch kann eine Verbindung aus einem IP-Bereich aufgebaut werden (und genutzt werden), aber aus der anderen Richtung geht es nicht.


    Ob das aber so aus sicherheitstechnischer sicht richtig ist? Für meine zwecke hat es das getan.

    Hallo Michael aka iTweek


    Vielen Dank für deine Antworten und dass du dich bemühst mir zu helfen.


    Leider muss ich dir sagen, dass ich alles ausprobiert habe. Eine einzelne IP/Mac zu erlauben, das ganze Netzwerk erlauben , fast alle Einstellungen und

    Kombinationen ausprobiert um dies zu erlauben dass der Notebook vom Main LAN ins IoT kommt.

    Doch sobald die Block Regel welche ich oben angegeben habe einschalte sind beide Wege blockiert. Es kommt keine Antwort beim pingen.

    Hast du eventuell noch eine Idee?


    Vielen Dank


    LG Ruf Soft