Home Office: Geräte des Arbeitgebers und privaten Drucker verbinden

Es gibt 7 Antworten in diesem Thema, welches 668 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Moin,


    ich wollte eine Veränderung in meiner Netzwerk-Architektur vornehmen, mit dem Ziel die 2 Geräte meines Arbeitgebers im Home Office mit dem privaten Drucker zu verbinden. Aktuell buchen sich beide Geräte in ein eigenes (Gäste-) WLAN ein und werden einem Gäste-VLAN zugeordnet ("GUEST", 192.168.60.0/24). Bandbreitenlimit und Client Isolation sind aktiviert. Der Drucker ist mit meinen anderen privaten Geräten via Kabel in einem LAN ("LAN", 192.168.30.0/24) und bekommt via DHCP immer die gleiche Adresse (192.168.30.50/32)


    Die Ziele:

    1. Telefon und Laptop des AG in ein "reguläres" (W|V)LAN ohne Client-Isolation und Bandbreitenbeschränkung.
    2. Uneingeschränkte Kommunikation der Arbeitgeber-Geräte ins Internet und untereinander.
    3. Zusätzlich sollen diese Geräte den Drucker finden und verwenden können, aber keine anderen Geräte aus dem LAN.
    4. Kein Zugriff aus WORK auf andere lokale Netzwerke oder das Gateway (UDM Pro)


    Ich habe in einem ersten Schritt ein neues VLAN ("WORK", 192.168.70.0/24) angelegt und via "Private Pre-Shared Keys" Feature Laptop und Telefon via WiFi in das VLAN "WORK" gehoben. Beide Geräte können sich einbuchen, bekommen eine IP aus dem VLAN WORK und können keine anderen Clients aus dem "LAN" VLAN aufrufen.


    Zwei Dinge konnte ich allerdings noch nicht lösen:

    1. Die Geräte in "WORK" können via 192.168.70.1 bzw. die Gateway-IP jedes anderen VLANS (192.168.30.1) auf die UDM Pro zugreifen. Dies soll zumindest für SSH und HTTP nicht möglich sein bzw. nur für die notwendigen Services (NTP, DNS)
    2. Und ich weiß nicht, wie ich den Drucker zugänglich mache, so dass die Geräte aus WORK ihn finden und nutzen können.


    Wer kann helfen?

  • maxim.webster

    Hat den Titel des Themas von „Geräte des Arbeitgebers und privaten Drucker verbinden“ zu „Home Office: Geräte des Arbeitgebers und privaten Drucker verbinden“ geändert.

    Ich würde (hoffentlich hab ich nix überlesen)


    - Ein eigenes , isoliertes Vlan für die Work Geräte


    - eine Lan Firewall Regel, dass den Zugriff des Work vlans auf die Ip des Druckers erlaubt (der müsste natürlich immer die selbe bekommen)

    Zitat von anton

    Ich würde (hoffentlich hab ich nix überlesen)


    - Ein eigenes , isoliertes Vlan für die Work Geräte


    - eine Lan Firewall Regel, dass den Zugriff des Work vlans auf die Ip des Druckers erlaubt (der müsste natürlich immer die selbe bekommen)


    Das VLAN steht, die Geräte sind drin. Was fehlt und wo ich Hilfe brauche:

    1. Firewall Regel / Traffic Rule, die Drucken aus 192.168.70.0/24 nach 192.168.30.50/32 erlaubt und den Drucker auffindbar macht
    2. Firewall Regel, welche den Zugriff auf das Gateway 192.168.70.1 beschränkt, also auf DNS und NTP reduziert

    So könnte das aussehen.


    Gruß

    defcon

    Kann ich dir leider nicht beantworten, da ich nur mit der Firewall arbeite.


    Es wäre ja wünschenswert, wenn Unifi sowohl die FW als auch die Traffic Rules prüft und erst dann entscheidet ob ein Paket gedropped wird oder nicht.

    Ich weiß nicht ob Unifi so klug war, es z.B. so umzusetzen:

    • Paket wird durch die Firewall erkannt
    • Firewallregeln werden abgearbeitet (zugriff vom Gast VLAN auf VLAN vom Drucker) - ergebnis Block
    • Traffic Rules werden abgearbeitet (zugriff vom Gast Client auf Drucker) - ergebnis Erlaubt
    • Gateway entscheidet, dass das Paket durch darf

    Gruß

    defcon