Настройки файервола — разрешить vLAN1 доступ к GuestLAN

Настройки файервола — разрешить vLAN1 доступ к GuestLAN, UniFi Network

cardins2u

Guest

02.08.2017 15:27:00

Привет! Я пытаюсь заменить pfsense у одного клиента на Unifi USG pro. Корпоративный VLAN и файрвол настроить просто — мне легко удаётся изолировать трафик с помощью групп. Но у них ещё работает SolarWinds Orion, и они хотят, чтобы сервер SolarWinds Orion мог обращаться к гостевому VLAN. То есть с VLAN1 на VLAN20 (гостевой VLAN). Есть у кого идеи, как это настроить? Чем больше VLAN в USG pro, тем сложнее настраивать файрвол.

cardins2u Guest	#2 24.08.2017 01:22:00 Нужна ли дополнительная помощь от @UBNT-jaffe? Мне просто нужен доступ к гостевым сетям, и тогда я буду готов перевести ещё несколько объектов. Это единственное, что мешает мне переключить некоторых клиентов.

cardins2u

Guest

19.08.2017 17:20:00

@UBNT-jaffe
@UBNT-cmb
@UBNT-Brandon

После дальнейшего расследования я начинаю это лучше понимать. Похоже, это баг. Сценарий: В Guest Controls указаны DNS-серверы, кроме одного — 10.0.0.7.

Firewall: Межсетевой экран разрешает полный доступ к 10.0.0.2, 10.0.0.3, 10.0.0.7.

До авторизации клиентов:

После нажатия «принять»:

Но любые DNS-серверы, которые я указал в Pre-Authorization Access, всё ещё могут делать DNS-запросы. Это риск безопасности. Мы хотим разрешить только доступ к DNS-порту для запросов.

Это баг? Правила файрвола настроены до применения всех остальных правил. Похоже на проблему с маршрутизацией. Возможно, я что-то настроил неправильно?

cardins2u

Guest

19.08.2017 01:34:00

@UBNT-jaffe

@UBNT-cmb

Собственно, сейчас корпоративный VLAN работает отлично, как и ожидалось. Я пытаюсь настроить так, чтобы vLAN1 (CNLAN) мог обращаться к гостевому VLAN. Я что-то делаю не так? Пинг не проходит. Например, пытаюсь настроить гостевой VLAN, чтобы разрешить доступ к определённым серверам, таким как DNS-серверы в vLAN1 (CNLAN). Пробовал:
2002 Allow Guests to Screen Connect Accept All Groups:CNLAN Groups:RemoteServers
и
2002 Allow Guests to Screen Connect Accept All Groups:RemoteServers,
но это не дало никакого результата.

Ещё пытаюсь разрешить гостевому VLAN доступ к некоторым серверам внутри CNLAN (vlan1), но не получаю ответа и не могу к ним подключиться. Есть идеи, где я ошибаюсь?

Гостевой VLAN: 192.168.16.0/20
vLAN1: 10.0.0.1/21
DNS-серверы: 10.0.0.2 и 10.0.0.3
Хочу разрешить только DNS-запросы на порт 53.

Версия контроллера: 5.6.14
Текущий сайт: 01-CNUSG

UI-Team

Guest

18.08.2017 21:27:00

Ох, чел, ты только что напомнил мне. Я месяц назад написал на эту тему статью. Ха, совсем забыл про неё! https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-How-to-Disable-InterVLAN-Routing-on-the-UniFi-USG — там я всё подробно объяснил. Разрешение established/related сессий, по сути, просто позволяет "ответному" трафику проходить обратно через файрволл, чтобы обеспечить двустороннюю связь — твои симптомы выглядят абсолютно логичными и ожидаемыми! Рад, что ты доволен всем этим! У меня есть ещё 26 сайтов, где не могу поставить USG/USG pro в стойку, пока не появится возможность настраивать несколько IP для входящего/исходящего трафика. Думаю, это появится в GUI версии 5.7.x.

cardins2u

Guest

18.08.2017 14:47:00

@UBNT-jaffe

Спасибо за объяснение. Благодаря твоему решению мне удалось разобраться с этим беспорядком. Соседние VLAN — создал группу и добавил все соседние VLAN. Заблокировал соседей с 192.x.x.x по 192.x.x.x — при этом 192.168.50.x может свободно общаться внутри своей подсети, поскольку это происходит на втором уровне (УРА!). Разрешил Established/related сессии — при блокировке всех VLAN к VLAN1 также блокируется доступ VLAN1 к другим VLAN — это решение позволяет VLAN1 пинговать любые VLAN в сети и обеспечивает одностороннюю связь с другими VLAN. Я также добавил это на стороне гостевой сети. Теперь всё работает гладко и отклики стали быстрее.

Приятно видеть, как усилия нескольких недель начинают приносить плоды. Теперь я официально могу заняться организацией 13 своих объектов с использованием USG и USG Pro, так как теперь мы можем блокировать коммуникацию между VLAN с помощью файрвола. У меня есть ещё 26 объектов, где я не могу установить USG/USG Pro, пока не появится возможность настроить несколько IP для входящего и исходящего трафика.

Думаю, UBNT стоит поработать над улучшением документации или над документацией, созданной сообществом, по файрволу. Это одна из лучших функций USG.

Спасибо за помощь.

cardins2u

Guest

18.08.2017 13:48:00

Спасибо. Твои работы тоже классные. Я только что попробовал твой метод и собираюсь так и дальше делать. Твое объяснение помогло мне понять, как вообще работает этот файрвол. Спасибо. Чем больше у нас VLAN, тем сложнее настраивать файрвол.

UI-Team

Guest

18.08.2017 07:24:00

Если VLAN210 — это гостьевая сеть, то правила, которые у тебя на LAN_IN, где гостевые VLANы определены как «источник», не сработают (потому что гостевые сети фильтруются на GUEST_IN, а не на LAN_IN). По умолчанию гостевая сеть не может получить доступ к корпоративной LAN, так что правило там вообще не нужно. И наоборот, по умолчанию LAN может обращаться к гостевой сети, так что и на LAN_IN правило не требуется.

Но чтобы обеспечить трафик в одну сторону, гостевая сеть должна разрешить ответы. Всё, что нужно — это правило на GUEST_IN вверху, делаем так:
Accept
все протоколы
States: поставить галочку на establish и related
оставить поля source/destination пустыми

Это не даст GUEST_IN блокировать пакеты ответа, которые направляются обратно в vlan 1.

*EDIT* О, похоже, ты решил проблему — странно, что это работает с правилом на LAN_IN, ожидал бы, что оно нужно на GUEST_IN.

cardins2u Guest	#9 18.08.2017 07:02:00 Я нашёл решение после кучи рытья... Разрешить Established/relation-сессии в самом начале — вот что решило проблему.

cardins2u Guest	#10 18.08.2017 00:53:00 @UBNT-MikeD @UBNT-cmb Помогите, пожалуйста! Эти настройки вроде работают нормально. Но что, если я хочу заблокировать только в одном направлении? Например, хочу заблокировать трафик с vLAN210 на vLAN1, но при этом разрешить с vLAN1 на vLAN210. Настройки на скриншоте заблокируют всё в обе стороны.

Читают тему (гостей: 1)