Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
правила брандмауэра (через новый графический интерфейс) для изоляции трафика VLAN (с использованием Controller 5.2.9), UniFi Network
 
#1
25.10.2016 18:39:00
У меня полный стек Unifi (USG Pro 4, два коммутатора 24P-250W и несколько UAP-AC-PRO), и я легко настроил все необходимые сети/VLAN и WLAN в новом контроллере. Но вот что я заметил: когда подключаюсь к определённой WLAN или порту коммутатора, настроенному на конкретный VLAN, я всё равно могу пинговать и видеть адреса из других VLAN. Вопрос такой: какие правила мне нужно создать в новом графическом интерфейсе межсетевого экрана контроллера (и в каком разделе — например, LAN IN, LAN Local и так далее), чтобы изолировать эти VLAN и сделать так, чтобы они не видели друг друга? Я думал, что VLAN изначально должны быть изолированы по трафику, но, похоже, это не так.

Это для рабочего окружения в магазине с публичным Wi-Fi, администрацией, сотрудниками, POS (кассовыми терминалами) и системой видеонаблюдения — всё на отдельных VLAN, и мне нужно, чтобы они не пересекались. Публичный Wi-Fi решается просто — гостевые политики на WLAN уже делают своё дело. А вот с остальными сетями нужна помощь с правилами межсетевого экрана через GUI. Я не знаком с использованием CLI и ищу именно инструкции, как сделать это в новом Firewall GUI, который появился в версии 5.1.x контроллера. Спасибо за внимание!
 
 
 
#2
15.12.2017 05:36:00
Привет, PDY!

Для начала, вот отличное видео, которое поможет решить вопрос с разделением IoT, который тебя интересует: https://youtu.be/baj3747yfos

Подводя итог, мне удалось изолировать свои VLAN группы. Мне удалось выделить сеть безопасности в отдельную сеть, заблокировав доступ в интернет и любой доступ с других VLAN и обычных LAN сетей. Также я смог изолировать устройства IoT так, чтобы у них не было доступа к локальной сети, но при этом был доступ в интернет. Для этого я использовал настройки файрвола.

Чтобы лучше понять файрвол, нужно представить роутер как здание. Чтобы войти в здание, надо пройти через дверь (WAN или LAN порт), и у каждого порта есть набор правил для конкретного направления движения — то есть выхода «Out» или входа «In» в здание (роутер).

Например, у меня на роутере eth0 — это WAN (интернет), eth1 — моя локальная LAN. WAN In — это то, что приходит из интернета через WAN порт (eth0). WAN Out — всё, что выходит в интернет через WAN (eth0). Аналогично для LAN In и LAN Out. LAN In — это то, что входит в роутер через LAN (eth1), а LAN Out — то, что выходит через LAN (eth1).

Это может показаться запутанным, если сначала не разобраться. Представь здание с четырьмя стенами — это твой роутер. С одной стороны здания — интернет, а с другой — твоя сеть. С интернет-стороны есть дверь eth0 (WAN). Когда приходит трафик «WAN In», он идет из интернета внутрь роутера. Если политика WAN In разрешает пройти, то трафик маршрутизируется дальше. С другой стороны здания — дверь eth1 (LAN), она соединена с локальной сетью. После прохождения политики WAN In трафик передаётся во внутреннюю сеть. Выход трафика из роутера через дверь eth1 — это «LAN Out». В этой ситуации политики WAN достаточно для входящего соединения, поэтому настраивать LAN Out можно, но чаще этого не требуется. Большинство правил, которые вы создаёте, будут для LAN IN или WAN IN.

Вот ещё пример, касающийся локальной сети и IoT. Допустим, у вас есть VLAN и обычная LAN. Они все подключены к коммутатору, а к вашему USG идет один кабель. Вы хотите запретить весь трафик из VLAN в LAN и из LAN в VLAN. Для этого нужно остановить их на «двери» — порту eth1 (LAN). Значит, надо заблокировать входящий трафик. Здесь поможет политика «LAN In», которая остановит или «сбросит» соединения с исходной сети VLAN до целевой сети LAN.

Вот схема, которая очень помогла мне понять эту концепцию: https://community.ui.com/questions/2dafa379-3269-4749-b224-0dee15374de9

В общем, LAN IN, LAN Out и остальные — это трафик, направляющийся в физический роутер. Как только ты понял это, работать с правилами файрвола становится гораздо проще. Я пока новичок в этом деле, но для меня это был большой прорыв, когда я наконец разобрался с трафиком файрвола.
 
 
 
#3
15.12.2017 03:45:00
Вопрос решён? Я хотел бы изолировать свою IoT-сеть от других VLAN в сети, разрешив IoT только выход в интернет. У меня также полный набор оборудования Unifi: контроллер, AP-AC-Pro, AP-AC-M, USW, USG.  

И ещё, каково определение LAN IN и LAN OUT?  

С уважением,
 
 
 
#4
08.12.2017 21:12:00
Это до сих пор проблема с USG? Если да, кто-нибудь пришёл к выводу, что это просто из-за использования всей серии Unifi? Например, может быть, сетевой коммутатор не обновляется с назначениями портов VLAN, и поэтому устройства могут общаться друг с другом?

Я использую коммутатор Netgear и тестировал свою VLAN безопасности с подсетью 192.168.10.1, но также пробовал изменить IP на своём подключённом ноутбуке и пинговать 192.168.1.1, но ответа не получил.

Так что вопрос: это из-за того, что порты не назначены в VLAN в Unifi? И если да, то в чём разница — назначать порты в VLAN на коммутаторе Netgear или использовать систему Unifi? Значит ли это, что я не могу обмениваться данными между разными VLAN? Я по-прежнему пользуюсь Unifi USG и точками доступа, так что предполагаю, что для маршрутизации двух действительно изолированных VLAN мне просто нужно настроить правила брандмауэра.
 
 
 
#5
01.09.2017 01:14:00
Я в такой же ситуации. Я использовал стратегию «группа адресов», но это далеко от идеала. Кто-нибудь знает, планируется ли это исправить?
 
 
 
#6
14.06.2017 17:27:00
Я неправильно настроил правила. Исходящий порт случайный, поэтому нужно разрешить все возможные порты.
 
 
 
#7
14.06.2017 01:44:00
@gpoole83

— Ты как-нибудь решил проблему с тем, что USG игнорирует правила Accept, если они стоят перед правилами Drop? У меня такая же проблема.  
-------------------------  
Правка: моя ошибка, я понял, что правило было составлено неправильно.
 
 
 
#8
04.06.2017 21:06:00
У меня контроллер версии 5.4.16. Я пытаюсь сделать примерно такую же изоляцию, но между WAN и VLAN: хочу изолировать одну VLAN от WAN/интернета (гостевой портал использовать нельзя). Пробовал использовать существующий пост, только заменял идею на WAN IN, но без результата. Ваши примеры отлично работают для VLAN к VLAN, а вот добиться работы WAN — конкретная VLAN не выходит. Есть мысли?  
Дэн
 
 
 
#9
25.04.2017 17:44:00
Даже пробовал добавить правило в другую сторону...
 
 
 
#10
25.04.2017 17:42:00
Это не сработало. Что-то не так с USG – он не учитывает правила «Allow», если они размещены перед правилами «Deny» в фаерволе.
 
 
 
#11
24.04.2017 16:43:00
Попробуйте так:  
1. Перейдите в настройки > маршрутизация и брандмауэр > брандмауэр > группы.  
2. Создайте группу. Назовите её printers. Добавьте адреса ваших принтеров — это может быть диапазон, подсеть или отдельный IP.  
3. Нажмите сохранить.  
4. Перейдите в правила. Выберите LAN IN.  
5. Создайте правило.  
6. Назовите его allow printers.  
7. В разделе применения правила выберите «до предопределённых правил».  
8. В действиях выберите «принять».  
9. В пункте назначения выберите printers.  
10. Нажмите сохранить.
 
 
 
#12
24.04.2017 15:32:00
У меня такая же проблема... Кто-нибудь знает, в чём дело?
 
 
 
#13
08.11.2016 21:41:00
У меня VLANы изолированы (я обнаружил, что использование настройки NETv4 в Network для источника и назначения сработало без необходимости создавать группу), но теперь я хочу разрешить подключение к одному устройству в LAN (широкоформатному принтеру). Я добавил другое правило выше правила, которое блокирует трафик из одной сети в другую. Источник поставил VLAN, которому хочу дать доступ к принтеру (VLAN_10), а в качестве назначения указал группу с IP-адресом моего компьютера для тестирования. Однако я всё равно не могу пропинговать с VLAN мой компьютер, хотя до добавления правил блокировки это работало. Кто-нибудь сталкивался с успешной реализацией такого варианта? Кто-нибудь смог добавить один IP-адрес в группу? Я не понимаю, как это должно работать, поэтому просто указал IP как обычно (192.168.10.100). Не уверен, нужна ли какая-то дополнительная информация. Спасибо!
 
 
 
Страницы: 1
Читают тему (гостей: 1)