USG изолирует трафик между VLAN'ами.

USG изолирует трафик между VLAN'ами., UniFi Network

SeattleDavid

Guest

27.08.2016 11:17:00

Мы используем VLAN для изоляции трафика. Например, гостевая VLAN не позволяет гостям получать доступ к корпоративным серверам и устройствам. У каждой VLAN отдельный сетевой IP-адрес и подсеть. Но USG разрушает эту безопасность, переключая трафик между VLAN без разбора. Таким образом, пользователи в гостевой VLAN могут попасть на корпоративные серверы и устройства, потому что, хотя VLAN и разделены, USG объединяет весь трафик из одной VLAN в другую. То есть он свободно переключает трафик между диапазонами IP-адресов и VLAN. Есть ли способ изолировать VLAN на USG? Мы не хотим, чтобы трафик, приходящий на одну VLAN, переключался USG в другую VLAN. Конечно, полагаться только на диапазоны IP-адресов и маски подсети не работает, потому что пользователь может просто вручную назначить себе IP-адрес из другой VLAN и получить к ней доступ, ведь USG, похоже, не блокирует трафик между VLAN.

Sbarnhart01

Guest

13.05.2019 00:54:00

Ваши VLAN работают через точку доступа или только проводное подключение? Когда вы настраиваете маршрутизацию VLAN, система спрашивает о «родной» LAN. Обычно это ваша управляющая сеть на USG 192.168.1.1, которая раздаёт DHCP. Значит, нужно настроить профили в контроллере так, чтобы родная LAN совпадала с USG, и при этом «пометить» VLAN.

VLAN 10 IOT на нативной 192.168.1.1
Правило файрвола: блокировать трафик с VLAN 10 в LAN 1 (чтобы VLAN 10 не общался с управляющей сетью)
Сеть: 192.168.10.1/24 VLAN 10
Профили корпоративной/гостевой сети:
IOT: нативная 192.168.1.1 (управляющая LAN 1)
Отметить VLAN 10

Правило файрвола: правило до стандартных
Имя: block 10 to 1
Источник: VLAN 10 (iot)
Назначение: LAN 1

В итоге — вы не должны иметь возможность пинговать 1.1 из VLAN 10.

mcunha

Guest

08.05.2019 19:23:00

Ребята, извините, что захватываю эту тему, но это как-то связано с проблемой изоляции VLAN/LAN. Я следовал инструкциям из ссылки выше, и всё хорошо работает для изоляции LAN и VLAN.

У меня есть такие LAN и VLAN:
192.168.1.0/24 (главная LAN)
10.0.1.0/24 (VLAN 1, IoT)
10.0.2.0/24 (VLAN 2, сотрудники)
10.0.3.0/24 (VLAN 3, клиенты/гости)

Я сделал «вариант 2» из ссылки, который предложил @RobbieH, чтобы изолировать мои 3 VLAN от LAN, создав группу с этими 4 диапазонами IP в секции «LAN IN» на фаерволе.

Проблема связана с моим DNS-сервером… Raspberry Pi с pi-hole, который находится в моей главной LAN (точно 192.168.1.2). Когда я заблокировал трафик между LAN и VLAN, заблокировал и DNS-сервер.

Чтобы решить это, я попробовал правило, разрешающее трафик на порт 53 конкретного IP (192.168.1.2). Создал правило со следующими настройками:
Включено: Да
Применяется: Перед предопределёнными правилами
Действие: принять
Протокол: TCP и UDP
Расширенно: не совпадать с IPsec-пакетами (ничего больше не выбрано)
Источник: та же группа IP, которая была заблокирована в другом правиле, любой порт
Назначение: пробовал указать IP Pi, также создавал группу портов только для порта 53 — ничего не сработало.

Пробовал ставить это правило в «LAN IN», «LAN OUT» и «LAN LOCAL», всегда перед остальными правилами — безрезультатно.

Что я делаю не так? Как открыть порт 53 для моего pi-hole и при этом сохранить изоляцию всех LAN и VLAN?

Большое спасибо заранее!

mcunha Guest	#4 14.03.2019 00:05:00 Спасибо! Я последую инструкциям по ссылке. Удачи!

RobbieH

Guest

13.03.2019 23:54:00

Это установлено по умолчанию. Нужно настроить правила брандмауэра на LAN IN, чтобы заблокировать связь между сетевыми группами. На самом деле это довольно просто. https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing

mcunha

Guest

13.03.2019 23:42:00

Извиняюсь, что влезаю в такую старую тему, но столкнулся с той же проблемой.
У меня на сайте следующие сети:
192.168.3.50/24 как слой 2 (основная сеть)
192.168.24.1/24 как VLAN 24 (только для сотрудников)

Любой может получить доступ к любой сети, потому что USG делает NAT между обеими сетями, как видно здесь:
@NASstation:/$ traceroute 192.168.24.100
traceroute to 192.168.24.100 (192.168.24.100), 30 hops max, 60 byte packets
1 192.168.3.50 (192.168.3.50) 0.372 ms 0.545 ms 0.784 ms
2 192.168.24.100 (192.168.24.100) 5.699 ms 8.295 ms 5.723 ms

Вот интерфейсы и NAT-правила в USG:
ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/D WAN
eth1 192.168.3.50/24 u/u LAN
2804:1b2:81:5fb5:feec:daff:xxx:xxxx/64
eth1.24 192.168.24.50/24 u/u
eth2 - u/u WAN2
lo 127.0.0.1/8 u/u
::1/128
pppoe1 177.17.240.xxx u/u
2804:1b2:202:4c4f:39c2:4xxx:xxx:xxx/64

@ubnt:~$ show nat rules

Type Codes: SRC - source, DST - destination, MASQ - masquerade
X at the front of rule implies rule is excluded

rule type intf translation
---- ---- ---- -----------
6001 MASQ eth0 saddr ANY to
proto-all sport ANY

6002 MASQ eth0 saddr ANY to
proto-all sport ANY

6003 MASQ eth0 saddr ANY to
proto-all sport ANY

6004 MASQ eth0 saddr ANY to
proto-all sport ANY

6005 MASQ pppoe1 saddr ANY to 177.17.240.xxx
proto-all sport ANY

6006 MASQ pppoe1 saddr ANY to 177.17.240.xxx
proto-all sport ANY

6007 MASQ pppoe1 saddr ANY to 177.17.240.xxx
proto-all sport ANY

6008 MASQ pppoe1 saddr ANY to 177.17.240.xxx
proto-all sport ANY

Как мне это остановить?

Заранее спасибо!

J-N-K Guest	#7 12.04.2017 13:00:00 Это решилось? Согласен, что просто блокировать по IP-адресу небезопасно. Другой вариант — сбрасывать весь трафик с исходными адресами, не принадлежащими VLAN, когда пакеты заходят на USG.

Читают тему (гостей: 1)