Regola firewall Vlan

[peg87]

Ciao a tutti, ho bisogno di un consiglio.
In casa sto sperimentando le vlan, tuttavia ho qualche problema.
Per provare ho creato una VLAN dove ho collegato un mio pc.
IL pc naviga e raggiunge alcuni servizi della mia rete sulla rete principale (vlan 1).
Però mi sono accorto che la posta non andava e che non riuscivo a collegarmi ad Home assistat o alla mangement di unifi.. tutti servizi che lavorano su porte dedicate.
Mi sono ricordato che sul firewall avevo creato una regola che bloccava tutte le porte se la sorgente non era un indirzzo della mia rete...ho convertito il /24 ad un /16 ed il problema era risolto. Però pensavo che le regole valessero solo verso l'esterno, non tra vlan.
Però così non mi piace, mi piacerebbe gestire VLAN per VLAN. Avete un consiglio per come creare una regola che non incappi in quella di blocco senza dover aprire la mia rete a 65k indirizzi?
Ho pensato anche una regola che faccia passare tutto il traffico che ha sorgente la VLAN, ma anche questo mi sembra troppo lasco.

Consigli?

 

[r3dl4nce]

Motivo per cui ti servono VLAN? Sai a cosa servono?

 

[peg87]

Certo che lo so, sulla mia rete domestica ho circa 70 dispositivi e volevo fare un po' di segmentazione e ordine. Inoltre lo sto facendo come esercizio formativo. Non capisco perché fai una domanda dal tono tendenzioso.

 

[PippoGold]

E’ impossibile rispondere a quello che scrivi perché non hai descritto nulla e non si capisce lo scenario (hw, sw, ecc) ...

 

[peg87]

il software che uso è Untanlgle
La rete base è 192.168.0.0/24
La Vlan 10 è 192.168.10.0/24
Il firewall è impostato in "deny all" con le dovute eccezioni
Una di quese eccezioni è che in uscita tutto il traffico della rete base è consentito, vorrei fare una o più regole che mi permettano la comunicazione tra VLAN...forse mentre scrivevo mi sono forse risposto, ma non disdegno un consgilio. Anche perhcè ora non sono a casa e non posso provare le regole che ho in mente.

 

[PippoGold]

Quindi? puoi filtrare il traffico in base all'interfaccia (VLAN), IP, mac address, protocollo, porta, ecc. in base alle caratteristiche di quel firewall

 

[r3dl4nce]

Certo che lo so, sulla mia rete domestica ho circa 70 dispositivi e volevo fare un po' di segmentazione e ordine. Inoltre lo sto facendo come esercizio formativo. Non capisco perché fai una domanda dal tono tendenzioso.

Non è che fai una VLAN "tanto per".
Una VLAN è una separazione logica di una rete da usarsi quando non è possibile separare la rete in modo fisico (ovvero switch e cablaggi separati)
Detto ciò, veniamo a noi.
A cosa ti serve questa VLAN? Vuoi dividere gli apparati legati alla domotica? Mi parli di Unifi. Quindi hai wifi centralizzata con Ubiquiti? Hai gestito dal controller più Wifi e taggate le VLAN? Esempio


Assegni poi una nuova wifi alla rete così creata, nel firewall crei la relativa VLAN che sarà vista, suppongo, come un'interfaccia (non conosco untangle, uso PFSense/OpnSense come appliance firewall) e a quel punto gestirai le regole di quell'interfaccia, gli assegnerai il source nat / masquerade se vuoi farla navigare, imposterai le regole se necessarie di contatto tra un rete e l'altra, ecc

 

[peg87]

Allora io ho un rete con apparati eterogeneri
Router Untangle (che ha solo 2 porte ETH)
Siwtch Managed Netgear
Switch Poe non gestito
AP ubiquiti Unifi.
Io per esempio non farei come hai indicato perchè la VLAN la creo a livello di Router, quindi in quel caso farei "VLAN only-network" che immagino si limiti a taggare i pacchetti con la vlan indicata, o sbaglio? Cioè non capisco nemmeno chi faccia da server dhcp nel tuo esempio.
Il mio enorme cruccio (cosa che devo andare a ripassare) è cosa succede se un pacchetto vlan passa in uno switch non gestito. In caso di "blocco" dovrei comprare un poe injector per i miei ap ed attaccarli direttamente al netgear.
Al momento il mio switch POe alimenta le telecamere e gli AP.
L'idea era di dividere la mia rete in 3:
Vlan Telecamere/sicurezza
Vlan domotica,
Vlan/rete PC

 

[PippoGold]

Allora io ho un rete con apparati eterogeneri
Router Untangle (che ha solo 2 porte ETH)
Siwtch Managed Netgear
Switch Poe non gestito
AP ubiquiti Unifi.
Io per esempio non farei come hai indicato perchè la VLAN la creo a livello di Router, quindi in quel caso farei "VLAN only-network" che immagino si limiti a taggare i pacchetti con la vlan indicata, o sbaglio? Cioè non capisco nemmeno chi faccia da server dhcp nel tuo esempio.
Il mio enorme cruccio (cosa che devo andare a ripassare) è cosa succede se un pacchetto vlan passa in uno switch non gestito. In caso di "blocco" dovrei comprare un poe injector per i miei ap ed attaccarli direttamente al netgear.
Al momento il mio switch POe alimenta le telecamere e gli AP.
L'idea era di dividere la mia rete in 3:
Vlan Telecamere/sicurezza
Vlan domotica,
Vlan/rete PC

Per ogni vlan ci vuole un interfaccia e per ogni interfaccia un dhcp.
Poi ogni router può usare termini diversi.
Una vlan che passa da uno switch non gestito passa e basta. Non essendo gestito il pacchetto non può essere manipolato. Il poe non c’entra nulla con le vlan.

 

[r3dl4nce]

L'idea era di dividere la mia rete in 3:
Vlan Telecamere/sicurezza
Vlan domotica,
Vlan/rete PC

Se hai Unifi controller e vai nella schermata che ti ho indicato, scorrendo puoi vedere che ci sono i parametri del dhcp server se vuoi che venga gestito da Unifi controller, altrimenti lo fai fare al firewall.
Gli switch unmanaged non modificano l'header del pacchetto IP relativamente alla VLAN quindi né le filtrano né le taggano, fanno passare tutte le VLAN
Le telecamere IP intanto se sono di qualità hanno possibilità di taggare VLAN quindi non ti servono porte access nello switch, se invece le telecamere non possono taggare le VLAN devi cambiare lo switch a cui sono connesse e mettere uno switch managed per impostare le porte in access a cui colleghi le telecamere e in trunk la porta connessa al firewall
Per gli apparati domotici se sono principalmente in wifi puoi creare su Unifi controller una wifi dedicata e taggarla con la VLAN dedicata, chiaro che Unifi controller dovrà essere su una porta trunk così da far passare sia la VLAN 1 che le altre VLAN su cui imposti le wifi dedicate

 

[peg87]

La mia idea iniziale era quella di fare access la porta che dal netgear arriva allo switch poe, però così facendo avrei avuto problemi con gli ap. Putroppo solo una parte delle telecamere penso possano gestire le vlan, alcune non hanno questa impostazioni.
Poi è molto più semplice spostare gli apparati non domotici dall'attuale rete che riconfigurarli tutti.
Avrei anche uno switch poe managed, ma non riusciva a gestire tutte le telecamere per via della potenza limitata, ma anche se lo volessi mettere su per collegare le telecamere che non gestiscono le vlan, non avrei posto nel rack quindi ho investo in uno switch poe managed (soldoni) oppure prendo in mini switch poe con poche porte e ci collego solo quelle telecamere, e questo switch lo collego in in una porta access del netgear.