V-Lans zuhause einrichten.

Zitat aus einem Post von b_d

da wo ich nicht weiter weiß ist, wie ich die VLANs voneinander trenne. WORK soll zB nur ins internet können und sonst das restliche netzwerk nicht "sehen". wie mach ich das?

Vorweg: Ich habe die Inify Oberfläche meiner APs nur vor dem Flaschen auf openwrt zu Gesicht bekommen und kann daher zur Umsetzung der config nichts beitragen.

Allgemein gehalten wäre es hier am einfachsten mit (regierten) RFC1918 Ranges zu arbeiten, um Zugriffe ins Land zu unterbinden bzw. Internetfreischaltungen zu erlauben. Mit FQDNs wird's zwar granularer, aber auch deutlich aufwändiger, wenn du internetfreischaltungen restriktiv Gestalt magst (z.b ein Linux Server nur auf *.debian.org zugreifen können soll).

Auf die schnelle fallen mir folgende gängige Regeln ein:
Clients -> Internet any
Server -> Internet TCP/443, UDP/123
Guest -> Internet TCP/443, TCP/993, TCP/995
Clients -> spezifische Server IPs mit den jeweils relevanten Ports (TCP/443, TCP/445, TCP/22, TCP/3389, TCP/25 wären gängige Kandidaten)
spezifische IoT IPs -> Internet TCP/443, je nach device ggf. noch irgendwelche zusätzlichen high Ports, das müsste dann im Traffic Log analysiert werden wenn Verbindungen nicht möglich sind

Weiters werden sämtliche Devices UDP/53 zum DNS Server benötigen. Hier fehlt mir das Ubiqity spezifische Wissen, ob hierfür eine Freischaltung notwendig ist, wenn der auf der UDM selbst betrieben wird (auf der läuft dann die FW im Ubiqity Universum, oder?). Falls z.B. ein piHole im Serverlan hängt wird eben zu diesem UDP/53 (bzw TCP/853 oder TCP/443 je nach config) benötigt.

Abschließend dann für jedes Interface eine cleanup rule mit drop any, damit nur die explizit erlaubten Verbindungen möglich sind.