V-Lans zuhause einrichten. - Seite 3

Seite 3 von 4 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/v-lans-zuhause-einrichten_263113/page_3 - zur Vollversion wechseln!

schizo schrieb am 18.04.2024 um 11:46

Zitat aus einem Post von b_d
da wo ich nicht weiter weiß ist, wie ich die VLANs voneinander trenne. WORK soll zB nur ins internet können und sonst das restliche netzwerk nicht "sehen". wie mach ich das?

Vorweg: Ich habe die Inify Oberfläche meiner APs nur vor dem Flaschen auf openwrt zu Gesicht bekommen und kann daher zur Umsetzung der config nichts beitragen.

Allgemein gehalten wäre es hier am einfachsten mit (regierten) RFC1918 Ranges zu arbeiten, um Zugriffe ins Land zu unterbinden bzw. Internetfreischaltungen zu erlauben. Mit FQDNs wird's zwar granularer, aber auch deutlich aufwändiger, wenn du internetfreischaltungen restriktiv Gestalt magst (z.b ein Linux Server nur auf *.debian.org zugreifen können soll).

Auf die schnelle fallen mir folgende gängige Regeln ein:
Clients -> Internet any
Server -> Internet TCP/443, UDP/123
Guest -> Internet TCP/443, TCP/993, TCP/995
Clients -> spezifische Server IPs mit den jeweils relevanten Ports (TCP/443, TCP/445, TCP/22, TCP/3389, TCP/25 wären gängige Kandidaten)
spezifische IoT IPs -> Internet TCP/443, je nach device ggf. noch irgendwelche zusätzlichen high Ports, das müsste dann im Traffic Log analysiert werden wenn Verbindungen nicht möglich sind

Weiters werden sämtliche Devices UDP/53 zum DNS Server benötigen. Hier fehlt mir das Ubiqity spezifische Wissen, ob hierfür eine Freischaltung notwendig ist, wenn der auf der UDM selbst betrieben wird (auf der läuft dann die FW im Ubiqity Universum, oder?). Falls z.B. ein piHole im Serverlan hängt wird eben zu diesem UDP/53 (bzw TCP/853 oder TCP/443 je nach config) benötigt.

Abschließend dann für jedes Interface eine cleanup rule mit drop any, damit nur die explizit erlaubten Verbindungen möglich sind.

KruzFX schrieb am 07.05.2024 um 09:02

Ich häng mich hier gleich an. Meine Frau braucht jetzt als Lehrerin einen Arbeitslaptop. Den würde ich dann ins Gäste-VLAN geben, das per OpenWRT Software Firewall vom Rest des Netzwerks getrennt ist. Da im schulischen Umfeld Viren usw. rumgeistern, die ich keinesfalls im Heimnetzwerk haben will, möchte ich den Laptop soweit vom Netzwerk trennen wie möglich. Reicht das beschriebene Setup mit VLAN oder muss ich da stärkere Geschütze aufziehen?

Grundsätzlich zum Netzwerk:

click to enlarge

VLANs hab ich für:
- Server + Konfig --> Vollzugriff aufs gesamte Netzwerk
- GästeVLAN --> nur Internet --> Arbeitsrechner
- Streaming --> nur Internet
- IOT --> Zugriff nur innerhalb vom Subnet

schizo schrieb am 07.05.2024 um 09:14

Ist das Gäste VLan ein reines WLan, oder sind dort auch verkabelte Geräte drin?
Falls ersteres: AP Isolation aktivieren, damit die Geräte nicht untereinander reden können und es passt.
Falls auch verkabelte Geräte vorhanden sind ist der Zugriff auf diese möglich und diese sollten in getrennten VLans (jeweils /30) angesiedelt werden um den Zugriff auf diese zu unterbinden.

KruzFX schrieb am 07.05.2024 um 09:36

Im GästeVLAN sind WLAN und verkabelte Geräte vorhanden. Ich könnte aber einfach auch 3 seperate VLANs aufspannen. Eins für meine Arbeitsgeräte, eins für die von meiner Frau und eins als alleiniges GästeVLAN für Gäste.

erlgrey schrieb am 07.05.2024 um 09:46

wieso nicht einfach ins guest vlan / wifi?

davebastard schrieb am 07.05.2024 um 10:32

denke auch der Fall dass der Laptop deiner Frau dann innerhalb vom Gäste VLAN noch andere Gäste Geräte infiziert ist für home use zu vernachlässigen. aber jeder wie er/sie meint

Longbow schrieb am 07.05.2024 um 10:34

Zitat aus einem Post von davebastard
denke auch der Fall dass der Laptop deiner Frau dann innerhalb vom Gäste VLAN noch andere Gäste Geräte infiziert ist für home use zu vernachlässigen. aber jeder wie er/sie meint
Das sollte gar nicht möglich sein, zumindest ist das bei mir Internet only. Die Clients sehen sich nicht untereinander.

davebastard schrieb am 07.05.2024 um 10:47

das kommt natürlich auf die Konfiguration drauf an... wenns im selben vlan und netz sind und von den regeln her z.B. ping erlaubt ist würden sie sich schon sehen

KruzFX schrieb am 07.05.2024 um 11:57

Zitat aus einem Post von davebastard
denke auch der Fall dass der Laptop deiner Frau dann innerhalb vom Gäste VLAN noch andere Gäste Geräte infiziert ist für home use zu vernachlässigen. aber jeder wie er/sie meint

Infiziert dann eh den Firmenlaptop..

Aber ich schau mir mal den Vorschlag von schizo, der klingt plausibel. Falls wer eine Firewall Rule in OpenWRT kennt, die verhindert, dass die Clients so untereinander sich sehen, kommunizieren usw. können, wärs natürlich noch einfacher und schneller aufzusetzen.

nexus_VI schrieb am 07.05.2024 um 12:26

"Client Isolation" ist das gesuchte Setting.

Viper780 schrieb am 08.05.2024 um 12:11

Zitat aus einem Post von b_d
ja danke viper, so ein bsp. aus einer echtumgebung würde helfen.

Sorry ich hab total drauf vergessen.
Heute Abend oder morgen am Feiertag kann ich dir das raus suchen :(

@KruzFX
Du musst bei der Firewall auch die Richtung noch berücksichtigen.
Bei mir darf zB IoT nirgends hin. Aber mein Client LAN darf drauf zugreifen.
Ist halt die Frage ob ihr ein NAS habt wo ihr gemeinsam hin müsst.

Stell mal eine Matrix auf mit den einzelnen Geräten (inkl Internet) und dann schau

Gefährlichste bei Viren ist nach wie vor der USB Stick oder die Speicherkarte von der Kamera wo man schnell mal eine powerpoint mit austauscht.

@nexus_VI
Client Isolation greift nur bei reinen WLAN Geräten
In dem Beispiel sind aber auch LAN Geräte im Gäste VLAN

nexus_VI schrieb am 08.05.2024 um 12:40

Hatte ich nicht gelesen. Dann machst eine Regel wo die nicht-öffentlichen Bereiche drinsind, 10.0.0.0/8 und co., und erlaubst Zugriff nicht in diese.

Edit: korrigiert

schizo schrieb am 08.05.2024 um 12:51

Die Kommunikation innerhalb des Subnetz es geht aber nicht über den Gateway, daher bringt hier eine Firewall Regel nichts.

davebastard schrieb am 08.05.2024 um 13:37

Zitat
Die Kommunikation innerhalb des Subnetz es geht aber nicht über den Gateway, daher bringt hier eine Firewall Regel nichts.
stimmt


Zitat
Infiziert dann eh den Firmenlaptop..

als ob das bei einem regelmäßig upgedateten Gerät so oft vorkommen würde. dann dürfte man ja hotel, flughafen oder restaurant WLAN und co. auch nicht verwenden da weißt nämlich auch nicht wies konfiguriert ist. Ich finds overkill dann für jeden Gast ein neues vlan oder netz anzulegen, das müsste man sonst nämlich machen (zumindest bei kabel)

edit: oder funzt das mit switch ACLs? tbh. damit hatte ich noch nix zu tun

schizo schrieb am 08.05.2024 um 13:46

Bei Enterprise Switches gibt's dafür Port Isolation, um die L2 Kommunikation der Clients untereinander zu unterbinden und sämtliche Pakete über den Gateway zu schleifen.

Im Prosumer Bereich müssten aber wie ursprünglich erwähnt eben /30er Subnetze konfiguriert werden.

Sehe das jetzt allerdings nicht als besonders großen Aufwand, so ein VLan ist ja schnell angelegt, insbesondere wenn gleich ein paar auf einmal konfiguriert werden.
Im Gegensatz dazu ist der Aufwand der Bereinigung bei einer 0day wesentlich größer.



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024