VLAN-Einrichtung möglich?

Question

Ich werde kurz auf die VLAN-Konfiguration eingehen. Ich verwende einen TP-Link Smart Switch als Referenz – die Easy Smart Switch-Reihe ist etwas anders, aber dies sollte mehr oder weniger auf die gleiche Weise machbar sein. SieheKapitel 6.3 und 6.4im Handbuch.

Sie möchten 802.1Q-VLANs konfigurieren, nicht die einfacheren „portbasierten“.
Geben Sie die VLAN-ID ein, die Sie konfigurieren möchten (z. B. 1).
Wähle ausgetaggte Ports. Das bedeutet, über welche Ports Frames dieses VLAN gesendet werden,mit dem VLAN-Tag. Verwenden Sie dies für Ports, die zu anderen VLAN-fähigen Geräten führen, wie Ihrem Router oder anderen verwalteten Switches.
Wähle ausungetaggte Ports. Frames, die zum VLAN gehören, werden auch an diese Ports gesendet, aber das VLAN-Tag wird beim Verlassen entfernt. Verwenden Sie dies für Ports, die zu Hosts führen (einschließlich Ihrer Computer, Server und Kameras).
Richten Sie Ihre PVIDs so ein, dass eingehende Frames auf nicht markierten Ports einen Standard-Tag erhalten.

In Ihrem Fall wäre VLAN 1 am Router-Port markiert und an allen Ports, mit denen Ihre Computer verbunden sind, ungetaggt (mit PVID 1 an denselben Ports). VLAN 2 wäre am Router-Port markiert und am Server-Port ungetaggt (mit PVID 2 an diesem Port). VLAN 3 wäre am Router-Port markiert und an den Kamera-Ports ungetaggt (mit PVID 3 an diesen Ports).

Sie müssen auch EdgeOS konfigurieren:

Fügen Sie die VLAN-Schnittstellen hinzu und geben Sie ihnen jeweils ihre eigene IP-Adresse und ihr eigenes Subnetz (der Einfachheit halber gehe ich davon aus 192.168.1.1/24. 192.168.2.1/24Dies bedeutet, dass der Router die Adresse im Subnetz seiner VLAN 3-Schnittstelle 192.168.3.1/24verwendet .)192.168.3.1192.168.3.0/24
Fügen Sie DHCP-Server hinzu, die jedes VLAN bedienen, und geben Sie ihnen ihr eigenes Subnetz.
Konfigurieren Sie die DHCP-Server, um das Gateway („Router“) auf das EdgeOS-Gerät einzustellen. Dies sollte mit den IP-Adressen übereinstimmen, die Sie in Nr. 1 angegeben haben.
Fügen Sie die VLANs als DNS-Abhörschnittstellen hinzu, wenn Sie möchten, dass sie Zugriff auf den Cache-DNS-Server des Routers haben.

Standardmäßig leitet EdgeOS Pakete zwischen allen seinen Schnittstellen weiter. Sie möchten dies in bestimmten Szenarien blockieren, was mit der EdgeOS-Firewall möglich ist.

Als erstes sollten Sie einen Regelsatz hinzufügen, der VLANs (2 und 3?) daran hindert, auf die Verwaltungsschnittstelle des Routers zuzugreifen. Er sollte ungefähr so aussehen:
1. Standardaktion: Ablegen
2. Bearbeiten Sie den Regelsatz und legen Sie fest, dass er auf Schnittstellen angewendet wird => fügen Sie Ihre VLAN-Schnittstellen in Richtung hinzu local. Stellen Sie sicher, dass das VLAN, von dem aus Sie den Router verwalten möchten, weiterhin Zugriff hat!
3. Fügen Sie eine Regel hinzu, um TCP und UDP auf Port 53 zu akzeptieren und DNS zuzulassen
4. Regel hinzufügen, um TCP und UDP in Establishedund RelatedZuständen zu akzeptieren (Registerkarte „Erweitert“)
Erstellen Sie einen neuen Regelsatz für Einweg 1 => 3, Standard Accept. Achten Sie darauf, ihn zu bearbeiten und nur auf die Schnittstellen VLAN 1 und 3 anzuwenden. Nun müssen Sie Ihre Regeln der Reihe nach hinzufügen. Ich würde Folgendes vorschlagen:
1. Fügen Sie eine Regel von Acceptbis Source 192.168.1.0/24hinzu Destination 192.168.3.0/24. Dies ermöglicht 1 => 3 biseinleitenVerbindungen.
2. Fügen Sie eine Regel Acceptvon Source 192.168.3.0/24bis Destination 192.168.1.0/24im Status Establishedoder Relatedhinzu. Dies ermöglicht 3 => 1 Antworten (Netzwerk ist bidirektional!) für TCP und UDP.
3. Fügen Sie eine Regel von Dropbis Source 192.168.3.0/24hinzu Destination 192.168.1.0/24. Dies ist die Fallback-Regel, die alles ablehnt, was durch Regel Nr. 2 nicht erlaubt ist. Das bedeutet, dass 3 => 1 keine neuen Verbindungen initiieren kann.
Möglicherweise möchten Sie auch Firewall-Regeln hinzufügen, die VLAN 3 den Internetzugriff verweigern.

Hier gibt es eine kleine Diskussion:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Wenn Sie nichts unternehmen, um es zu blockieren, sollten 1 <=> 2 und 2 <=> 3 von Anfang an funktionieren. Bedenken Sie, dass dies einem Angreifer die Möglichkeit eröffnet, Ihre Router-Firewall zu umgehen, indem er 3 => 2 => 1 verwendet, wenn etwas auf 2 anfällig ist.

Beachten Sie auch, dass dieses Beispiel-Setup standardmäßig eigentlich mit einer expliziten Blockierung von 3 => 1 erlaubt ist – aber 3 kann trotzdem auf alle zukünftigen VLANs zugreifen, die Sie einrichten. Eine sicherere (aber etwas komplexere) Konfiguration ist die standardmäßige Blockierung (Blockierung 192.168.0.0/16als letzte Regel in einem Regelsatz) und die explizite Zulassung von 1 <=> 2, 2 <=> 3 und 1 => 3. Sie folgt denselben allgemeinen Prinzipien; Sie müssen nur Regeln hinzufügen, die 2 explizit zulassen und den Rest blockieren.

Answer 1

Ich werde kurz auf die VLAN-Konfiguration eingehen. Ich verwende einen TP-Link Smart Switch als Referenz – die Easy Smart Switch-Reihe ist etwas anders, aber dies sollte mehr oder weniger auf die gleiche Weise machbar sein. SieheKapitel 6.3 und 6.4im Handbuch.

Sie möchten 802.1Q-VLANs konfigurieren, nicht die einfacheren „portbasierten“.
Geben Sie die VLAN-ID ein, die Sie konfigurieren möchten (z. B. 1).
Wähle ausgetaggte Ports. Das bedeutet, über welche Ports Frames dieses VLAN gesendet werden,mit dem VLAN-Tag. Verwenden Sie dies für Ports, die zu anderen VLAN-fähigen Geräten führen, wie Ihrem Router oder anderen verwalteten Switches.
Wähle ausungetaggte Ports. Frames, die zum VLAN gehören, werden auch an diese Ports gesendet, aber das VLAN-Tag wird beim Verlassen entfernt. Verwenden Sie dies für Ports, die zu Hosts führen (einschließlich Ihrer Computer, Server und Kameras).
Richten Sie Ihre PVIDs so ein, dass eingehende Frames auf nicht markierten Ports einen Standard-Tag erhalten.

In Ihrem Fall wäre VLAN 1 am Router-Port markiert und an allen Ports, mit denen Ihre Computer verbunden sind, ungetaggt (mit PVID 1 an denselben Ports). VLAN 2 wäre am Router-Port markiert und am Server-Port ungetaggt (mit PVID 2 an diesem Port). VLAN 3 wäre am Router-Port markiert und an den Kamera-Ports ungetaggt (mit PVID 3 an diesen Ports).

Sie müssen auch EdgeOS konfigurieren:

Fügen Sie die VLAN-Schnittstellen hinzu und geben Sie ihnen jeweils ihre eigene IP-Adresse und ihr eigenes Subnetz (der Einfachheit halber gehe ich davon aus 192.168.1.1/24. 192.168.2.1/24Dies bedeutet, dass der Router die Adresse im Subnetz seiner VLAN 3-Schnittstelle 192.168.3.1/24verwendet .)192.168.3.1192.168.3.0/24
Fügen Sie DHCP-Server hinzu, die jedes VLAN bedienen, und geben Sie ihnen ihr eigenes Subnetz.
Konfigurieren Sie die DHCP-Server, um das Gateway („Router“) auf das EdgeOS-Gerät einzustellen. Dies sollte mit den IP-Adressen übereinstimmen, die Sie in Nr. 1 angegeben haben.
Fügen Sie die VLANs als DNS-Abhörschnittstellen hinzu, wenn Sie möchten, dass sie Zugriff auf den Cache-DNS-Server des Routers haben.

Standardmäßig leitet EdgeOS Pakete zwischen allen seinen Schnittstellen weiter. Sie möchten dies in bestimmten Szenarien blockieren, was mit der EdgeOS-Firewall möglich ist.

Als erstes sollten Sie einen Regelsatz hinzufügen, der VLANs (2 und 3?) daran hindert, auf die Verwaltungsschnittstelle des Routers zuzugreifen. Er sollte ungefähr so aussehen:
1. Standardaktion: Ablegen
2. Bearbeiten Sie den Regelsatz und legen Sie fest, dass er auf Schnittstellen angewendet wird => fügen Sie Ihre VLAN-Schnittstellen in Richtung hinzu local. Stellen Sie sicher, dass das VLAN, von dem aus Sie den Router verwalten möchten, weiterhin Zugriff hat!
3. Fügen Sie eine Regel hinzu, um TCP und UDP auf Port 53 zu akzeptieren und DNS zuzulassen
4. Regel hinzufügen, um TCP und UDP in Establishedund RelatedZuständen zu akzeptieren (Registerkarte „Erweitert“)
Erstellen Sie einen neuen Regelsatz für Einweg 1 => 3, Standard Accept. Achten Sie darauf, ihn zu bearbeiten und nur auf die Schnittstellen VLAN 1 und 3 anzuwenden. Nun müssen Sie Ihre Regeln der Reihe nach hinzufügen. Ich würde Folgendes vorschlagen:
1. Fügen Sie eine Regel von Acceptbis Source 192.168.1.0/24hinzu Destination 192.168.3.0/24. Dies ermöglicht 1 => 3 biseinleitenVerbindungen.
2. Fügen Sie eine Regel Acceptvon Source 192.168.3.0/24bis Destination 192.168.1.0/24im Status Establishedoder Relatedhinzu. Dies ermöglicht 3 => 1 Antworten (Netzwerk ist bidirektional!) für TCP und UDP.
3. Fügen Sie eine Regel von Dropbis Source 192.168.3.0/24hinzu Destination 192.168.1.0/24. Dies ist die Fallback-Regel, die alles ablehnt, was durch Regel Nr. 2 nicht erlaubt ist. Das bedeutet, dass 3 => 1 keine neuen Verbindungen initiieren kann.
Möglicherweise möchten Sie auch Firewall-Regeln hinzufügen, die VLAN 3 den Internetzugriff verweigern.

Hier gibt es eine kleine Diskussion:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Wenn Sie nichts unternehmen, um es zu blockieren, sollten 1 <=> 2 und 2 <=> 3 von Anfang an funktionieren. Bedenken Sie, dass dies einem Angreifer die Möglichkeit eröffnet, Ihre Router-Firewall zu umgehen, indem er 3 => 2 => 1 verwendet, wenn etwas auf 2 anfällig ist.

Beachten Sie auch, dass dieses Beispiel-Setup standardmäßig eigentlich mit einer expliziten Blockierung von 3 => 1 erlaubt ist – aber 3 kann trotzdem auf alle zukünftigen VLANs zugreifen, die Sie einrichten. Eine sicherere (aber etwas komplexere) Konfiguration ist die standardmäßige Blockierung (Blockierung 192.168.0.0/16als letzte Regel in einem Regelsatz) und die explizite Zulassung von 1 <=> 2, 2 <=> 3 und 1 => 3. Sie folgt denselben allgemeinen Prinzipien; Sie müssen nur Regeln hinzufügen, die 2 explizit zulassen und den Rest blockieren.

VLAN-Einrichtung möglich?

Antwort1

verwandte Informationen