Omada SDN VLAN ACL Regeln

[lukass2000]

Hallo,

ich habe da eine Frage an die Experten bezuglich der Omada SDN ACL Firewall Regeln.
Hab mir VLANs erstellt, jeweils einen eigenen IP-Bereich zugewiesen und den Ports am Switch die VLANs entsprechend zugewiesen. Das funktioniert soweit alles wunderbar, je nach dem an welchem Port man ein Gerät ansteckt wird eine Entsprechende IP zugewiesen.
Sieht jetzt so aus:
VLAN100 - 192.168.100.XXX
VLAN150 - 192.168.150.XXX
VLAN200 - 192.168.200.XXX
usw....

Nun ist es ja aber so, das wenn ich z.B. meinen PC ins VLAN200 verbinde, dann bekomme ich automatisch per DHCP eine IP-Adresse aus dem 200er Bereich zugewiesne, was ja passt.
Ich kann nun aber im 200er Bereich manuell ganz einfach auch z.B. eine 192.168.100.002 (das ist meine NAS) aufrufen. Das soll so aber nicht sein, man soll im 200er Bereich keine IP-Adressen anderer Bereiche aufrufen sollen.

Das ist aber wohl so normal (scheinbar auch bei Unifi so) und man muss das per Firewall Regeln entsprechend konfigurieren.
Hab da nun schon etwas recherchiert zu dem Thema Omada SDN und ACL Regeln, da kommen aber unterschiedliche Lösungen raus, was mich etwas verwirrt.

Daher jetzt nach langer Vorgeschichte meine Frage zum Thema ACL Regeln:
Ich möchte Gerne das VLAN200 zu keinem anderen VLAN Zugriff hat.
Nun erstelle ich eine neue ACL Regel, markiere als SOURCE das LAN200,
Aber was nun bei DESTINATION?

Ich habe da Beiträge gesehen, da wird als Destination auch das LAN200 angehakt.
Hab aber auch Beiträge gesehen, da wird als DESTINATION alles außer eben LAN200 angehakt.
Um die Verwirrung perfekt zu machen, hab ich auch gesehen, wo nur bestimmte VLANs als Destination angehakt sind...

Frage nun an die Profis hier:
Was muss ich als DESTINATION anhaken, wenn LAN 200 zu keinem anderen VLAN zugriff haben soll?
Danke

 

[t-6]

Du hakst mindestens alle anderen VLANs außer 200 als Destination an.

Wenn du auch 200 anhakst, kann es sein dass die Omada-Hardware den Verkehr zwischen Geräten im VLAN 200 unterbindet. Wäre bspw. für ein Gastnetz nicht falsch.

 

[lukass2000]

@t-6
Hab ich mir fast gedacht, auch versucht und hat auch geklappt, wollte nur sicher gehen, das es nicht doch anders, oder doch ganz falsch ist

Wenn man eine neue Regel erstellt und oben BI-DIRECTIONAL anhakt, dann wird automatisch eine _reverse Regel erstellt (wie im Screenshot zu sehen).
Wird das benötigt?

 

[kamanu]

Das wird genau dann benötigt, wenn du das 200er VLAN völlig von allem abschotten willst. Dann geht weder was rein, noch was raus.
Für gewöhnlich würde man wenn z.B. im 200er VLAN ein Webserver steht der erreichbar sein soll alles dicht machen, darüber in der Hierarchie dann aber ein eine Allow-Regel für Port 443 reinpacken. Alles was nicht 443 ist, kommt dann nicht rein. Dank 443 kannst dann aber via https die Websites anschauen.

 

[lukass2000]

@kamanu
Wenn jetzt beide Regeln für VLAN200 vorhanden wären, würde dann noch jemand im VLAN200 eine normale Webseite aufrufen können, oder Mails empfangen können?

 

[kamanu]

@lukass2000 Nein, wenn du jedweden Traffic blockst kommt entsprechend nichts raus.
Kenne mich generell mit den TP-Link Produkten nicht aus.
Aber normalerweise richtet man es so ein, dass generell erstmal alles dicht ist. Dann gibt man nur die benötigten Dienste entsprechend frei.
Ergo http/https für Websites (Port 80 und 443) und pop3/imap, falls der Mailabruf kein Webmailer ist.

 

[lukass2000]

Hab das jetzt mal versucht und beide Regeln in einem Test-VLAN erstellt.
Es schaut so aus, als ob dann nicht mehr auf andere VLANs zugegriffen werden kann und trotzdem scheint Internet und Mails über das Test-VLan zu klappen