Toegang toestaan van vlan1 > vlan2, maar niet andersom

devastator · 20 okt 2017, 08:54

Hoi,

Het scenario: Ik heb onlangs zonnepanelen laten installeren en de omvormers staan op een aparte vlan (zeg maar: "vlan_zon")
Is het mogelijk om via mijn "thuisnetwerk" toegang te krijgen tot vlan_zon voor de opbrengt op te vragen, zondat dat ik vlan_zon toegang geef tot mijn thuisnetwerk ?

Heb al wat gegoogled, en volgens mij ben ik op zoek naar "reflexive access-list". Is dit beschikbaar op routerboard? Heeft hier iemand ervaring mee ?

Groet,
Deva

ubremoved_539 · 20 okt 2017, 09:14

Nieuwe connecties gaan via SYN packets... het enige wat jij moet doen is deze dus droppen van je VLAN_ZON naar je VLAN_LAN.

Je zoekt het dus gewoon veel te ver.

Standaard kan je trouwens perfect inter-VLAN traffic doen... je moet dus eerder dingen blokkeren als je het NIET wil.

devastator · 20 okt 2017, 10:27

Ok, thanks. Ga ik binnenkort maar eens proberen dan !

Sinna · 20 okt 2017, 12:31

Da's toch een kwestie van routing/firewalling waarbij VLAN_ZON niet weet waar VLAN_LAN zit, maar VLAN_LAN wél VLAN_ZON weet te vinden?

ubremoved_539 · 20 okt 2017, 12:38

Op Routerboard heb je standaard routing tussen alle subnets... ongeacht op welke VLAN deze zitten ("in" je router zijn er trouwens geen VLAN's meer).

Wil je dus iets NIET... dan moet je zoals ik al eerder aangaf dit expliciet verbieden (dmv een firewall rule).

20 okt 2017, 13:15

Tja, ik vind dat een rare default (veel switchen doen dat ook); dan kan je meestal even goed geen vlan steken.
Je echt absoluut enige voordeel is dan een kleiner collision domain, maar veel (kleine) netwerken hebben zelden last van hun collision domain in de eerste plaats.
Een goeie router/firewall blockt alles tenzij expliciet toegelaten.

ubremoved_539 · 20 okt 2017, 13:58

ITnetadmin schreef:dan kan je meestal even goed geen vlan steken

Bizarre uitspraak... (en niet de eerste vandaag) ?

VLAN's gebruik je om verkeer (van clients) te scheiden... ze hebben dus wel degelijk hun nut (en dat je uiteindelijk in je router moet bepalen welk inter-VLAN verkeer al of niet mogelijk is is gewoon de evidentie, ergens moet het verkeer namelijk samenkomen).

21 okt 2017, 01:45

Je scheidt het verkeer niet als de switch/router/... alle inter-vlan verkeer by default route naar mekaar.
Vandaar dat allow-all by default raar is.

ubremoved_539 · 21 okt 2017, 14:11

ITnetadmin schreef:Vandaar dat allow-all by default raar is.

Daarom moet je bij Mikrotik ook volgende rule aanmaken;

/ip firewall filter
add chain=forward action=drop

23 okt 2017, 16:47

Ik heb mikrotiks liggen, maar ik ben er eigenlijk nog niet toe gekomen om ze uit te testen, want ik was voor een opleiding met cisco ios bezig, en ik wou niet de dingen door mekaar beginnen slaan.

Er zijn echter van die "L3-light" switchen op de markt, waarbij die intervlan routing niet te configgen valt; dan is het nut ervan wel heel dunnetjes.
Op dit moment vind ik het in veel kleine netwerken nog het handigst om een pfsense router te gebruiken om de intervlan routing af te handelen; dat kan vrij goedkoop en afhankelijk van de traffiek kan de externe firewall dit mee afhandelen, of steek ik een aparte speciaal voor de vlan routing.

Mijn redenering daarvoor is dat de intervlan traffic meestal een kleine hoeveelheid van de totale traffic bedraagt, en dat het vaak niet nodig is om daar een supergrote L3 switch voor te steken (maar een kleine switch geeft dan vaak weer issues omdat de L2 capaciteit wél weer nodig is), dus een trunkje naar een omgebouwde pc of appliance, of een VM, die de routing afhandelt, is dan vaak nog de betere oplossing.