Возможна ли настройка VLAN?

1

Я хочу посмотреть, возможно ли следующее с помощью VLAN:

У меня есть следующее оборудование:

  • Ubiquiti EdgeRouter Lite
  • TP-LINK TL-SG1016PE Переключатель
  • Домашний сервер
  • 4 х IP-камеры

Можно ли настроить VLAN в следующей конфигурации только с одним коммутатором:

  • Имейте нормальную домашнюю сеть (то есть все домашние компьютеры, мобильные телефоны и т. Д.), Скажем, VLAN1.

  • Иметь домашний сервер в VLAN 2.

  • Имейте IP-камеры на VLAN 3.

Затем иметь возможность: VLAN 1 для связи с VLAN 2. VLAN 3 для связи с VLAN 2. Не разрешать подключение для VLAN 3 обратно к VLAN 1, но разрешать подключение от VLAN 1 к VLAN 3.

В основном, чтобы отделить камеры от обычной домашней сети, чтобы никто не мог подключиться к их портам Ethernet и получить доступ к сети, но в то же время иметь возможность доступа к домашнему серверу, который действует как NVR как камерами, так и домом сеть.

networking home-networking vlan Tenatious
источник
Не разрешать подключение для VLAN 3 обратно к VLAN 1, но разрешать подключение от VLAN 1 к VLAN 3 Требуется проверка сеанса (установлено или нет соединение от узла в VLAN1 к узлу в VLAN3). Это не может быть решено на L2. Поэтому VLAN не могут этого сделать.
Akina
Как насчет использования VLAN и брандмауэра edgerouter?
Tenatious
Брандмауэр может решить эту задачу. Он может иметь опцию фильтра, которая разрешает однонаправленное соединение и запрещает обратную. Может ли ваш брандмауэр сделать это? прочтите документацию ... Но в этом случае вам нужно передавать весь трафик с / на камеры через брандмауэр ... так что VLAN вообще не нужны.
Akina
(1) Добавление тегов VLAN не является функцией безопасности, любой, у кого есть ноутбук и порт, который видит помеченные пакеты, сможет получить к ним доступ. (2) Чтобы реализовать ограничения доступа между подсетями, вам нужен своего рода брандмауэр и оборудование, на котором он работает. Это может быть ваш домашний сервер, существующий маршрутизатор или дополнительное оборудование. (3) С предоставленным оборудованием и всем, что настроено на коммутаторе, это не будет работать.
dirkt
1
@dirkt Вопрос достаточно ясно изложен ... цель в том, чтобы порты камеры (которые могут быть снаружи здания!) не позволяли доступ к остальной части домашней сети. Пока эти порты без тегов не принадлежат другим VLAN, это будет работать. Как описано в вопросе, модель угрозы не включает в себя кого-то, получающего физический доступ к коммутатору.
Bob

Ответы:

3

Я кратко остановлюсь на конфигурации VLAN. Для справки я использую интеллектуальный коммутатор TP-Link - диапазон Easy Smart Switch немного отличается, но это должно быть более или менее выполнимо таким же образом. Ссылаться на Главы 6.3 и 6.4 в руководстве.

  1. Вы хотите настроить сети VLAN 802.1Q, а не более базовые «на основе портов».
  2. Введите идентификатор VLAN, который вы хотите настроить (например, 1)
  3. Выберите помеченные порты , Это означает, что порты, через которые будут отправляться кадры, принадлежащие этой VLAN, с тегом VLAN , Используйте это для портов, ведущих к другим VLAN-совместимым устройствам, таким как маршрутизатор или другие управляемые коммутаторы
  4. Выберите нетегированные порты , Кадры, принадлежащие VLAN, также будут отправлены на эти порты, но тег VLAN удаляется при выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
  5. Настройте свои PVID так, чтобы входящие кадры на непомеченных портах получали тег по умолчанию.

В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порте сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).

Вам также необходимо настроить EdgeOS:

  1. Добавьте интерфейсы VLAN, предоставив каждому из них собственный IP-адрес и подсеть (я предполагаю, 192.168.1.1/24, 192.168.2.1/24 а также 192.168.3.1/24 для простоты. Это означает, что маршрутизатор использует адрес 192.168.3.1 в 192.168.3.0/24 подсеть на его интерфейсе VLAN 3.)
  2. Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им собственную подсеть.
  3. Настройте DHCP-серверы для установки шлюза («маршрутизатора») на устройство EdgeOS. Это должно соответствовать IP-адресам, которые вы указали в # 1.
  4. Добавьте VLAN как интерфейсы прослушивания DNS, если вы хотите, чтобы они имели доступ к кеширующему DNS-серверу маршрутизатора.

Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.

  1. Первое, что вам нужно сделать, это добавить набор правил, блокирующий VLAN (2 и 3?) От доступа к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:

    1. Действие по умолчанию: Drop
    2. Отредактируйте набор правил и установите его для применения к интерфейсам = & gt; добавить свои интерфейсы VLAN в направлении local, Убедитесь, что VLAN, с которой вы хотите управлять маршрутизатором, все еще имеет доступ!
    3. Добавьте правило для принятия TCP и UDP на порт 53, чтобы разрешить DNS
    4. Добавить правило для принятия TCP и UDP в Established а также Related состояния (расширенная вкладка)

  2. Создать новый набор правил для одностороннего 1 = & gt; 3, по умолчанию Accept, Обязательно отредактируйте его и примените только к интерфейсам VLAN 1 и 3 Теперь вам нужно добавить свои правила в порядок. Я бы предложил:

    1. Добавить правило в Accept от Source 192.168.1.0/24 в Destination 192.168.3.0/24, Это позволяет 1 = & gt; 3 к инициировать соединения.
    2. Добавить правило в Accept от Source 192.168.3.0/24 в Destination 192.168.1.0/24 в состоянии Established или же Related, Это позволяет 3 = & gt; 1 ответ (сеть двунаправленная!) Для TCP и UDP.
    3. Добавить правило в Drop от Source 192.168.3.0/24 в Destination 192.168.1.0/24, Это запасной вариант, который отклоняет все, что не разрешено правилом № 2, что означает 3 = & gt; 1 не может инициировать новые соединения.
  3. Вы также можете добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.

Здесь есть небольшая дискуссия: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Если вы ничего не делаете, чтобы заблокировать это, 1 & lt; = & gt; 2 и 2 & lt; = & gt; 3 должно было сработать с самого начала. Помните, что это дает злоумышленнику возможность обойти брандмауэр вашего маршрутизатора, выполнив 3 = & gt; 2 = & gt; 1, если что-то уязвимо на 2.

Также имейте в виду, что этот пример настройки фактически разрешен по умолчанию с явным блоком из 3 = & gt; 1 - но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроили. Более безопасный (но немного более сложный) конфиг - блокировать по умолчанию (блокировать 192.168.0.0/16 как последнее правило в наборе правил) и явно разрешить 1 & lt; = & gt; 2, 2 & lt; = & gt; 3 и 1 = & gt; 3. Он следует тем же общим принципам; вам просто нужно добавить правила, явно разрешающие 2 и блокирующие остальные.

Bob
источник