Toegang toestaan van vlan1 > vlan2, maar niet andersom

devastator
Premium Member
Premium Member
Berichten: 502
Lid geworden op: 01 Nov 2005
Locatie: /dev/tty1
Bedankt: 5 keer
Uitgedeelde bedankjes: 8 keer

Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor devastator » 20 Okt 2017, 07:54

Hoi,

Het scenario: Ik heb onlangs zonnepanelen laten installeren en de omvormers staan op een aparte vlan (zeg maar: "vlan_zon")
Is het mogelijk om via mijn "thuisnetwerk" toegang te krijgen tot vlan_zon voor de opbrengt op te vragen, zondat dat ik vlan_zon toegang geef tot mijn thuisnetwerk ?

Heb al wat gegoogled, en volgens mij ben ik op zoek naar "reflexive access-list". Is dit beschikbaar op routerboard? Heeft hier iemand ervaring mee ?

Groet,
Deva
Afbeelding

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27235
Lid geworden op: 28 Okt 2003
Bedankt: 1812 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 315 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor r2504 » 20 Okt 2017, 08:14

Nieuwe connecties gaan via SYN packets... het enige wat jij moet doen is deze dus droppen van je VLAN_ZON naar je VLAN_LAN.

Je zoekt het dus gewoon veel te ver.

Standaard kan je trouwens perfect inter-VLAN traffic doen... je moet dus eerder dingen blokkeren als je het NIET wil.

devastator
Premium Member
Premium Member
Berichten: 502
Lid geworden op: 01 Nov 2005
Locatie: /dev/tty1
Bedankt: 5 keer
Uitgedeelde bedankjes: 8 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor devastator » 20 Okt 2017, 09:27

Ok, thanks. Ga ik binnenkort maar eens proberen dan !
Afbeelding

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1150
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 64 keer
Uitgedeelde bedankjes: 48 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor Sinna » 20 Okt 2017, 11:31

Da's toch een kwestie van routing/firewalling waarbij VLAN_ZON niet weet waar VLAN_LAN zit, maar VLAN_LAN wél VLAN_ZON weet te vinden?
Computer(k)nul

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27235
Lid geworden op: 28 Okt 2003
Bedankt: 1812 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 315 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor r2504 » 20 Okt 2017, 11:38

Op Routerboard heb je standaard routing tussen alle subnets... ongeacht op welke VLAN deze zitten ("in" je router zijn er trouwens geen VLAN's meer).

Wil je dus iets NIET... dan moet je zoals ik al eerder aangaf dit expliciet verbieden (dmv een firewall rule).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5960
Lid geworden op: 28 Jan 2012
Bedankt: 448 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 82 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor ITnetadmin » 20 Okt 2017, 12:15

Tja, ik vind dat een rare default (veel switchen doen dat ook); dan kan je meestal even goed geen vlan steken.
Je echt absoluut enige voordeel is dan een kleiner collision domain, maar veel (kleine) netwerken hebben zelden last van hun collision domain in de eerste plaats.
Een goeie router/firewall blockt alles tenzij expliciet toegelaten.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27235
Lid geworden op: 28 Okt 2003
Bedankt: 1812 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 315 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor r2504 » 20 Okt 2017, 12:58

ITnetadmin schreef:dan kan je meestal even goed geen vlan steken


Bizarre uitspraak... (en niet de eerste vandaag) ?

VLAN's gebruik je om verkeer (van clients) te scheiden... ze hebben dus wel degelijk hun nut (en dat je uiteindelijk in je router moet bepalen welk inter-VLAN verkeer al of niet mogelijk is is gewoon de evidentie, ergens moet het verkeer namelijk samenkomen).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5960
Lid geworden op: 28 Jan 2012
Bedankt: 448 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 82 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor ITnetadmin » 21 Okt 2017, 00:45

Je scheidt het verkeer niet als de switch/router/... alle inter-vlan verkeer by default route naar mekaar.
Vandaar dat allow-all by default raar is.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27235
Lid geworden op: 28 Okt 2003
Bedankt: 1812 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 315 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor r2504 » 21 Okt 2017, 13:11

ITnetadmin schreef:Vandaar dat allow-all by default raar is.


Daarom moet je bij Mikrotik ook volgende rule aanmaken;

/ip firewall filter
add chain=forward action=drop

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5960
Lid geworden op: 28 Jan 2012
Bedankt: 448 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 82 keer

Re: Toegang toestaan van vlan1 > vlan2, maar niet andersom

Berichtdoor ITnetadmin » 23 Okt 2017, 15:47

Ik heb mikrotiks liggen, maar ik ben er eigenlijk nog niet toe gekomen om ze uit te testen, want ik was voor een opleiding met cisco ios bezig, en ik wou niet de dingen door mekaar beginnen slaan.

Er zijn echter van die "L3-light" switchen op de markt, waarbij die intervlan routing niet te configgen valt; dan is het nut ervan wel heel dunnetjes.
Op dit moment vind ik het in veel kleine netwerken nog het handigst om een pfsense router te gebruiken om de intervlan routing af te handelen; dat kan vrij goedkoop en afhankelijk van de traffiek kan de externe firewall dit mee afhandelen, of steek ik een aparte speciaal voor de vlan routing.

Mijn redenering daarvoor is dat de intervlan traffic meestal een kleine hoeveelheid van de totale traffic bedraagt, en dat het vaak niet nodig is om daar een supergrote L3 switch voor te steken (maar een kleine switch geeft dan vaak weer issues omdat de L2 capaciteit wél weer nodig is), dus een trunkje naar een omgebouwde pc of appliance, of een VM, die de routing afhandelt, is dan vaak nog de betere oplossing.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast