8
UniFi VLAN IP VM
Hallo zusammen und bitte um eure Hilfe!
Ich möchte mein vorhandenes Netzwerk etwas umbauen/erweitern. Das vorhandene Netzwerk ist bis dato recht simpel aufgebaut - funktioniert aber gut - vorhandene UniFi Komponenten sind: USG, UniFi PoE-Switch, APs. Zunächst habe ich ein neues VLAN angelegt. Danach ein neues Wifi generiert und dieses dem VLAN zugeordnet. Damit bekommen die Clients des VLANs einen anderen IP Adressbereich zugeordnet als das Default Netzwerk. Soweit so gut - alles funktioniert wie es soll.
Ich habe das neue VLAN jedoch in den Einstellungen nicht isoliert - da ich beispielsweise einen Drucker via AirPrint für Kinder/Gäste freigeben möchte. Dies funktioniert nicht wenn die Clientisolation aktiv ist - auch nicht wenn man in einem Hotspotportal die IP freigibt. Das Ganze war/ist aber kein Problem - denn es kann durchaus zwischen den beiden IP-Bereichen des VLANs und des Default Netzwerkes geroutet werden. Ich hab dann nämlich einfach die Ports am Switch jener Geräte welche nicht erreicht werden sollen (Serverhost, NAS, u.a.) den Traffic des VLANs unterbunden. Funktioniert auch soweit und alles schien gut.
Dann - auf dem Weg nach Hause - reflektierte ich das Ganze nochmal in Gedanken. Und dann kam mir folgende Frage in den Kopf: alles schön und gut derzeit - aber wie kann ich nun den Zugriff auf virtualisierte Maschinen verhindern? Diese verfügen ja nicht über einen separaten Port am UniFi-Switch!
Hat jemand einen Vorschlag wie ich den Zugriff aus dem VLAN auf die IPs der virtuellen Maschinen unterbinden kann?
Bitte um eure Vorschläge/Hilfe.
Danke.
MfG
M.A.
Ich möchte mein vorhandenes Netzwerk etwas umbauen/erweitern. Das vorhandene Netzwerk ist bis dato recht simpel aufgebaut - funktioniert aber gut - vorhandene UniFi Komponenten sind: USG, UniFi PoE-Switch, APs. Zunächst habe ich ein neues VLAN angelegt. Danach ein neues Wifi generiert und dieses dem VLAN zugeordnet. Damit bekommen die Clients des VLANs einen anderen IP Adressbereich zugeordnet als das Default Netzwerk. Soweit so gut - alles funktioniert wie es soll.
Ich habe das neue VLAN jedoch in den Einstellungen nicht isoliert - da ich beispielsweise einen Drucker via AirPrint für Kinder/Gäste freigeben möchte. Dies funktioniert nicht wenn die Clientisolation aktiv ist - auch nicht wenn man in einem Hotspotportal die IP freigibt. Das Ganze war/ist aber kein Problem - denn es kann durchaus zwischen den beiden IP-Bereichen des VLANs und des Default Netzwerkes geroutet werden. Ich hab dann nämlich einfach die Ports am Switch jener Geräte welche nicht erreicht werden sollen (Serverhost, NAS, u.a.) den Traffic des VLANs unterbunden. Funktioniert auch soweit und alles schien gut.
Dann - auf dem Weg nach Hause - reflektierte ich das Ganze nochmal in Gedanken. Und dann kam mir folgende Frage in den Kopf: alles schön und gut derzeit - aber wie kann ich nun den Zugriff auf virtualisierte Maschinen verhindern? Diese verfügen ja nicht über einen separaten Port am UniFi-Switch!
Hat jemand einen Vorschlag wie ich den Zugriff aus dem VLAN auf die IPs der virtuellen Maschinen unterbinden kann?
Bitte um eure Vorschläge/Hilfe.
Danke.
MfG
M.A.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81673191103
Url: https://administrator.de/contentid/81673191103
Ausgedruckt am: 24.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
IP Adresse als Basis der Firewall Regeln und nicht Ethernet Ports wählen?
Nicht vergessen, dass in der selben Kollisionsdomäne auch ohne IP kommuniziert werden kann.
Nicht vergessen, dass in der selben Kollisionsdomäne auch ohne IP kommuniziert werden kann.
1
Guten Abend 400GBit!
Danke für deine rasche Antwort! Ja - das klingt nachvollziehbar. Da muss ich mich mal reingoogeln in das Thema Firewallregeln bei UniFi!
Falls du eine gute (online) Quelle dbzgl. hast - oder sogar die Regel schematisch kurz beschreiben könntest, wäre ich dir natürlich (einmal mehr) sehr dankbar.
MfG
M.A.
Danke für deine rasche Antwort! Ja - das klingt nachvollziehbar. Da muss ich mich mal reingoogeln in das Thema Firewallregeln bei UniFi!
Falls du eine gute (online) Quelle dbzgl. hast - oder sogar die Regel schematisch kurz beschreiben könntest, wäre ich dir natürlich (einmal mehr) sehr dankbar.
MfG
M.A.
Ich würde Google bemühen und grundsätzlich das Thema lernen.
Und nicht zu viel erwarten. Speziell die USG ist ein kleiner Witz, den ubnt nie richtig gepflegt hat.
Und nicht zu viel erwarten. Speziell die USG ist ein kleiner Witz, den ubnt nie richtig gepflegt hat.
1
Danke - werde ich machen.
Unterscheiden sich tatsächlich das kleine (veraltete) USG und aktuelle Geräte (DreamMachine/Gateway und wie sie alle heißen) so stark voneinander? Ich dachte eigentlich, dass diese recht ident sind und sich "nur" bzgl. "Performance/Durchsatz" unterscheiden. Davon ging ich aus, da das Teil über einen Controller (wo immer der jetzt wiederum auch läuft CloudKey - ja auch schon wieder nicht up to date - oder lokal) verwaltet wird und somit....na ja ich mag mich täuschen.
MfG
M.A.
Unterscheiden sich tatsächlich das kleine (veraltete) USG und aktuelle Geräte (DreamMachine/Gateway und wie sie alle heißen) so stark voneinander? Ich dachte eigentlich, dass diese recht ident sind und sich "nur" bzgl. "Performance/Durchsatz" unterscheiden. Davon ging ich aus, da das Teil über einen Controller (wo immer der jetzt wiederum auch läuft CloudKey - ja auch schon wieder nicht up to date - oder lokal) verwaltet wird und somit....na ja ich mag mich täuschen.
MfG
M.A.
Ja, sehr sogar.
Die USG sind nicht so toll, waren es nie.
Ohne Ende Limitierungen und mieser Support.
Die USG sind nicht so toll, waren es nie.
Ohne Ende Limitierungen und mieser Support.
Okay - aber was mir bei der UniFi Sache an sich schon ganz gut gefällt ist, dass eben (sofern man die Komponenten dazu hat) sehr viel unter einer Oberfläche verwaltet werden kann.
Okay, dass hat man auch bei Forti usw. - aber halt dann auch zu einen knackigeren Preis.
Da hoffe ich doch sehr, dass ich mich wenn ich mich jetzt beim USG einarbeite, später - wenn ein Hardwaretausch ansteht - wieder zurechtfinden werde.
Okay, dass hat man auch bei Forti usw. - aber halt dann auch zu einen knackigeren Preis.
Da hoffe ich doch sehr, dass ich mich wenn ich mich jetzt beim USG einarbeite, später - wenn ein Hardwaretausch ansteht - wieder zurechtfinden werde.
Richtig erkannt.
Bedarf und Preis sollte in die Bewertung einfließen.
Für das Geld bekommt man bei ubnt viel.
Bedarf und Preis sollte in die Bewertung einfließen.
Für das Geld bekommt man bei ubnt viel.
Guten Abend nochmal!
Hab jetzt mal schnell gegoogelt und getestet - dürfte prinzipiell erfolgreich gewesen sein. - Ist keine Raketenwissenschaft. Danke jedenfalls noch einmal für deinen Tipp. Ich werde mich zwar noch etwas in das UniFi Setup best practice einlesen müssen - aber bin positiv gestimmt, dass die Sache machbar/umsetzbar ist.
Hab jetzt mal schnell gegoogelt und getestet - dürfte prinzipiell erfolgreich gewesen sein. - Ist keine Raketenwissenschaft. Danke jedenfalls noch einmal für deinen Tipp. Ich werde mich zwar noch etwas in das UniFi Setup best practice einlesen müssen - aber bin positiv gestimmt, dass die Sache machbar/umsetzbar ist.
