Изолированные сети vlan

exte

Добрый день, подскажите какие прописать правила для то что бы получить изолированные сети Vlan.
Имеется Pfsence 2.4.5-RELEASE-p1

• настроена физическая сеть 192.168.100.1/24 где находится комп управления
• настроен Vlan1 10.0.1.1/24
• настроен Vlan2 10.0.2.1/24
  Задача настроить правила так что бы оборудование из Vlan1 не видело Vlan2, но что бы еще из физической сети можно было достучаться до оборудования из Vlan1 и Vlan2

Спасибо за помощь

werter

Добрый.
@exte
Свитч-то L2 используется? Trunk-порт на нем настроен?

exte

Да, свитчи стоят и настроены. Транковые и тегированные прописаны, устройства стоят и присваиваются верные ip. Теперь задача их изолировать друг от друга

pigbrother

@exte said in Изолированные сети vlan:

Теперь задача их изолировать друг от друга

По идее все делается правилами на соответствущих интерфейсах.
Vlan1 10.0.1.1/24 и Vlan2 10.0.2.1/24
По умолчанию не будут иметь доступ ни к LAN, ни друг к другу.

У вас это не так?

exte

@pigbrother
У меня сейчас стоит полностью разрешающие правила, так как устройства должны иметь выход в интернет
Правила на Vlan1 и Vlan2 одинаковые
вот такие
IPv4 * * * * * * none

Konstanti

@exte
Собственно , из-за этого все доступно для всех
На каждом интерфейсе создаем правила , как указано выше (очередность правил важна)
На интерфейсе Vlan1
1 запрещающее доступ из Vlan1 к Vlan2
2 разрешить все

На интерфейсе VLAN2
1 запрещающее доступ из Vlan2 к Vlan1
2 разрешить все

Физическому интерфейсу разрешить все

exte

@Konstanti
те делаем такие два правила?
Vlan1
IPv4 * VLAN1 net * VLAN2 net * * none
IPv4 * * * * * * none

Vlan2
IPv4 * VLAN2 net * VLAN1 net * * none
IPv4 * * * * * * none

LAN
IPv4 * * * * * * none

Но тогда вопрос следующий у нас будет расширение Vlan ов и как быть если vlan ов будет 5 и каждый должен быть изолирован друг от друга...

pigbrother

This post is deleted!

pigbrother

This post is deleted!

Konstanti

@exte
А это решается грамотным планированием адресацией сетей, и соответственно в правилах можно играться маской подсети, создавая универсальное правило
Например ,
Vlan1 192.168.10.0/24
Vlan2 192.168.20.0/24
Vlan3 192.168.30.0/24
Тогда правило запрещающее доступ к vlan-ам
будет выглядеть так
Source Lan Net
Destination 192.168.0.0/16

exte

@Konstanti
Спасибо за ответы, может попробовать вот так ?

Правило Vlan1
IPv4 * Vlan1 net * Vlan1 net * * none
IPv4 * Vlan1 net * ! 192.168.0.0/16 * * none
IPv4 * * * * * * none

Правило Vlan2
IPv4 * Vlan2 net * Vlan2 net * * none
IPv4 * Vlan2 net * ! 192.168.0.0/16 * * none
IPv4 * * * * * * none

Правило Vlan3
IPv4 * Vlan3 net * Vlan3 net * * none
IPv4 * Vlan3 net * ! 192.168.0.0/16 * * none
IPv4 * * * * * * none

Konstanti

@exte
Не совсем понимаю первое правило в каждом списке
хосты внутри сети не общаются через маршрутизатор

что такое "none" ??? - мб лучше скрин экрана ???

exte

@Konstanti
Вот такие правила

Konstanti

@exte
Первое правило - зачем оно ?
Второе правило - разрешен доступ ко всему , кроме 192.168.0.0/16

exte

@Konstanti
нижним правилом это понятно, я закрываю все...
средним правилом разрешаю ходить куда угодно, кроме 192.168.0.0/16 Те. пакеты не дойдут до локальной сети и другим сетям
верхним правилом я разрешаю обмен пакетами внутри сети между собой, так что бы они общались друг с другом.

Konstanti

@exte

Для общения внутри сети хостам не нужен маршрутизатор

exte

@Konstanti said in Изолированные сети vlan:

Для общения внутри сети хостам не нужен маршрутизатор

Есть такое дело )
но вы моем случае нужен)
у меня Pfsence раздает Ip, нарезает Vlan.
Осталось просто грамотно настроить правила, в чем у меня и был вопрос))

pigbrother

@Konstanti said in Изолированные сети vlan:

создавая универсальное правило

@exte said in Изолированные сети vlan:

Но тогда вопрос следующий у нас будет расширение Vlan ов и как быть если vlan ов будет 5 и каждый должен быть изолирован друг от друга...

А если включить все Vlan в алиас:
my_vlans 10.0.1.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.x.0/24

и использовать одинаковое запрещающее правило c указанием этого алиаса как destination?
Тогда новые vlan можно можно просто добавлять в алиас, не редактируя правила на каждой vlan.
То, что сеть конкретного vlan входит в этот алиас не помешает ее хостам общаться между собой.

Пришла в голову и идея вообще обойтись одним правилом:

IPv4 * Vlanx net * ! my_vlans * * none

Но, думаю, это не сработает.

И да, почему адресация 10.0.х.1/24?
Я в примерах использовал 10.0.х.0/24

exte

@pigbrother said in Изолированные сети vlan:

А если включить все Vlan в алиас:

Хорошая идея, но попробовать смогу только в конце недели(

IPv4 * Vlanx net * ! my_vlans * * none

Vlanx - я так понимаю х это номер Vlan ??

И да, почему адресация 10.0.х.1/24?

Мой касяк, признаю опечатку

pigbrother

@exte said in Изолированные сети vlan:

Vlanx - я так понимаю х это номер Vlan ??

да