Изолированные сети vlan



  • Добрый день, подскажите какие прописать правила для то что бы получить изолированные сети Vlan.
    Имеется Pfsence 2.4.5-RELEASE-p1

    • настроена физическая сеть 192.168.100.1/24 где находится комп управления
    • настроен Vlan1 10.0.1.1/24
    • настроен Vlan2 10.0.2.1/24
      Задача настроить правила так что бы оборудование из Vlan1 не видело Vlan2, но что бы еще из физической сети можно было достучаться до оборудования из Vlan1 и Vlan2

    Спасибо за помощь



  • Добрый.
    @exte
    Свитч-то L2 используется? Trunk-порт на нем настроен?



  • Да, свитчи стоят и настроены. Транковые и тегированные прописаны, устройства стоят и присваиваются верные ip. Теперь задача их изолировать друг от друга



  • @exte said in Изолированные сети vlan:

    Теперь задача их изолировать друг от друга

    По идее все делается правилами на соответствущих интерфейсах.
    Vlan1 10.0.1.1/24 и Vlan2 10.0.2.1/24
    По умолчанию не будут иметь доступ ни к LAN, ни друг к другу.

    У вас это не так?



  • @pigbrother
    У меня сейчас стоит полностью разрешающие правила, так как устройства должны иметь выход в интернет
    Правила на Vlan1 и Vlan2 одинаковые
    вот такие
    IPv4 * * * * * * none



  • @exte
    Собственно , из-за этого все доступно для всех
    На каждом интерфейсе создаем правила , как указано выше (очередность правил важна)
    На интерфейсе Vlan1
    1 запрещающее доступ из Vlan1 к Vlan2
    2 разрешить все

    На интерфейсе VLAN2
    1 запрещающее доступ из Vlan2 к Vlan1
    2 разрешить все

    Физическому интерфейсу разрешить все



  • @Konstanti
    те делаем такие два правила?
    Vlan1
    IPv4 * VLAN1 net * VLAN2 net * * none
    IPv4 * * * * * * none

    Vlan2
    IPv4 * VLAN2 net * VLAN1 net * * none
    IPv4 * * * * * * none

    LAN
    IPv4 * * * * * * none

    Но тогда вопрос следующий у нас будет расширение Vlan ов и как быть если vlan ов будет 5 и каждый должен быть изолирован друг от друга...



  • This post is deleted!


  • This post is deleted!


  • @exte
    А это решается грамотным планированием адресацией сетей, и соответственно в правилах можно играться маской подсети, создавая универсальное правило
    Например ,
    Vlan1 192.168.10.0/24
    Vlan2 192.168.20.0/24
    Vlan3 192.168.30.0/24
    Тогда правило запрещающее доступ к vlan-ам
    будет выглядеть так
    Source Lan Net
    Destination 192.168.0.0/16



  • @Konstanti
    Спасибо за ответы, может попробовать вот так ?

    Правило Vlan1
    IPv4 * Vlan1 net * Vlan1 net * * none
    IPv4 * Vlan1 net * ! 192.168.0.0/16 * * none
    IPv4 * * * * * * none

    Правило Vlan2
    IPv4 * Vlan2 net * Vlan2 net * * none
    IPv4 * Vlan2 net * ! 192.168.0.0/16 * * none
    IPv4 * * * * * * none

    Правило Vlan3
    IPv4 * Vlan3 net * Vlan3 net * * none
    IPv4 * Vlan3 net * ! 192.168.0.0/16 * * none
    IPv4 * * * * * * none



  • @exte
    Не совсем понимаю первое правило в каждом списке
    хосты внутри сети не общаются через маршрутизатор

    что такое "none" ??? - мб лучше скрин экрана ???



  • @Konstanti
    Вот такие правила
    Screenshot_1.png



  • @exte
    Первое правило - зачем оно ?
    Второе правило - разрешен доступ ко всему , кроме 192.168.0.0/16



  • @Konstanti
    нижним правилом это понятно, я закрываю все...
    средним правилом разрешаю ходить куда угодно, кроме 192.168.0.0/16 Те. пакеты не дойдут до локальной сети и другим сетям
    верхним правилом я разрешаю обмен пакетами внутри сети между собой, так что бы они общались друг с другом.



  • @exte

    Для общения внутри сети хостам не нужен маршрутизатор



  • @Konstanti said in Изолированные сети vlan:

    Для общения внутри сети хостам не нужен маршрутизатор

    Есть такое дело )
    но вы моем случае нужен)
    у меня Pfsence раздает Ip, нарезает Vlan.
    Осталось просто грамотно настроить правила, в чем у меня и был вопрос))



  • @Konstanti said in Изолированные сети vlan:

    создавая универсальное правило

    @exte said in Изолированные сети vlan:

    Но тогда вопрос следующий у нас будет расширение Vlan ов и как быть если vlan ов будет 5 и каждый должен быть изолирован друг от друга...

    А если включить все Vlan в алиас:
    my_vlans 10.0.1.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.x.0/24

    и использовать одинаковое запрещающее правило c указанием этого алиаса как destination?
    Тогда новые vlan можно можно просто добавлять в алиас, не редактируя правила на каждой vlan.
    То, что сеть конкретного vlan входит в этот алиас не помешает ее хостам общаться между собой.

    Пришла в голову и идея вообще обойтись одним правилом:

    IPv4 * Vlanx net * ! my_vlans * * none

    Но, думаю, это не сработает.

    И да, почему адресация 10.0.х.1/24?
    Я в примерах использовал 10.0.х.0/24



  • @pigbrother said in Изолированные сети vlan:

    А если включить все Vlan в алиас:

    Хорошая идея, но попробовать смогу только в конце недели(

    IPv4 * Vlanx net * ! my_vlans * * none

    Vlanx - я так понимаю х это номер Vlan ??

    И да, почему адресация 10.0.х.1/24?

    Мой касяк, признаю опечатку



  • @exte said in Изолированные сети vlan:

    Vlanx - я так понимаю х это номер Vlan ??

    да


Log in to reply