Permalänk
Medlem

VLAN hjälp/tips sökes

Tjena!

Har precis börjat lära mig detta med VLAN, har satt upp VLAN10 och det fungerar ut genom en port på en smart switch. Har ingen access till VLAN1. Dock kommer ja fortfarande åt routern vilket inte är rätt. Har även några hemsidor på en server som är på VLAN1 och när ja försöker nå dom via domän (www.exampledomain.com) så får ja bara en varning i webbläsaren och blir kastad till routerns loginsida. Jag når hemsidorna utanför nätverket. Vad behöver jag göra för att det ska fungera?

VLAN10 ska alltså inte ha access till något alls på VLAN1, inte heller routern men det ska ju nå mina hemsidor via domän.

Såhär ser de ut:

Ruleset:
default action accept, Interface switch0.10, direction IN

Rules VLAN10:
1. 10.0.0.0/24 all drop
2. all accept

DHCP Server:
Sub 10.0.10.0/24
Range 10.0.10.2-10.0.10.250
Gateway 10.0.10.1
DNS 1.1.1.1,8.8.8.8

Hårdvara:
Edgerouter X (5-ports) eth0 Internet
Dlink DGS-1210 eth1, PC1 VLAN1, Server VLAN1, PC2 VLAN10
AP AC Lite POE eth4, iPhone VLAN1, iPhone2 VLAN10

Hemsidorna går igenom cloudflare, både proxy och DNS only, till Nginx proxy manager som pekar på ip:port i VLAN1 med SSL cert

Visa signatur

GAMING W11 R5 5600G 6x3.9GHz RTX 3060 16Gb@3600MHz NVMe 500Gb
LAGRING unRaid 29Tb Storage, 1Tbx2 Cache, 32GB@2133MHz, R7 1800x 8x3.6GHz
Misc Proxmox 2x250Gb Raidz-1 GTX 1070 16GB@2133MHz R7 1800x 8x3.6GHz

Permalänk
Medlem

Hitta detta och de kanske kan vara något? fast ja byter ut eth2.20 till switch0.10

In Firewall Policies, I have created a new ruleset called VLAN_LOCAL, with a default action 'drop' and applied to Interface 'eth2.20' and direction 'local'.

De borde spärra mot routern iaf, frågan är bara om ja kommer åt hemsidorna som fortfarande är på VLAN1. Återstår att se

Visa signatur

GAMING W11 R5 5600G 6x3.9GHz RTX 3060 16Gb@3600MHz NVMe 500Gb
LAGRING unRaid 29Tb Storage, 1Tbx2 Cache, 32GB@2133MHz, R7 1800x 8x3.6GHz
Misc Proxmox 2x250Gb Raidz-1 GTX 1070 16GB@2133MHz R7 1800x 8x3.6GHz

Permalänk
Medlem

På vlan10 local i routern så är det vad enheterna som kommer från vlan 10 ska kunna nå för tjänster i routern. Så där får du blockera https, http och ssh.

Sedan har du in och out. In är trafik som kommer in i routern på vlan10 och ska vidare. Så där vill du blockera vlan 1 och tillåta all övrig trafik. Sedan out är regler som gäller för paket som routern skickar ut på vlan10, det behöver du inte röra i det här fallet.

Hemsidan, om du inte kör split dns så är det nat-reflect eller hairpin nat du behöver sätta upp. Osäker på hur det fungerar om man har flera interface.

Permalänk
Medlem
Skrivet av jocke92:

På vlan10 local i routern så är det vad enheterna som kommer från vlan 10 ska kunna nå för tjänster i routern. Så där får du blockera https, http och ssh.

Sedan har du in och out. In är trafik som kommer in i routern på vlan10 och ska vidare. Så där vill du blockera vlan 1 och tillåta all övrig trafik. Sedan out är regler som gäller för paket som routern skickar ut på vlan10, det behöver du inte röra i det här fallet.

Hemsidan, om du inte kör split dns så är det nat-reflect eller hairpin nat du behöver sätta upp. Osäker på hur det fungerar om man har flera interface.

Tack för svar!
Jag har aktiverat hairpin nat redan och lagt till switch0.10 (VLAN10), tyvärr hjälpte inte detta.
Allt fungerar som det ska förutom en enda hemsida som är DNS only hos cloudflare, dom andra som är via deras proxy fungerar.
Försökt lägga till ip nummer till den sidan(undantag i FW) och nå den lokalt bara men de fungerar inte heller.

Så det enda VLAN10 har tillgång till är internet, allt annat är spärrat så de är precis som ja vill, förutom att nå en av mina egna hemsidor då

Visa signatur

GAMING W11 R5 5600G 6x3.9GHz RTX 3060 16Gb@3600MHz NVMe 500Gb
LAGRING unRaid 29Tb Storage, 1Tbx2 Cache, 32GB@2133MHz, R7 1800x 8x3.6GHz
Misc Proxmox 2x250Gb Raidz-1 GTX 1070 16GB@2133MHz R7 1800x 8x3.6GHz

Permalänk
Medlem
Skrivet av stayhard:

Tack för svar!
Jag har aktiverat hairpin nat redan och lagt till switch0.10 (VLAN10), tyvärr hjälpte inte detta.
Allt fungerar som det ska förutom en enda hemsida som är DNS only hos cloudflare, dom andra som är via deras proxy fungerar.
Försökt lägga till ip nummer till den sidan(undantag i FW) och nå den lokalt bara men de fungerar inte heller.

Så det enda VLAN10 har tillgång till är internet, allt annat är spärrat så de är precis som ja vill, förutom att nå en av mina egna hemsidor då

Jag tror du behöver göra en destination-nat regel. Där trafik mot din publika IP på http(s), in på vlan10 pekas mot serverns interna IP