Port forward z jedné VLAN do druhé - VYŘEŠENO

[fikusir]

Ahoj,

rád bych Vás poprosil o radu.



Černý obdélník:
Notebook pro ozkoušení. Nastavený port má pro VLAN.8

AP Ubiquiti:
Režim brigde LAN0.8 do WAN0.8

C1 Ubiquiti:
Režim router, kde se snažím o port forwarding LAN0.1 do WAN0.8.
Port forwarduji 192.168.11.100:80 ven na WAN0.8 na port 8080, 192.168.11.100:554 ven na WAN0.8 na port 554

Na administrace AP i C1 se dostanu, jen nevidím na adrese 192.168.2.5:8080 administrační rozhraní kamery, ani port 554(rtsp). Je vůbec možné takto port forwardovat jednotlivé VLAN? Asi né, že? Napadá někoho jiný způsob? Chtěl bych to mí zabezpečené tak, že i kdyby se mi někdo napíchl kabelem místo CAM1, tak aby byl rovnou hozen do VLAN8, kde nic nehrozí.

Moc díky za případnou pomoc

[ludvik]

Porty se forwardují obráceně ... z venku dovnitř.

VLAN je síťové rozhraní. Co můžeš udělat s ním, uděláš i s VLAN. Ta kamera umí VLANy?

[fikusir]

Port forwarding z WAN do LAN? To jsem ještě neviděl. Vždy jsem používal port forward pro směrování z vnitřku ven, abych zajistil možnost přístupu z venku do vnitřní sítě skrze jednotlivé porty.

Kamera VLAN neumí, proto mám na zařízení C1 (router) LAN0.1 a WAN0.8. Očekával jsem, že router přidá značku.

[ludvik]

Ano, z WAN do LAN. Obráceně je to totiž default a obecně neomezovaný ... Ty totiž povolíš v podstatě přístup paketu z WAN a změníš mu cíl, přepíšeš hlavičku. O zpětnou trasu se už tak nějak postará conntrack tabulka sama.

Ty máš ovšem jiný problém. Ne úplně pochopený princip VLAN Pokud na router přidám VLAN, tak ano, odchozí pakety z tohoto rozhraní mají svůj tag, svoji značku. Jenže také v tom stavu dojdou do kamery ... a ta si s tím se vší pravděpodobností neporadí, neboť to nezná. A i kdyby to ignorovala, tak ti to zpět pošle bez tagu. A skončí to v routeru jinde.

Port forwarding z WAN do LAN? To jsem ještě neviděl. Vždy jsem používal port forward pro směrování z vnitřku ven, abych zajistil možnost přístupu z venku do vnitřní sítě skrze jednotlivé porty.

Kamera VLAN neumí, proto mám na zařízení C1 (router) LAN0.1 a WAN0.8. Očekával jsem, že router přidá značku.

[fikusir]

To s tím VLAN mi nedocvaklo. To asi tedy vyřeším tak, že vše až po notebook bude bez tagu a místo notebooku dam managed switch a řeknu mu, aby mi dál do sítě všude přidal hlavičku VLAN, tím bych mohl zajistit aby se mi přes wifi, která slouží čistě pro kamery nikdo nedostal do LAN sítě, že?

Portforwarding jsem bohužel ani takto nepochopil. Můžu požádat o radu, jak tedy port z lan dostat na wan?

[ludvik]

Aby se ti tam nic nedostalo po wifi - na to ti stačí šifrování. Už vidím, jak někdo louská WPA2-PSK klíč. Zvlášť když si vygeneruješ náhodnou změť 63 znaků.

Teoreticky bys mohl dát před kameru switch, který by ti ten provoz otagoval - ale stejně když někdo přijde a strčí si kabel místo kamery, tak tam je. Podle mě to nevyřešíš ... i kdybys udělal na tom switchi nějaké ověřování, případně port security - stejně ten, co kameru odpojí zjistí MAC a jsi tam, kde jsi byl. Ale jestli tě dobře chápu - tak tohle chceš. Oddělenou síť kamery. Ne switch místo noťasu.

Ale také by ti mohlo stačit to na C1 dostatečně odfirewallovat, bezpečnost bude stejná, jako s tou vlanou. Nevím ovšem, jaké jsou možnosti klikátka na UBNT, nepoužívám to.

Portforwarding sice asi nechápeš, ale máš ho podle mě správně. Určuješ jaký "public" se má směrovat kam na "private".

[fikusir]

Aby se ti tam nic nedostalo po wifi - na to ti stačí šifrování. Už vidím, jak někdo louská WPA2-PSK klíč. Zvlášť když si vygeneruješ náhodnou změť 63 znaků.

Teoreticky bys mohl dát před kameru switch, který by ti ten provoz otagoval - ale stejně když někdo přijde a strčí si kabel místo kamery, tak tam je. Podle mě to nevyřešíš ... i kdybys udělal na tom switchi nějaké ověřování, případně port security - stejně ten, co kameru odpojí zjistí MAC a jsi tam, kde jsi byl. Ale jestli tě dobře chápu - tak tohle chceš. Oddělenou síť kamery. Ne switch místo noťasu.

Ale také by ti mohlo stačit to na C1 dostatečně odfirewallovat, bezpečnost bude stejná, jako s tou vlanou. Nevím ovšem, jaké jsou možnosti klikátka na UBNT, nepoužívám to.

Portforwarding sice asi nechápeš, ale máš ho podle mě správně. Určuješ jaký "public" se má směrovat kam na "private".

No není to zrovna u mě doma, tak si na zabezpečení snažím dávat pozor. Místo ,,noťasu" mám switch, který mi to přetaguje a v jiném portu mám server pro kamery na stejném tagu. Funguje to a ponechám to tak.

Ten portforwarding budu muset vyřešit, asi nějaká systémová chyba, protože tohle jsem nastavoval už 1000x bez problému. Portforwanding chápu, jen jsem netušil, že je tam obrácená politika, nejsem zrovna síťař.

Díky za pomoc!

[fikusir]

Pro ty, co budou řešit podobný problém. Pro předávání portů mi pomohl Multicast routing z LAN do WAN.

Po vypnutí Multicast routingu to také chodí, což nechápu, více změn jsem nedělal. Každopádně se to tím rozhýbalo!

VYŘEŠENO

[fikusir]

Ano, z WAN do LAN. Obráceně je to totiž default a obecně neomezovaný ... Ty totiž povolíš v podstatě přístup paketu z WAN a změníš mu cíl, přepíšeš hlavičku. O zpětnou trasu se už tak nějak postará conntrack tabulka sama.

Ty máš ovšem jiný problém. Ne úplně pochopený princip VLAN Pokud na router přidám VLAN, tak ano, odchozí pakety z tohoto rozhraní mají svůj tag, svoji značku. Jenže také v tom stavu dojdou do kamery ... a ta si s tím se vší pravděpodobností neporadí, neboť to nezná. A i kdyby to ignorovala, tak ti to zpět pošle bez tagu. A skončí to v routeru jinde.

Port forwarding z WAN do LAN? To jsem ještě neviděl. Vždy jsem používal port forward pro směrování z vnitřku ven, abych zajistil možnost přístupu z venku do vnitřní sítě skrze jednotlivé porty.

Kamera VLAN neumí, proto mám na zařízení C1 (router) LAN0.1 a WAN0.8. Očekával jsem, že router přidá značku.

Tak VLAN v tomto zařízení jsem asi pochopil. Po ,,rozhejbání" mi zařízení C1 přídává či odebírá TAG dle toho kam komunikace směřuje. Nyní vše funguje dle mého původního plánu. Chyba byla v zařízení C1, nějak se kouslo.