Firewall pro BRIDGE jeden rozsah ruzna pravidla

[hocimin1]

REkneme ze mam rozjeteho CAPSMANA. Vsechny prvky jsou, ale jen AP zadnej z nich neni router. Jedno AP to vse ridi a skrz nej to tece jen jako BRIDGE.

Tak a ted mam jednu sit privatni a jednu hostovskou. Obe maji jina SSID a jina WPA2. Ale obe site rozdavaji ze stejneho rozsahu 10.10.10.x/24 (to ridi nejakej server v siti).

A otazka zni: jsem schopnej nejak na to hlavnim ridicim AP udelat, ze vsechno co je na privatni dostane se vsude. A co je na free, dostane se jen do internetu ? Respektive, ze rozsah 10.0.0.x/24 je krom brany pro nej tabu?

[mirek.k]

Myslím, že to není zrovna povedený návrh. Sítě by měly mít jiné rozsahy. Pak se snadno izolují ve firewallu.
Ale třeba někoho něco napadne.

[ludvik]

Správná otázka spíš zní: jak to ten bridge pozná, když je všechno stejné, kromě ssid a klíče, které se v paketech nepřenáší?
Pokud to i tak poznáš podle IP, máš možnost bridge firewallu. Ale konfigurovat a udržovat bych to asi nechtěl.

Nic nezkoumej a stav dvě sítě.

[hocimin1]

Tak ja jic nezkoumam, ja to nemel ani v zadani chteli apcka a nastavil jsme je. Ted chtej free a oddelit to. Ja jim rikal, ze to neni problem at mi nahodi vlanu a oddeli si to na routeru ve firewallu.

Ale oni rikali, ze prej unifi to umi. Udela free, a dostane ze stejneho rozsahu a dostane se jen do internetu. Ale me to je divny.

Tak se ptam zdali to jde tak vubec nastavit.

Podle me to nemuze jit, ze tohle musi ridit router a firewall

[Myghael]

UniFi jsme nasazovali, a řešilo se to pokaždé právě VLANami - ostatně kontroller sám ti při nastavení té či které sítě nabídne, k jaké VLAN to má patřit.

[ludvik]

Aby dostal ze stejného rozsahu, tak by musel končit ve stejném bridge. A konfigurovat to opět tam (což už asi půjde lépe, když je známo rozhraní). Oddělení wifi klientů mezi sebou dělá wifi sama. Jenže ty prostě rozhraní nevíš, ty máš v tomto pojetí jen jednu VLAN a v ní nějaké IP.
Jak to ovšem ve skutečnosti dělá třeba jejich security gateway netuším.

Pochybuji, že lze na mikrotiku s capsmanem udělat filtraci dle SSID. Resp. centrálně definované NĚCO, co bude filtrovat už na koncových AP. Až do takové úrovně jsem ho nezkoušel. Až skoro přemýšlím, proč odpovídám

[Myghael]

Wifina sama může tak maximálně blokovat provoz mezi MAC adresami na různých SSID - což je nejspíše to, na co tazatel narážel, nic moc jiného nepřipadá v úvahu. UniFi řešení je natáhnout VLANy, ta jejich USG (UniFi Security Gateway) s tím už pak umí pracovat, že jedna síť je LAN (k ní si přiřadí rozsah IP adres, DHCP, VLAN a příslušnou Wi-Fi síť) a druhá Guest, a že třeba z Guest nelze do LAN a podobně.

[hocimin1]

Presne jak pisete. Ja jsem mu vysvetloval. Ze preci nemuzu dostavat na free a privat stejne IP adresy a pak to nejak blokovat. Ze urcite to musi oddelit minimalne vlan a pak na nejakem hranicnim prvku to ve firewallu resit. A na to on rika, ze unifi to umi, ze se to v kontroleru nastavi a pak uz neni kontrolel potreba. Na toz jsem mu rekl, ze potreba neni to je jasne, ale ten firewall musi neco resit, ale urcite to nebude delat ta unifa.

Ja se mu snazim vysvetlit, ze proste potrebuju udelat VLAN a mit jine rozsahy pro free a pro private. On rika, ze ne. Tak jak z toho ven.

Tak abych nebyl za blba, ze neco neumim nebo nevim tak se radsi ptam. Samozrejmne me napada, ze pokud by to dokazalo na nejake bazi bezet komunikovat na Free poze s ARP branou a ostatni by to zahazovalo a privat byl jel s celou ARP tak si umim predstavit, ze by to slo. Ale to by neco muselo filtrovat. Pak je otazka, zdali to ma cenu. Protoze pokud je ta sit vic vetvena, tak sice na jednom lokalnim subnetu nebudu komunikovat se s stroji, ale jinde uz ano. Takze jsem zas na zacatku, ze by to mel zariznout router na separatni VLAN.

[hocimin1]

UniFi jsme nasazovali, a řešilo se to pokaždé právě VLANami - ostatně kontroller sám ti při nastavení té či které sítě nabídne, k jaké VLAN to má patřit.

ja jsem unifi taky nasazoval, sice jednou. Ale pokud si dobre pamatuji tak jsem to taky resil pres VLANy. A prijde mi to i logicke, od toho ty VLANY preci jsou

[ludvik]

Capsman to neumí rozdělit? Holt jiné rozsahy (co to komu u free vadí?), budou dva bridge. No a co?

[hocimin1]

Capsman to neumí rozdělit? Holt jiné rozsahy (co to komu u free vadí?), budou dva bridge. No a co?

presne tak to jsem mu rikal.

[Myghael]

Capsman to neumí rozdělit? Holt jiné rozsahy (co to komu u free vadí?), budou dva bridge. No a co?

capsman to samozřejmě umí také.

presne tak to jsem mu rikal.

Doporučil bych postup, vysvětlit mu to trpělivě třeba třikrát, zeptat se ho, na co k**va potřebuje mít stejný rozsah na obou sítích a nasměrovat ho k těm VLANám a odděleným rozsahům. Pokud si bude mlít pořád svoje, doporučuji kopnout do pr**le, ať si to teda udělá sám. V tom případě sice budeš asi mít o zákazníka míň, ale pokud to není nějaký VIP nebo důležitá reference, tak tě to ve výsledku bude trápit míň. Alespoň u nás si od lidí vyloženě sr*t na hlavu nenecháme a s úbytkem zákazníkům se nepotýkáme, ty potížisty po krátkém čase pouští i Starnet, Suntel a podobní "sběratelé všech".

[hocimin1]

To ani neni muj zakaznik. Popravde je to firma, ktera je odemne 40km a ja s tim nemam nic spolecneho. Chteli 3ap stejne ssid a stejne heslo a rychlou zmenu. Tak jsem jin rekl ze to neni problem a ted si vymysleli free wifi a jine heslo rekl jsem neji problem, dejte mi vlan a ja to nastavim. No a tady nastal ten kamen urazu. Chceme to ze stejneho rozsahu a oddelit, aby na free sel jen internet

[rsaf]

Na co je potřeba VLANy? CAPSMAN umí přece data tunelovat až na "managera" a tam se to dá dát do jiného brige a odfilrewallovat...

Mám to třeba doma takhle:
- CAPSMAN běží na hAP ac2
- k tomu mám dvě APčka - hAP mini a cAP ac
- na hAP ac2 mám br-LAN a br-PUB
- v capsmanu mám jeden provisioning ve kterém je "create dynamic enable" a prefix CAP a dvě konfigurace (každou pro jedno ssid)
- v konfiguracích mám v datapath vypnutý "local forwarding" a nastavený odpovídající bridge
- po připojení dalšího APčka mi na capsmanu přibydou od něj interface a nastrkají se do odpovídajícího bridge. Mezi capsmanem a dalšími APčky nemám žádné VLANy, jen je zajištěno aby se viděly na L3.

ve tvém případě můžeš dát "interní" wifiny do LAN bridge a pro ostatní vytvořit nějaký "public" bridge na který pak dáš i IP adresu a odNATuješ ho za jednu adresu z LAN (a nastavíš tam i potřebná FW pravidla...).
Sice to s tím tunelováním vypadá trochu jako prasečina, ale je to určitě jednodušší řešení, než se kvůli pár public AP zabývat v cizí neznámé síti VLANami. I mnohé enterprise wifi to takto dělají.

[hocimin1]

Jasny takhle me to napadlo. To neni problem proste dva bridge jden do lan pro private a druhej pro free s NAT. A kdyz to odnatuju za jednu local IP, tak ji dám do pravidel FW, ze tato IP muze komunikovat pouze s GW a nic vic, to asi splni pozadavek, bezpecnosti na tom danem localnim subnetu a predpokladam,ze maji pouze ten jedne subnet.

Ale ted jde o to jak moc bude trvat na tom, aby ta free mela stejne rozsah jako local.

Na co je potřeba VLANy? CAPSMAN umí přece data tunelovat až na "managera" a tam se to dá dát do jiného brige a odfilrewallovat...

Mám to třeba doma takhle:
- CAPSMAN běží na hAP ac2
- k tomu mám dvě APčka - hAP mini a cAP ac
- na hAP ac2 mám br-LAN a br-PUB
- v capsmanu mám jeden provisioning ve kterém je "create dynamic enable" a prefix CAP a dvě konfigurace (každou pro jedno ssid)
- v konfiguracích mám v datapath vypnutý "local forwarding" a nastavený odpovídající bridge
- po připojení dalšího APčka mi na capsmanu přibydou od něj interface a nastrkají se do odpovídajícího bridge. Mezi capsmanem a dalšími APčky nemám žádné VLANy, jen je zajištěno aby se viděly na L3.

ve tvém případě můžeš dát "interní" wifiny do LAN bridge a pro ostatní vytvořit nějaký "public" bridge na který pak dáš i IP adresu a odNATuješ ho za jednu adresu z LAN (a nastavíš tam i potřebná FW pravidla...).
Sice to s tím tunelováním vypadá trochu jako prasečina, ale je to určitě jednodušší řešení, než se kvůli pár public AP zabývat v cizí neznámé síti VLANami. I mnohé enterprise wifi to takto dělají.