Výrobce síťových prvků Ubiquiti vyrábí svou řadu UniFi jako softwarově definovanou síť. Z jednoho bodu (Controlleru) ovládáte celou strukturu sítě. Níže je návod, jak postupovat při "základním nastavení", rozdělení do VLAN a následné oddělení provozu VLAN z důvodu logiky/bezpečnosti, případně další tipy. Návod berte jako orientační, vždy by jste ho měli přizpůsobit Vašim požadavkům. Některé nastavení je čistě z důvodu optické přehlednosti. Předpokládám, že konzoli a WAN již máte nastavenou a řešíme pouze LAN/VLAN/WIFI.

Výchozí VLAN1: LAN-default 192.168.0.0/24 (pouze pro síťovou infrastrukturu), DHCP 40-90, v této síti provozuji pouze samotné síťové prvky UniFi.

Další VLANy dle potřeby (firemní/domací,iot,kamery,hosté...)

Přiřazení VLAN jednotlivým portům na přepínačích nastavit dle logiky (každý stroj patřící k určité VLAN musí mít tagovaný port - dle logiky ostatní VLAN blokovat nebo ne - porty pro WIFi/přepínače atp. nechat vždy v základu) 

U většiny pravidel používám "Firewall rules". "Traffic rules" jsou sice jednodušší, ale často nefungují jak předpokládáte.

Vytvořit profil Vsechny privatni rozsahy:
10.0.0.0/8 (255.0.0.0) - 24bitový blok 10.0.0.0 – 10.255.255.255
172.16.0.0/12 (255.240.0.0) - 20bitový blok 172.16.0.0 – 172.31.255.255
192.168.0.0/16 (255.255.0.0) - 16bitový blok 192.168.0.0 – 192.168.255.255

Vytvořit profil monitoring ping IP:
zadat všechny veřejné IP které budou mít povolený PING z Internetu

Pokud budete používat VPN, tak vytvořit profil VPN IP:
zadat rozsah IP VPN

Připravit pravidla pro povolení PING na WAN v typu Internet Local (ve výchozím stavu je PING zakázaný):
10 WAN PING echo request

11 WAN PING echo reply

 

3 základní "Firewall rules" VLAN pravidla v typu LAN in

Povolit zavedené a související relace:
01 povolit zavedene a souvisejici relace


Zahození spojení s neplatným stavem (můžete případně logovat):
02 zahozeni spojeni s neplatnym stavem

Připravit pravidlo povolení síti VLANx (ze které se bude administrovat) přístup ke všem sítím VLAN (ve výchozím stavu mám pravidlo pozastavené):
03 povolit VLAN1 pristup do vsech VLAN 

 

Zakázání VLAN2VLAN komunikaci:
04 blokace VLAN2VLAN

Pro VPN je třeba si uvědomit, že VPN není z pohledu UniFi standardní VLAN a proto příchozí VPN na UniFi může komunikovat se všemi VLAN. Pravidla pro VPN2VLAN se zadávají do LAN out.

Zakázání přístupu ze všech VPN do VLAN:
05 blokace z VPN do VLAN

Povolení určité VPN do určité VLAN:
06 povoleni z VPN do VLAN

Na závěr poznámky/tipy:

Po nastavení pravidel výše je i tak ze všech VLAN možno vidět a přistoupit na brány všech dalších VLAN, doporučuji tedy vyřešit i toto.

Při povolení výjimek komunikace mezi VLANy, nezapomenou pravidlo vytáhnout nad pravidlo zakazující komunikaci mezi VLANy.

Zařízení s fixní IP (pro NAS,tiskárny, atp) doporučuji řešit přímo přes rozhraní Controlleru. Nemusíte pak nastavovat ručně na zařízeních.