Výrobce síťových prvků Ubiquiti vyrábí svou řadu UniFi jako softwarově definovanou síť. Z jednoho bodu (Controlleru) ovládáte celou strukturu sítě. Níže je návod, jak postupovat při "základním nastavení", rozdělení do VLAN a následné oddělení provozu VLAN z důvodu logiky/bezpečnosti, případně další tipy. Návod berte jako orientační, vždy by jste ho měli přizpůsobit Vašim požadavkům. Některé nastavení je čistě z důvodu optické přehlednosti. Předpokládám, že konzoli a WAN již máte nastavenou a řešíme pouze LAN/VLAN/WIFI.
Výchozí VLAN1: LAN-default 192.168.0.0/24 (pouze pro síťovou infrastrukturu), DHCP 40-90, v této síti provozuji pouze samotné síťové prvky UniFi.
Další VLANy dle potřeby (firemní/domací,iot,kamery,hosté...)
Přiřazení VLAN jednotlivým portům na přepínačích nastavit dle logiky (každý stroj patřící k určité VLAN musí mít tagovaný port - dle logiky ostatní VLAN blokovat nebo ne - porty pro WIFi/přepínače atp. nechat vždy v základu)
U většiny pravidel používám "Firewall rules". "Traffic rules" jsou sice jednodušší, ale často nefungují jak předpokládáte.
Vytvořit profil Vsechny privatni rozsahy:
10.0.0.0/8 (255.0.0.0) - 24bitový blok 10.0.0.0 – 10.255.255.255
172.16.0.0/12 (255.240.0.0) - 20bitový blok 172.16.0.0 – 172.31.255.255
192.168.0.0/16 (255.255.0.0) - 16bitový blok 192.168.0.0 – 192.168.255.255
Vytvořit profil monitoring ping IP:
zadat všechny veřejné IP které budou mít povolený PING z Internetu
Pokud budete používat VPN, tak vytvořit profil VPN IP:
zadat rozsah IP VPN
Připravit pravidla pro povolení PING na WAN v typu Internet Local (ve výchozím stavu je PING zakázaný):
3 základní "Firewall rules" VLAN pravidla v typu LAN in
Povolit zavedené a související relace:
Zahození spojení s neplatným stavem (můžete případně logovat):
Připravit pravidlo povolení síti VLANx (ze které se bude administrovat) přístup ke všem sítím VLAN (ve výchozím stavu mám pravidlo pozastavené):
Zakázání VLAN2VLAN komunikaci:
Pro VPN je třeba si uvědomit, že VPN není z pohledu UniFi standardní VLAN a proto příchozí VPN na UniFi může komunikovat se všemi VLAN. Pravidla pro VPN2VLAN se zadávají do LAN out.
Zakázání přístupu ze všech VPN do VLAN:
Povolení určité VPN do určité VLAN:
Na závěr poznámky/tipy:
Po nastavení pravidel výše je i tak ze všech VLAN možno vidět a přistoupit na brány všech dalších VLAN, doporučuji tedy vyřešit i toto.
Při povolení výjimek komunikace mezi VLANy, nezapomenou pravidlo vytáhnout nad pravidlo zakazující komunikaci mezi VLANy.
Zařízení s fixní IP (pro NAS,tiskárny, atp) doporučuji řešit přímo přes rozhraní Controlleru. Nemusíte pak nastavovat ručně na zařízeních.