Toets "Enter" om naar de inhoud te gaan

2e (gast)netwerk Vlan op Wlan

Binnen deze handleiding ga ik jullie laten zien hoe je 2 netwerken maakt op 1 accespoint middels vlan op de Edgerouter X.
Ik ga hierin ook een firewall configuratie aanmaken zodat het extra netwerk geen toegang krijgt tot het hoofdnetwerk en dat ze niet bij de router kunnen middels de beheer protocollen. verder configureren we DNS correct op de router zodat deze ook reageert op verzoeken van het vlan netwerk.

Zodra er met vlan gewerkt word moeten alle apparaten vlan ondersteunen. Plaats je een switch tussen de apparaten die GEEN vlan heeft, dan zal de Vlan configuratie komen te vervallen.

Ik ga er van uit dat de basis reeds gelegd is en dat je al een werkende router en accespoint hebt en dat alles vlan geschikt is. Binnen deze handleiding laat ik zien hoe het werkt met een Edgerouter met EdgeOS en een unifi accespoint.

Hoe sluit ik dit aan?


Uiteraard kan je ook een andere indeling gebruiken echter in dit voorbeeld is:

  • eth0 -> Internet
  • eth4 -> Ubiquiti UAP-AC-LR (Rechtstreeks gevoed vanuit router)

Vlan aanmaken op de Edgerouter


we beginnen met de configuartie van Vlan op onze edgerouter. Log in op je EdgeOS en onder dashboard zie je de interfaces:

Klik op Add Interface en kies voor vlan.

Geef zelf een vlan id op (tussen de 0 en 4094)
Kies de interface (Switch0 voor alle LAN poorten)
Geef een beschrijving
Vul eventueel een afwijkende MTU in
Geef zelf een ip adres op als router ip voor dit netwerk (ik kies eigenlijk altijd IP adres met .1 op het einde dus 172.16.36.1/24)
Deze gegevens zijn belangrijk voor de vervolg stappen (Met name IP adres en vlan id)

Let op! Je kan vlan niet toewijzen aan individuele poorten in een “Switch” groep. Wel aan de volledige switch of eth poorten die niet in de switch groep vallen. Ik zet het aan op mijn volledige switch.

Noteer nu goed vlan id en het opgegeven IP adres voor dit netwerk.

DHCP Server aanmaken voor aangemaakte Vlan


Klik nu in EdgeOS op het tabblad services en dan DHCP
Kies voor Add DHCP server

Geef je eigen DHCP server een naam
Geef het subnet op waarin hij moet werken (172.16.36.0/24 bij mij, dit is meestal het opgegeven IP adres maar dan .0 op het einde)
Geef het 1e ip adres op wat de DHCP server kan uitgeven: 172.16.36.2 (1 is de router!)
Geef het laatste ip adres op wat de DHCP server kan uitgeven: 172.16.36.254
Geef de router op (172.16.36.1)
Geef de primaire DNS op (Dit mag rechtstreeks naar buiten zijn voor een gastnetwerk, dus bijvoorbeeld 8.8.8.8 voor google, je piHole of het adres van de router voor snellere werking 172.16.36.1)
Geef de secundaire DNS op (meestal is deze niet noodzakelijk)

Firewall aanmaken


Stel het handelt hier om een gast netwerk dan wil je eigenlijk de toegang tot je eigen netwerk en de router blokkeren.

Je dient hiervoor 3 regels aan te maken (Firewall’s zijn op heel veel manieren op te bouwen, dit is slechts 1 manier)

Klik binnen EdgeOS op “Firewall/Nat” en kies voor “Firewall Policies”
Klik op Add Ruleset

Geef het een logische naam “Guest_Local” met als default action “Drop”
Maak daarna meteen nog een Ruleset: “Guest_In” default action “Drop”

Klik dan op Action achter de “Guest_Local” ruleset en kies voor “Edit Ruleset”
Add new rule:
Onder Basic: Description: Allow DNS, Action: Accept. Protocol: Both TCP and UDP
Onder Destination: Port: 53
Save Ruleset
Add new rule:
Onder Basic: Description: BlockRouterAcces, Action: Drop, Protocol: All
Onder Destination: Address: 172.16.36.1 (Ip adres Vlan)
Klik Save
Klik op Interfaces en kies je interface: Vlan (switch0.37) en de richting (local)
Klik save Ruleset

Klik nu op Action achter de “Guest_In” ruleset en kies voor “Edit Ruleset”
Add new rule:
Onder Basic: Description: BlockMainLan, Action: Drop, Protocol: All
Onder destination: address: 10.0.36.0/24 (Volledige subnet privé netwerk)
Klik Save
Klik op Interfaces en kies je interface: Vlan (switch0.37) en de richting (in)
Klik save Ruleset

Firewall Testen


Belangrijke zaken om te testen binnen je firewall zijn:
Werkt lokale DNS op mijn gast netwerk?

Maak verbinding met je gastnetwerk met een windows computer:

Typ nslookup www.google.nl 172.16.36.1
Als DNS niet werkt krijg je geen antwoord. Werkt hij wel dan krijg je dit te zien:

Address: 172.16.36.1

Non-authoritative answer:
Name: www.google.nl
Addresses: 2a00:1450:4013:c02::5e
 172.217.17.35

Werkt de firewall naar mijn hoofdnetwerk?

Voer een ping uit naar een apparaat in je andere netwerk

Ping 10.0.36.6

Als je geen antwoord krijgt van de Ping dan werkt ook de firewall regel naar het andere netwerk. Let wel op, je moet uiteraard wel een apparaat pingen wat aan staat en is aangemeld in je netwerk. Kies bijvoorbeeld een printer of accespoint.

Wifi configureren


Ubiquiti Unifi:

Log in op de Unifi software

Ga naar de instellingen van de “site” die je wilt gebruiken

Kies wireless networks, kies of maak een wireless netwerk en ga dan naar “Advanced options”

Vul bij Vlan ID het nummer in dat je hierboven hebt opgegeven

Engenius:

Volgt…