Deutschsprachiges Forum

Reply
Highlighted
Contributor I

Eine SSID und mehrere User und VLANs separieren

Hey Leute

 

Ich suche nach einer einfachen Lösung folgendes Problem:

Ich habe eine SSID und die Besucher melden sich über Username + Passwort an.

Anhand des Benutzername, wird dem User ein VLAN zugewiesen z.B. 192.168.2.X = VLAN2. Ein anderer Benutzer bekommt dann VLAN3 mit 192.168.3.X. Nun möchte ich es unterbinden, dass diese zwei miteinander kommunizieren können, aber z.B. mit dem öffentlichen VLAN 192.168.1.X. Jeder User bekommt dann auch anhand des Benutzername eine Bandbreitenbeschränkung. Ich möchte aber nicht jedem einzelnen alle verbindungen zu allen anderen VLAN verbieten, sonst bin ich ja ewig dran bei 30 User und 30 VLANs. Gibt es eine Möglichkeite mit einer Regel, alle Verbindungen in ein anderes VLAN zu unterbinden ausser auf die öffentliche? 

Konkret sind das 30 verschiedene Unternehmen in einem Coworking-Space. Diese dürfen nur dann untereinander kommunizieren, wenn diese das ausschlisslich wollen. Ansonsten dürfen diese nur auf den Drucker zugreifen im LAN. Die Benutzer dürfen aber in Ihrem eigneten VLAN kommunizieren sprich: 192.168.2.12 darf mit 192.168.2.15 und mit dem öffentlichen Drucker 192.168.1.80 aber nicht mit 192.168.3.17

 

Ich kann schon 30 Regeln pro VLAN erstellen, aber das ist ziemlich mühsam. Gibt es eine bessere Regel mit Deny all VLANs except VLAN?


Accepted Solutions
Highlighted
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hi, 

 

kannst du das nicht einfach über die ACLs mit IPs in den Rollen handhaben?

 

Also VLAN2 ACL:

192.168.1.0/24 allow  - public space

192.168.2.0/24 allow  - vlan 2 space

192.168.0.0/16 deny

 

VLAN 3 ACL:

192.168.1.0/24 allow  - public space

192.168.3.0/24 allow  - vlan 3 space

192.168.0.0/16 deny

 

 

View solution in original post

Highlighted
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Ah okay. 

 

Sorry das ist mein Fehler, ich habe irgendwie deine Frage nach dem Any Any allow nur halbgehangen gelesen ;)

 

Das Any Any allow muss ganzen unten verbleiben - weil das beinhaltet ja auch alle Internet Ziele, die du zulassen willst.

 

Ganz unten steht sozusagen ein implicit deny all. Das taucht da nicht auf, aber der AP wird allen Traffic verwerfen, den er nicht explizit einer Regel zuordnen kann.

 

Also brauchst du wie gehabt:

 

192.168.1.0/24 allow

192.168.X.0/24 allow

192.168.0.0/16 deny

any any allow.

 

VLAN 1 geht dann, VLAN X geht auch. Alle anderen VLANs fallen aber in das Deny. Alles was nicht 192.168.0.0 ist fällt aber ins allow ganz unten.

 

 

View solution in original post


All Replies
Highlighted
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hi, 

 

kannst du das nicht einfach über die ACLs mit IPs in den Rollen handhaben?

 

Also VLAN2 ACL:

192.168.1.0/24 allow  - public space

192.168.2.0/24 allow  - vlan 2 space

192.168.0.0/16 deny

 

VLAN 3 ACL:

192.168.1.0/24 allow  - public space

192.168.3.0/24 allow  - vlan 3 space

192.168.0.0/16 deny

 

 

View solution in original post

Contributor I

Re: Eine SSID und mehrere User und VLANs separieren

Danke für die schnelle Antwort.

 

Muss ich so nicht bei jedem 28 Denys rein machen und 2 allows?

Wo kann ich das im neuen Webinterface konfigurieren, finde die Einstellungen ACL nicht.

 

Highlighted
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Wenn die IP Ranges so sind, wie oben geschrieben, dann müsste das so gehen. 

Der Bereich 192.168.0.0/16 enthält dann ja alle VLANs und es gibt ein Allow nur explizit für die Ranges 192.168.1.0/24 und 192.168.X.0/24.

 

Ich weiß nicht, was für eine Installation das ist. Bei Instant gehts unter Security -  Roles.

Bei AOS 8.X ist es unter Configuration - Roles & Policies.

Highlighted
Contributor I

Re: Eine SSID und mehrere User und VLANs separieren

Hey Danke noch einmal.

Ist es das hier im Anhang?

 

Wie trage ich das ein? Kenn mich da nicht so aus.

Highlighted
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Genau, bei Netzwerk rechts in deinem Bild, dann die entsprechenden IP Ranges und Masken eintragen. Wichtig ist dann eben die Reihenfolge, so dass das Deny unten kommt.
Highlighted
Contributor I

Re: Eine SSID und mehrere User und VLANs separieren

Also so wie im Anhang und dann noch "allow all" entfernen oder? Das wäre jetzt VLAN2

 

Danke dir.

Highlighted
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Ja sieht gut aus.
Highlighted
Contributor I

Re: Eine SSID und mehrere User und VLANs separieren

Super, ich werde das gleich mal alles einrichten und testen. Hab die Lösung schon markiert.

 

Danke

Highlighted
Contributor I

Re: Eine SSID und mehrere User und VLANs separieren

Hab noch ein Problem.

Meine zwei AccessPoints haben die IP:

192.168.0.213
192.168.0.164

 

Wenn ich das wie oben erwähnt einstelle, gibts keine IPs und auch kein Internet. Ich hab versucht speziell noch die folgenden IPs frei zu geben inkl. 192.168.0.1 und dann erst "192.168.0.0 / 255.255.0.0 deny" doch das klappt dann trotzdem nicht. 

Wie müsste ich die Regeln einstellen, damit es mit dem Internet trotzdem noch klappt?

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: