Vlans um einen Client im Lan auszuschließen?

tabstop

Enthusiast
Thread Starter
Mitglied seit
17.02.2009
Beiträge
487
Hallo,

ich betreibe in Zukunft an meinem Loxone Smarthome eine Intercom. Das ist sozusagen die Klingel von Loxone mit paar Features. Diese wird nicht über den Bus angeschlossen sondern ganz normal ins Lan eingebunden und POE versorgt. Das Problem das ich damit habe ist, ich möchte keinen ungesicherten Lan Zugang ausserhalb vom Haus hängen haben. Ich möchte dies umgehen und da kam mir in den Sinn sowas mit Vlan "abzusichern".

Ich hatte bisher noch keinen Kontakt mit Vlans. Meine Fragen daher vorab mal.

1.) Ist es möglich, dass die Intercom ausschließlich mit dem Miniserver kommuniziere kann, der Miniserver jedoch von den PCs erreichbar ist?
2.) Bekomm ich das mit meiner Unify Hardware hin?
3.) Falls nein, gibts Alternativen?


Hier mein aktuell recht einfach gestricktes Netzwerk:
1704491302533.png
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
1.) Ist es möglich, dass die Intercom ausschließlich mit dem Miniserver kommuniziere kann, der Miniserver jedoch von den PCs erreichbar ist?
Ja, indem Du wie Du schon angedacht hast das Intercom in ein eigenes VLAN packst.

2.) Bekomm ich das mit meiner Unify Hardware hin?
Ja, das sollte so funktionieren:
  1. Konfiguriere das Intercom mit einer IP-Adresse in einem Subnetz außerhalb deines normalen LAN-Subnetzes, z.B. 192.168.99.10 mit Standard-Gateway 192.168.99.1
  2. Erstelle ein VLAN (z.B. VLAN 99) auf dem Unify-Switch und dem USG (das VLAN muss nicht zwingend mit dem dritten Oktett des gewählten Subnetzes übereinstimmen, es vereinfacht aber den Überblick)
  3. Konfiguriere den Switchport, wo das Intercom angeschlossen ist, auf Untagged VLAN 99
  4. Konfiguriere den Switchport, wo das USG angeschlossen ist, auf Tagged VLAN 99
  5. Konfiguriere auf dem USG auf der Schnittstelle, die mit dem Switch verbunden ist, eine neue Schnittstelle mit VLAN 99 Tagged und vergebe für diese Schnittstelle die IP-Adresse, die Du als Standard-Gateway für das Intercom verwendet hast
  6. Erstelle auf dem USG eine Firewall-Regel, die die Kommunikation der IP-Adresse des Intercoms mit der IP-Adresse des Miniservers zulässt, am besten nur über den benötigten TCP- oder UDP-Port, nicht alle Ports
Das Intercom wird somit mit der selben IP-Adresse wie die PCs kommunizieren. Da das eine IP-Adresse außerhalb des eigenen Subnetzes ist, werden die Pakete an das Standard-Gateway geschickt, was das USG ist und wo es eine entsprechende Firewall-Regel gibt, die diese Kommunikation zulässt.
 
Die vernünftige Konfiguration siehe Post von @Eye-Q

Quick and dirty: im Unifi Switch Port das MAC Whitelisting verwenden, d.h. Kommunikation ist nur mit der MAC vom Intercom zulässig. Wenn ein anderes Gerät angeschlossen würde, müsste jemand die MAC vim Intercom kennen und emulieren. Ist zwar nicht 100% safe, aber wäre eine schnell umzusetzende Maßnahme bis Du das richtig umgesetzt hast.

 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh