Konfiguration Ubiquiti EdgeRouter X für 2 getrennte Subnetzwerke

m_k

Hallo zusammen

Ich möchte mit einem Ubiquiti EdgeRouter X, welcher an einer Internetbox angeschlossen ist, zwei getrennte Subnetzwerke machen. Leider scheitere ich bei der Konfiguration vom Ubiquiti EdgeRouter X. Kann mir jemand helfen, wie ich das machen muss? Hier eine Skizze von meinem Vorhaben:

PowerMac

Aus deiner Skizze werde ich nicht recht schlau. Wenn du mit dem Router in Gebäude 1 die Internetbox meinst: auf dieser kannst du keine VLANs konfigurieren, und es gibt dort auch keinen WAN-Port den du mit irgendetwas anderem als der Telefonzentrale verbinden könntest.

Abgesehen davon solltest zunächst einmal einen IP-Adressplan definieren. Also zum Beispiel:

Gebäude 1: 192.168.32.0/24
Gebäude 2, Abteilung 1: 192.168.40.0/24
Gebäude 2, Abteilung 2: 192.168.42.0/24

Das nur so als Vorschlag wie ich das machen würde, mit jeweils etwas Luft zwischen den Netzwerkbereichen für allfällige künftige Ausbauten. Du kannst natürlich auch beliebige andere Adressen aus dem RFC1918-Adressraum nehmen.

Danach zunächst die IP der Internetbox (192.168.32.1) konfigurieren.

Dann den Edgerouter entsprechend dem oben aufgestellten Netzwerkplan konfigurieren, also z.B. eth0=192.168.32.4/24, eth1=192.168.40.1/24, eth2=192.168.42.1/24. Allenfalls noch DHCP-Services für die Abteilungsnetze aufsetzen.

Dann kommen die statischen Routen auf der Internetbox für die Abteilungsnetze; du kannst entweder pro Abteilungsnetz einzeln eine Route setzen oder für einen ganzen Block an z.B. 8 Abteilungsnetzen. Also entweder (192.168.40.0/24 via 192.168.32.4 und 192.168.42.0/24 via 192.168.32.4) ODER (192.168.40.0/21 via 192.168.32.4).

NAT brauchst du in dieser Konfiguration innerhalb deines Netzwerks nicht, falls gewünscht kannst du den Traffic zwischen den Abteilungsnetzen mit Firewallrules einschränken. Mit Sonos kenne ich mich nicht aus, da weiss ich nicht einmal ob ein Zusammenschalten zweier Sonos über die L3-Grenzen hinweg überhaupt möglich ist. Oder soll genau das verhindert werden?

SamuelD

Hallo @m_k

Hast du die Nachricht von PowerMac gesehen?

Gruss Samuel

m_k

Hallo PowerMac

Danke für deine Antwort, ich habe nun in Ruhe Zeit gefunden dies auszuprobieren:

Ich habe die IP-Adressen nun wie folgt gesetzt und für Eth1 und Eth2 je einen DHCP-Server aufgesetzt:

Router: 192.168.1.1

Eth0: 192.168.1.100

Eth1: 192.168.10.1

Eth2: 192.168.20.1

Dies funktioniert soweit alles. Aber es besteht noch ein Problem: Damit Eth1 und Eth2 getrennt sind habe ich folgende Rulesets gesetzt:

Ruleconfiguration 1

Default Action: Drop

Interface: "eth1" Direction: "in" und "eth1" Direction: "out"

Ruleset: Drop /

Destination Adress 192.168.20.0/24

Ruleconfiguration 2

Default Action: Drop

Interface: "eth2" Direction: "in" und "eth2" Direction: "out"

Ruleset: Drop /

Destination Adress 192.168.10.0/24

-> Nun möchte ich aber, dass ein Computer welcher am Router 192.168.1.1 angeschlossen ist, auf Eth1 und Eth2 zugreifen kann. Wie muss ich da die Firewall Policies setzen?

PowerMac

Das kannst du mit einer Firewallrule, die Verkehr zwischen den Netzen 192.168.1.0/24 und 192.168.10.0/24 bzw. 192.168.20.0/24 zulässt, erreichen.

So wie ich dein bisheriges Firewall-Setup verstehe, müsste das aber bereits jetzt funktionieren. Hast du bei den Rulesets der Abteilungs-Interfaces jeweils eine Default-Accept-Policy drin? Denn sonst könntest du ja auch nicht aufs Internet zugreifen. Ansonsten mal das Logging aktivieren und schauen, an welcher Rule der Verkehr hängen bleibt.

Noch ein kleiner Kosmetikhinweis: meist filtert man bevorzugt eingehenden Netzwerkverkehr statt ausgehenden. Dh. ich würde jeweils nicht die "Destination address" sondern die "Source address" filtern. Spielt allerdings im vorliegenden Fall nicht wirklich eine Rolle.

m_k

Ok ich habe mal die Regeln wie folgt angepasst

Ruleconfiguration 1

Default Action: Accept

Interface: "eth1" Direction: "out"

Ruleset: Drop /

Source Adress 192.168.20.0/24

Ruleconfiguration 2

Default Action: Accept

Interface: "eth2" Direction: "out"

Ruleset: Drop /

Source Adress 192.168.10.0/24

Obwohl ich beide gleich gemacht habe, habe ich von 192.168.1.1 nur auf eth2 Zugriff. Soll ich noch eine übergeordnete Regel machen die den Verkehr von 192.168.1.1 zu eth1 und eth2 explizit erlaubt? Wie müsste die aussehen?

m_k

Hat niemand eine Lösung für dieses Problem?

PowerMac

Hmm ist halt etwas schwierig zu erahnen was da falsch sein könnte. Stell sonst mal deine Routerkonfiguration als Text hier rein, dann kann man evt. Fehler sehen.

Ansonsten hat EdgeOS ja eigentlich sehr gute Möglichkeiten an Bord, um gerade solche Firewallprobleme einzugrenzen und zu debuggen.

Tux0ne

Ist von 192.168.1/24 überhaupt eine Route in das gewünschte Netz gesetzt?

m_k

Tux0ne

Ja ich habe zwei static routes vom Swisscomrouter zu den beiden Subnetzwerken eingerichtet (Siehe auch Bild unten):

Target network 192.168.10.0 Subnet Mask 255.255.255.0Forward to device ubnt (192.168.1.100)

und

Target network 192.168.20.0 Subnet Mask 255.255.255.0Forward to device ubnt (192.168.1.100)

static route.JPG

m_k

Danke hier mal die Config vom Ubiquiti EdgeRouter X:

firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name eth1 {
default-action accept
description ""
enable-default-log
rule 20 {
action drop
description eth2
destination {
}
log enable
protocol all
source {
address 192.168.20.0/24
group {
}
}
}
}
name eth2 {
default-action accept
description ""
enable-default-log
rule 20 {
action drop
description eth1
destination {
}
log enable
protocol all
source {
address 192.168.10.0/24
group {
}
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.100/24
duplex auto
poe {
output off
}
speed auto
}
ethernet eth1 {
address 192.168.10.1/24
duplex auto
firewall {
out {
name eth1
}
}
poe {
output off
}
speed auto
}
ethernet eth2 {
address 192.168.20.1/24
duplex auto
firewall {
out {
name eth2
}
}
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
wan-interface eth0
}
protocols {
static {
route 0.0.0.0/0 {
next-hop 192.168.1.1 {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name eth1 {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 195.186.4.162
dns-server 195.186.1.162
lease 86400
start 192.168.10.1 {
stop 192.168.10.100
}
}
}
shared-network-name eth2 {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 195.186.4.162
dns-server 195.186.1.162
lease 86400
start 192.168.20.1 {
stop 192.168.20.100
}
}
}
static-arp disable
use-dnsmasq disable
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user xxx {
authentication {
encrypted-password xxx
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}

m_k

Noch wichtig: Vom Computer kann ich die Geräte in den beiden Subnetzwerken erfolgreich anpingen.

PowerMac

Wenn du aus dem 192.168.1.0/24er-Netz Geräte in beiden Abteilungsnetzen anpingen kannst, was hast du dann weiter oben damit gemeint, dass du "von 192.168.1.1 nur auf eth2 Zugriff" hast?

Meines Erachtens müsstest du bei den zwei Firewallrulesets jeweils noch die Richtung von "ethX/out" auf "ethX/in" umstellen, sonst bringen die Rules nichts.

m_k

Hallo PowerMac

Die Aussage (dass ich auf eth2 Zugriff habe) war nach dem Restart des Rooters nicht mehr korrekt. Im Moment kann ich beide Subnetzwerke von meinem Computer aus anpingen, aber im Sonos Controller vom Computer werden keine angezeigt. Ich habe das Problem sonst nochmals neu zusammengefasst und unten eine Zeichnung gemacht, evt. ist es so verständlicher wo ich genau das Problem habe:

Sonos 1 und Sonos 2 habe ich mit Subnetzwerken (192.168.10.1 und 192.168.20.1) und Firewallregeln voneinander getrennt, dass sie sich gegenseitig nicht mehr finden können und mit dem Controller (CR200) nur das Sonos Connect im entsprechende Subnetzwerk angesteuert werden kann (dies funktioniert nun auch wunderbar).

Nun möchte ich aber zusätzlich mit einem Computer (192.168.1.117) beide Sonos Controller vom Sonos Desktop ansteuern können.

PowerMac

So wie es aussieht ist die von dir gewünschte Funktionalität rein IP-mässig korrekt aufgesetzt. Mangels Besitz eines Sonos-Systems kann ich dir nur durch Googeln und Vermuten helfen.

Offenbar geht Sonos davon aus, dass sich alle anzusteuernden Geräte im selben IP-Netzwerk befinden. Falls man eine komplexere Netzwerksituation hat, muss man bestimmte Broadcast-/Multicast-Packets durchlassen bzw. relayen.

Eine Anleitung wie das geht habe ich im Sonos-Forum gefunden, die Details für deine Situation müsstest du aber selbst herauspröbeln.

Tux0ne

Also mit pfSense ist das Supereasy. Es gibt ein Zusatzpaket: Avahi. Das hilft da ungemein 🙂

PowerMac

@Tux0ne Soviel ich weiss läuft auch auf den EdgeOS-Büxen avahi im Hintergrund, nur wird dieses via das einheitliche EdgeOS-CLI mit anderen Befehlen konfiguriert.