Het opzetten van een VLAN voor een gastennetwerk in de Ubiquiti EdgeRouter Lite 3

Start
Portaal
Firewall en antivirus info
Het handmatig instellen van port-forwarding in de Ubiquiti EdgeRouter Lite 3

Een Virtual LAN voor bijvoorbeeld een Gastennetwerk.
Er van uitgaande dat eth0 de WAN-poort is en eth1 en eth2 LAN-poorten voor twee verschillende LAN's.
In dit voorbeeld zit het LAN 1 op poort eth1 met IP 192.168.3.0/24 en LAN 2 op poort eth2 met IP 192.168.5.0/24.
We gaan het VLAN koppelen aan eth1 en krijgt de naam eth1.2 met IP 192.168.4.0/24.

Login in de Ubiquiti EdgeRouter Lite 3.

Dashboard

In de tab “Dashboard” kies je “Add Interface” en “Add VLAN”:

Add_vlan

Vul de gegevens in volgens onderstaand plaatje, ip-adres naar keuze wel aangevuld met /24:

Create_new_vlan
Kies “Save”.

Kies de tab “Services” en kies dan eerste tab “DHCP server” en dan “Add DHCP server”.
Vul de gegevens in zoals onderstaand plaatje:

Create_DHCP_server
Kies “Save”.

Kies dan van de tab “Services” de tweede tab “DNS”.
Kies dan Add Listen Interface” En vul in zoals onderstaand plaatje:

DNS_Forwarding_add_listen
Kies "save."

Op dit punt moet je verbinding kunnen maken met je Gastennetwerk en verbinding maken met het internet.
Je hebt dan ook toegang tot de EdgeRouter en andere apparaten in je LAN.
De volgende stap is het isoleren van het VLAN.


We gaan nu van de netwerken die we willen afschermen een groep maken.
Kies dan van de tab “Firewall/NAT” de vierde tab “Firewall/NAT Groups”.
Kies “Add Group” en vul in volgens onderstaand plaatje.

Create networkgroup
Kies “Save”.

Open nu via de “Actions” knop de net aangemaakte “Network Group”
Vul de gegevens in van de netwerken die je wil afschermen, zie onderstaand plaatje.

Edit_networkgroup
Kies “Save”.

Om het VLAN te isoleren gaan we in de volgende stap een aantal firewall regels aanmaken.


Kies dan van de tab “Firewall/NAT” de tweede tab “Firewall Policies”. Kies “Add Ruleset”.
Creëer de “GUEST_IN” ruleset, vul in “Accept” zoals onderstaand plaatje:

Create_New_Firewall_ruleset_GUEST_IN
Kies "save."

Klik dan via “Actions” op “Edit Ruleset”.
Klik “Add New Rule” en noem hem “Accept Established/Related”.
Vul in op tabblad “Basic” volgens onderstaand plaatje:

Accept Established/Related
Kies "save."

Vul in op tabblad “Advanced” volgens onderstaand plaatje:

Accept_Established_Related_Advanced
Kies "save."

Je hebt dan 1 regel bij “Rules”.
Klik “Add New Rule” en noem hem “Drop Protected Networks”.
Vul in op tabblad “Basic” volgens onderstaand plaatje:

Drop Protected Networks_Basic
Kies "save."

Kies op tabblad “Destination” achter "Network Group" de eerder aangemaakte "Protected Networks" volgens onderstaand plaatje:

Drop Protected Networks_Destination
Kies "save."

Je hebt dan 2 regels bij “Rules”.

Firewall_Ruleset_Rules_GUEST_IN

Dit bij “Configuration”.

Firewall_Ruleset_Cofiguration_GUEST_IN

Vul in bij “Interfaces”.

Firewall_Ruleset_Interfaces_GUEST_IN
Kies “Save Ruleset”.


We gaan nu een tweede “Ruleset” aanmaken.
Ga weer terug naar “Firewall/NAT” de tweede tab “Firewall Policies”.
Kies nog een keer “Add Ruleset”.
Creëer de “GUEST_LOCAL” ruleset, vul in “Drop” zoals onderstaand plaatje:

Create_New_Firewall_ruleset_GUEST_LOCAL
Kies "save."

Klik dan via “Actions” op “Edit Ruleset”.
Klik “Add New Rule” en noem hem “ACCEPT_DNS”.
Vul in volgens onderstaand plaatje op tabblad “Basic”:

Guest_Local_Accept_DNS_Basic
Kies "Save"

Daarna op tabblad “ Destination”:

Guest_Local_Accept_DNS_Destination
Kies "Save"

Je hebt dan 1 regel bij “Rules”.
Klik dan via “Actions” op “Edit Ruleset”.
Klik “Add New Rule” en noem hem “ACCEPT_DHCP”.
Vul in volgens onderstaand plaatje op tabblad “Basic”:

Guest_Local_Accept_DHCP_Basic
Kies “Save”.

Daarna op tabblad “ Destination”:

Guest_Local_Accept_DHCP_Destination
Kies "Save"

De “Ruleset Configuration for GUEST_LOCAL”op een rij:
Op het tabblad “Rules” hebben we 2 regels, zie onderstaand plaatje.

Guest_local_Rules

Dit bij “Configuration”.

Guest_Local_Configuration

Dit bij “Destination”.

Guest_Local_Destination
Kies “Save Ruleset”.


De Firewall is nu goed geconfigureerd!
De gebruikers van het Gastennetwerk kunnen het gewone LAN niet zien en ook kunnen zij de inlogpagina van de EdgeRouter niet benaderen.

Deze handleiding kun je hierAcrobatlogo als hier pdf downloaden.