Ciao a tutti.

Ho un po' di dubbi su alcune cose e li espongo qui, sperando che qualcuno sappia aiutarmi.
Questo il mio setup:

  • macchina x86 con proxmox
  • openwrt che fa da router/firewall
  • scheda di rete Intel x550-t2

Ad una porta della x550 è collegato l'ONT (il famigerato ZTE F6005, ma non importa).
All'altra porta è collegato uno switch managed, quindi posso gestire le VLAN: a questo switch è collegata poi tutta la rete locale.

Ora, su Proxmox ho un paio di macchine con servizi che vorrei isolare dalla rete locale. Sono servizi ai quali accedo da remoto ma che vorrei evitare fossero in qualche modo una strada semplice per ottenere l'accesso alla mia rete locale, nel caso di qualche 'attacco'.

Per fare questo, ho creato due macchine virtuali e da Proxmox, assegnando una scheda di rete ciascuno, ho anche impostato due VLAN TAG diversi. Facciamo come esempio 10 e 20, ovviamente diversi per le due macchine.

La mia rete locale non è taggata per ora.

Su OpenWRT ho creato 3 devices (eth0, eth0.10, eth0.20 con i numeri di questo esempio). Poi per ognuno ho creato un'interfaccia (rispettivamente LAN0, LAN10, LAN20) e ho per ognuna una diversa subnet (192.168.x.0), anche se questo dettaglio non dovrebbe influire. Di per sé questo funziona nel senso che ogni dispositivo può collegarsi ad internet, i miei collegamenti da remoto funzionano, e ok.

Problema: i dispositivi si vedono a vicenda. Posso fare ciò che voglio tra un device all'altro, seppure dovrebbero essere su VLAN diverse. Posso bloccare la comunicazione usando le care e vecchie regole iptables, ma era ciò che volevo evitare usando le VLAN.

Perché succede questo?

La mia idea è che OpenWRT, configurato così di fatto riceva tutti i pacchetti di qualsiasi tag e li spedica a chi dovere con la giusta tag, ritaggandoli se necessario. Non sono sicuro ma da molte guide online vedo che viene di solito creato un bridge dove poter selezionare 'Bridge VLAN Filtering' e da lì gestire i pacchetti.
Ovviamente io non ho usato nessun bridge perché quando ho fatto tutto ciò non sapevo di questa cosa.

Può essere il problema? Nel caso dovrei assegnare alla mia interfaccia LAN questo bridge?

Grazie a chi si è letto tutto ciò!

    • [cancellato]

    • Messaggio #2

    robertogl Perché succede questo?

    Perché di default fa routing tra reti della stessa zona (LAN presumibilmente nel tuo caso). Puoi vederlo facendo un traceroute, vedrai che il tuo router openwrt compare negli hop.

    Se vuoi impedirlo devi ovviamente creare regole firewall opportune.

        [cancellato] Sì, il mio router compare con traceroute, ma le varie interfacce sono su zone diverse. Quando le ho create, nella voce 'Create / Assign firewall-zone' di OpenWRT, ho assegnato a ciascuna una zona diversa.

          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
          P.I. IT16712091004 - info@fibraclick.it

          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile