Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 2967 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

GuestVLAN can acces LAN

tms5d
Hi

I'm running UTM 9.313-3 on custom hardware.

My LAN is in the 192.168.0.2/24 range. I've setup a GuestVLAN in the 10.5.5.1/24 range.

To my surprise, certain machines in the 192.168.0.2/24 range are visible from a device in the 10.5.5.1/24 range (which shouldn't be possible to start with, right?). So, I've defined a firewall-rule which basically says that it's forbidden for the GuestVLAN to access devices in the 192.168.0.2/24 range. Same results however, even with the explicit FW-rule.

What's going on here, am I missing something?

thanks!


This thread was automatically locked due to age.
Parents
  • 0
    What do you mean when you say "visible"?
  • 0 in reply to scorpionking
    What do you mean when you say "visible"?


    That means e.g. that I can reach my IP cam @192.168.0.y from an Android device with IP 10.5.5.b (not expected).

    Using a browser on that same Android device to access fileshares on my NAS (@192.168.0.x) is forbidden (which is expected behaviour). Traffic to the same NAS through the Synology DSPhoto app from the 10.5.5.2. device is allowed (which is not expected behaviour).

    So my situation is: some of my 192.168.0.x devices are visible from my GuestVLAN @10.5.5.b and some are not. Which puzzles me!
  • 0 in reply to tms5d
    So my situation is: some of my 192.168.0.x devices are visible from my GuestVLAN @10.5.5.b and some are not.

    I bet that's not true. All devices will be reachable via HTTP(S), none via SMB. [:D]

    You have web filtering turned on.
    This proxy has precedence over manually created firewall rules (see BAlfson's Rulz (#2).

    There are a lot of threads in this forum about that topic, so just search a bit...
  • 0 in reply to tms5d
    That means e.g. that I can reach my IP cam @192.168.0.y from an Android device with IP 10.5.5.b (not expected).

    Using a browser on that same Android device to access fileshares on my NAS (@192.168.0.x) is forbidden (which is expected behaviour). Traffic to the same NAS through the Synology DSPhoto app from the 10.5.5.2. device is allowed (which is not expected behaviour).

    So my situation is: some of my 192.168.0.x devices are visible from my GuestVLAN @10.5.5.b and some are not. Which puzzles me!


    Ok, this being said, how can I PREVENT this behaviour?
  • 0 in reply to scorpionking
    I bet that's not true. All devices will be reachable via HTTP(S), none via SMB. [:D]

    You have web filtering turned on.
    This proxy has precedence over manually created firewall rules (see BAlfson's Rulz (#2).

    There are a lot of threads in this forum about that topic, so just search a bit...


    Ok, thank you for explaining this. This being said, how can I PREVENT this behaviour?
  • 0 in reply to tms5d
    Ok, thank you for explaining this. This being said, how can I PREVENT this behaviour?

    Depends on how your proxy is configured (Standard / Transparent, SSL scaning, ...). Either exclude the internal network from proxy, then handle by firewall, or define appropriate entries in the guest proxy profile.
    For my ease I'll quote myself:
    There are a lot of threads in this forum about that topic, so just search a bit...
Reply
  • 0 in reply to tms5d
    Ok, thank you for explaining this. This being said, how can I PREVENT this behaviour?

    Depends on how your proxy is configured (Standard / Transparent, SSL scaning, ...). Either exclude the internal network from proxy, then handle by firewall, or define appropriate entries in the guest proxy profile.
    For my ease I'll quote myself:
    There are a lot of threads in this forum about that topic, so just search a bit...
Children
  • 0 in reply to scorpionking
    Depends on how your proxy is configured (Standard / Transparent, SSL scaning, ...). Either exclude the internal network from proxy, then handle by firewall, or define appropriate entries in the guest proxy profile.
    For my ease I'll quote myself:


    Ok I solved it like this:



    Don't know if this is elegant, but works flawlessly.