[Solucionado] Casar una interfaz LAN con un pueto WAN (USG60W)

Buenas tardes colegas,

Como primer post aqui en Adlszone (Que desde hace tiempo sigo pero nunca visité el foro). les traigo una consulta, pero antes de eso, primero colocaré los datos de mi equipo:

1º) Modelo del router: USG60W
2º) Original
3º) El firmware: V4.35(AAKZ.0) / 2019-09-25 09:21:36
4º) ISP 1 TOTALCOM 10Mbps / ISP 2 CANTV 6Mbps.

Lo que se desea hacer es que los equipos que esten conectados en la interfaz P5 (Puerto 5 - Zona Quest) solo tengan acceso a internet del proveedor ISP conectado en el puerto WAN2. De esta manera, todos los equipos conectados en la Zona LAN1 (Puertos 3, 4 y 6), se conecten unicamente tambien a la WAN1.

Por que?. La WAN 1 son para los equipos de la empresa (Dominio Windows). Y queremos dejar la WAN2 para los telefonos celulares y visitantes.

No he encontrado la manera de que los equipos conectados en la interfaz P5 comuniquen solo con la WAN2.

Si alguin conoce la manera de realizar esto de verdad le estare eternamente agradecido por el tiempo y conocimiento compartido.

Gracias!!!
 
Eso lo podés armar con policies, todo sobre la misma LAN. La lógica dice que debería ser algo así:

1-Necesitas una ruta para el resto de los equipos, salvo el que querés separar, todo el tráfico INBOUND de la if de esa misma LAN (P3,P4,P6), el origen debería ser todos los equipos de la misma LAN1. El próximo salto debería ser la WAN1.
2- Deberías armar una ruta para la Guest WiFi, todo el tráfico INBOUND de la if del equipo (P5) que tengas conectado, deberías armarlo con el próximo hop en la WAN2.

Despues deberías armar otra rule (en caso de que no la tengas) para el Trunk, siendo la lógica WAN1 el tráfico fuerte, WAN2 el failover, así que el Trunk debería ser tu próximo hop en esta rule.

Todo depende de como tengas configuradas las LAN, pero debería ser algo parecido. Si separas por LAN1 y LAN2, a cada una deberías asignarle valores, habilitar el DHCP en cada una, y con un par de policies quedarían ambas redes separadas, lo que te obliga a crear rules en el FW para que se comuniquen ambas redes (siendo el caso de que querés establecer una guest wifi, debería ser lo que buscas, que ambas redes queden totalmente separadas).
 
Perfecto, creo que vi algo de lo que me comentas. Eso se hace desde Interface - Routing cierto?. VOy a intentarlo en el transcurso del dia y paso por aqui a comentarte el resultado.

Muchas gracias por tu tiempo y pronta respuesta.
 
Perfecto, creo que vi algo de lo que me comentas. Eso se hace desde Interface - Routing cierto?. VOy a intentarlo en el transcurso del dia y paso por aqui a comentarte el resultado.

Muchas gracias por tu tiempo y pronta respuesta.

Exacto! desde ahí:

1571749414690.png


Saqué una captura del 110, pero es bastante parecido al 60, es bastante straightforward según tengo entendido.
 

Hice lo que entendí segun tu post.

Creé una regla para cada LAN.

Algo que no dije al inicio es que tengo una seguna LAN que es de servidores, es decir, LAN1 y LAN2 queremos que conecte en la red de mejor ancho de banda (WAN1).

Y por ultimo, para la WAN2 configuré la LAN de Guest.

Entonces, todo quedó asi:

NOTA: La regla #2 es la de Guest, que debe ir por la WAN2. Las reglas #1 y #3 son para la red de dominio y servidores que deben ir por la WAN1 únicamente.

2019-10-22_16h20_37.png


De una me resultó bien, desde la red de Guest la conexion esta llegando desde la WAN2. Pero la verdad esto no lo he certificado por que arriba tengo otro Router que me hace Failover y otras cosas que tambíen podria dañarme las configuraciones.



Ahora bien, suponiendo que lo anterior está listo, solo que me falta es aislar la red Guest para que no tenga acceso a ninguna otra LAN, solo para Internet y así evitar riesgos en la seguridad, sin embargo, no me quedó claro como hacer eso.

Debo hacerlo mediante una politica de seguridad donde bloquee ACTION DENY todas las conexiones desde ORIGEN LAN-Quest a hacia DESTINO LAN1 y LAN2 cierto?.
 
Hice lo que entendí segun tu post.

Creé una regla para cada LAN.

Algo que no dije al inicio es que tengo una seguna LAN que es de servidores, es decir, LAN1 y LAN2 queremos que conecte en la red de mejor ancho de banda (WAN1).

Y por ultimo, para la WAN2 configuré la LAN de Guest.

Entonces, todo quedó asi:

NOTA: La regla #2 es la de Guest, que debe ir por la WAN2. Las reglas #1 y #3 son para la red de dominio y servidores que deben ir por la WAN1 únicamente.

Ver el adjunto 18508

De una me resultó bien, desde la red de Guest la conexion esta llegando desde la WAN2. Pero la verdad esto no lo he certificado por que arriba tengo otro Router que me hace Failover y otras cosas que tambíen podria dañarme las configuraciones.



Ahora bien, suponiendo que lo anterior está listo, solo que me falta es aislar la red Guest para que no tenga acceso a ninguna otra LAN, solo para Internet y así evitar riesgos en la seguridad, sin embargo, no me quedó claro como hacer eso.

Debo hacerlo mediante una politica de seguridad donde bloquee ACTION DENY todas las conexiones desde ORIGEN LAN-Quest a hacia DESTINO LAN1 y LAN2 cierto?.
Mira, la teoría dice que si no tenés armada la ruta estática en las subnets, no podrías saltar a otra LAN (sí lo hace en el mismo rango de IPs, siendo que si por capa física llega, no enruta). Hacé un ping desde la LAN de Guest (por ejemplo: 10.30.0.5) a algun equipo de la LAN1 (por ej: 10.10.0.3). Una traza te debería mostrarte los hops. De hecho, capaz que no tocando nada más, te funcionaría como querés (siempre el problema es conectar equipos en diferentes redes, es el gran quebradero de cabezas en redes, vos querés todo lo contrario).
Aún así, alguna regla deberías aplicar, you know, "best practices", capaz que podés armar algo por capa 2, siendo que los equipos dentro de una red se comunican a nivel MAC.
Vas a tener que jugar mucho con esto:

1572035084559.png


Deberías probar ahí y ver qué sale.

Abrazo
 
Buenos días Eduards,

Antes de arrancar con el punto de la Política para aislar las redes debo comentarte que el enrutamiento ha estado funcionando bien. Tengo mis redes LAN 1 y 2 trabajando por el puerto WAN1, y todo lo que está conectado por la GUEST está obteniendo internet desde el WAN2. Excelente!.

Ahora, con respecto al aislamiento de las redes, me creé tres políticas para la interfaz GUEST:

ZYXEL.png

La #3 bloquea el acceso a todas las redes para cualquier origen de la GUEST.

Luego, la #2, permite que la GUEST tenga acceso a Internet y le apliqué varias politicas de seguridad y calidad como Filtado de Contenido, AV, etc.

Por último, la #1 tiene una programación para que habilite el acceso a internet "casi libre" (Acceso a streaming y redes sociales) en horarios no laborales, como Hora de Almuerzo, Descanzo, fines de semana, etc.

Hice varias pruebas y funciona perfecto, desde la red GUEST no puedo acceder, ni siquiera hacer ping icmp a algún equipo dentro de las otras LAN, por lo tanto, creo que esto me asegura que si alguien conecta su Laptop personal o teléfonos a la GUEST, ningun programa malicioso pueda hacer de las suyas dentro de la red de trabajo "Dominio de Windows".

Eduars, muchas gracias por tu tiempo y por compartir tus conocimientos sobre el tema.

Saludos desde Venezuela.
 
Última edición:
Arriba