NWA90AX的Layer-2 Isolation List與IPSEC的問題
我的NWA90AX設定Layer-2 Isolation List
有允許設備本地端防火牆及GS1900-24EP MAC讓此SSID 能上外部網路
但此SSID 能讀取到我IPSEC 另一端其他資訊的設備
我目前沒有和方式可以限制住此SSID 讀取到我IPSEC另一端的設備
不知道還有其他方式可以設定嗎?
All Replies
-
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
這我有想過 但Layer-2 Isolation List 的網段會與一般網段以樣
防火牆無法判定
0 -
你好,
另外一種方法是, Layer-2 Isolation List 的 IP 應該是一個集合
可以group起來, 再去防火牆設定這組 group 不可以與 IPSecVPN 通
這樣如何?
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
NWA90AX設定Layer-2 Isolation List
設定則是 允許WIFI能使用的設備
你所謂 group是VLAN嗎?
我之前嘗試過用VLAN 但防火牆是forti的
當時測試時 IP有派發 我不管怎設定 網路就是無法對外
才會想說 Layer-2 Isolation List 是否能封鎖 IPSEC的外部設備
0 -
應該是把 Layer-2 Isolation List 的 IP 建立
address group 的概念, Fortinet 應該也有
對我們 Zyxel 來說是利用 Object 的方式
例如, 我的 ISO List IP 是 192.168.1.10 ~ 192.168.1.15
我就建立一個 address group 名稱就叫做 ISO-GROUP
然後我去防火牆規則建立
form ISO-GROUP to IPSecVPN action BLOCK
這樣的規則
以上提供給你參考, 謝謝
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
抱歉我找不到你所謂的address groupg設定
可否跟我說一下哪邊設定嗎?
NWA90AX 這台AP 有兩個SSID 一個公司內部用 一個是給客戶用
客戶用的 想用成斷絕內部所有資訊設備 但能讓此上外網
DHCP由 防火牆派發
NWA90AX 的Layer-2 Isolation List 設定沒到看有關IP的設定是否指點一下
0 -
你好, @haoyu61234 ,
真不好意思, 我沒有說清楚
我的意思是說, 這個需要用防火牆來做, 不是在 AP 上設定
Zyxel 防火牆的 address group 的概念, Fortinet 應該也有的
以上說明.
總之, 這必須要使用防火牆來做才做的到, 謝謝
YM
看看您今年如何在 Zyxel Community 發揮影響力!
0 -
恩好的 那我再嘗試看看 感謝您協助~
0