NWA90AX的Layer-2 Isolation List與IPSEC的問題

haoyu61234
haoyu61234 文章數: 6  Freshman Member
First Comment
已編輯 11月 26 日 無線網路產品

我的NWA90AX設定Layer-2 Isolation List

有允許設備本地端防火牆及GS1900-24EP MAC讓此SSID 能上外部網路

但此SSID 能讀取到我IPSEC 另一端其他資訊的設備

我目前沒有和方式可以限制住此SSID 讀取到我IPSEC另一端的設備

不知道還有其他方式可以設定嗎?

All Replies

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 208  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    @haoyu61234 你好,

    應該要用防火牆去限制 IPsecVPN 網段的流量與 SSID 拿到的網段互通

    這樣才可以阻擋訪問流量

    YM

    看看您今年如何在 Zyxel Community 發揮影響力!

    https://bit.ly/Your2024Moments_Community

  • haoyu61234
    haoyu61234 文章數: 6  Freshman Member
    First Comment

    這我有想過 但Layer-2 Isolation List 的網段會與一般網段以樣

    防火牆無法判定

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 208  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    另外一種方法是, Layer-2 Isolation List 的 IP 應該是一個集合

    可以group起來, 再去防火牆設定這組 group 不可以與 IPSecVPN 通

    這樣如何?

    YM

    看看您今年如何在 Zyxel Community 發揮影響力!

    https://bit.ly/Your2024Moments_Community

  • haoyu61234
    haoyu61234 文章數: 6  Freshman Member
    First Comment

    NWA90AX設定Layer-2 Isolation List

    設定則是 允許WIFI能使用的設備

    你所謂 group是VLAN嗎?

    我之前嘗試過用VLAN 但防火牆是forti的

    當時測試時 IP有派發 我不管怎設定 網路就是無法對外

    才會想說 Layer-2 Isolation List 是否能封鎖 IPSEC的外部設備

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 208  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    @haoyu61234 ,

    應該是把 Layer-2 Isolation List 的 IP 建立

    address group 的概念, Fortinet 應該也有

    對我們 Zyxel 來說是利用 Object 的方式

    例如, 我的 ISO List IP 是 192.168.1.10 ~ 192.168.1.15

    我就建立一個 address group 名稱就叫做 ISO-GROUP

    然後我去防火牆規則建立

    form ISO-GROUP to IPSecVPN action BLOCK

    這樣的規則

    以上提供給你參考, 謝謝

    YM

    看看您今年如何在 Zyxel Community 發揮影響力!

    https://bit.ly/Your2024Moments_Community

  • haoyu61234
    haoyu61234 文章數: 6  Freshman Member
    First Comment
    已編輯 11月 27 日

    抱歉我找不到你所謂的address groupg設定

    可否跟我說一下哪邊設定嗎?

    NWA90AX 這台AP 有兩個SSID 一個公司內部用 一個是給客戶用

    客戶用的 想用成斷絕內部所有資訊設備 但能讓此上外網

    DHCP由 防火牆派發

    NWA90AX 的Layer-2 Isolation List 設定沒到看有關IP的設定是否指點一下

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 208  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好, @haoyu61234 ,

    真不好意思, 我沒有說清楚

    我的意思是說, 這個需要用防火牆來做, 不是在 AP 上設定

    Zyxel 防火牆的 address group 的概念, Fortinet 應該也有的

    以上說明.

    總之, 這必須要使用防火牆來做才做的到, 謝謝

    YM

    看看您今年如何在 Zyxel Community 發揮影響力!

    https://bit.ly/Your2024Moments_Community

  • haoyu61234
    haoyu61234 文章數: 6  Freshman Member
    First Comment

    恩好的 那我再嘗試看看 感謝您協助~