MatérielsRéseau

Ubiquiti : Configuration avancée, réseau, VLAN et Firewall sur Unifi

Récemment nous avons vu ensemble comment installer un routeur / firewall UDM Pro de chez Ubiquiti. N’hésitez pas à regarder la playlist des vidéos concernant le matériel Ubiquiti ou encore tous les articles liés à Ubiquiti pour en apprendre davantage. Aujourd’hui nous verrons ensemble comment aller plus loin.

Pour rappel, l’UDM de chez Ubiquiti vous permettra de gérer vos ou votre réseaux, d’analyser le trafic, de faire de la QoS, du contrôle parental, de configurer votre Wifi Ubiquiti ou encore de gérer vos caméras Ubiquiti.

Ubiquiti Networks UniFi Dream Machine Pro Géré Gigabit Ethernet (10/100/1000) Blanc
  • Routeur Ubiquiti UDM-Pro Tout en un : Routeur WiFi Control Videorec, Gateway.
  • ROUTEUR_RÉSEAU
  • Réseaux Ubiquiti

La configuration UDM

Avant de passer à la configuration du ou des réseaux, il est important de configurer l’UDM lui-même. Vous pouvez commencer par la mise à jour de l’UDM, mais également des applications associées (Network, Protect, ect…).

Les mises à jour

Personnellement, je ne laisse pas la mise à jour automatique, je préfère être maître des mises à jour. Ça évite aussi quelques mauvaises surprises.

Création d’un compte local

Pensez également à créer un compte local avec les droits d’administrateur. Cela vous permettra de vous connecter même si votre compte Ubiquiti pose problème ou que la connexion SSO est non fonctionnelle. Depuis Unifi, cliquez sur « Manage Users ».

Puis lancer la création d’un compte local en sélectionnant « Local Access Only » en type de compte.

 

Désactivation SSH & Remote Access

Pensez également à désactiver le SSH s’il est activé et si vous n’avez pas besoin d’accéder à distance à votre UDM vous pouvez également désactiver la fonction remote access qui vous permet de gérer votre UDM depuis le Cloud. 

Activation de la sauvegarde de configuration

Pensez à configurer la partie sauvegarde de configuration, cela vous permettra de remettre en place votre solution rapidement en cas de panne matérielle.

Vous retrouverez ces sauvegardes sur votre compte Ubiquiti.

Notifications

Par défaut, les alertes sont désactivées. Cependant il est possible de les activer et surtout de choisir comment et pourquoi vous serez contacté. Cela peut être une notification push sur votre smartphone ou encore par mail.

Pour cela, direction les paramètres de votre console Unifi puis « Notifications »

Attention, si vous souhaitez activer les notifications, sélectionner seulement l’essentiel afin de ne pas être inondé par les notifications.

Configuration Internet

Lorsque vous venez d’installer votre UDM Pro, une des premières choses à faire sera surement de configurer correctement votre connexion Internet. En France, dans la plupart des cas, nous passons par des Box Internet, ce qui ne nécessitera pas de configurer cette partie sauf si vous souhaitez vous passer de votre BOX et vous connecter en PPPoE par exemple. Cependant, en entreprise c’est souvent différent. C’est également ici que vous pourrez configurer les débits de votre connexion internet. Ce qui permettra d’ajuster les compteurs de bande passante sur le dashboard.

Nous allons maintenant configurer notre réseau LAN.

Configuration des réseaux

Par défaut, vous avez déjà un réseau « LAN » qui a été créé, il vous permet d’accéder sans problème à Internet et n’a pas de restriction particulière. Dans notre cas, nous ajouterons quelques réseaux que nous dédirons à des applications bien spécifiques. Nous pourrons créer ces réseaux en leur attribuant des VLAN spécifiques. Dans mon cas, voici les VLAN que je vais créer : 

  • 01-LAN-MGMT (192.168.1.1/24) : Réseau par défaut qui sera dédié aux équipements Ubiquiti et à l’administration (Ce LAN permet l’accès à tous les réseaux)
  • 10-LAN-IOT (192.168.10.1/24) : Réseaux dédié aux objets connectés (Alexa, Google Home, Aspirateur connecté, ect..)
  • 20-LAN-CCTV (192.168.20.1/24) : Réseau dédié aux caméras pour la vidéosurveillance
  • 30-LAN-GUEST (192.168.30.1/24) : Réseau dédié aux invités, ils n’ont accès à rien d’autre qu’Internet. Et ne peuvent se voir entre eux.

01-LAN-MGMT

Ce lan est le LAN par défaut, celui qui a tous les droits et qui existe déjà. Je l’utiliserai pour y mettre mes périphériques Ubiquiti, mais également mon ordinateur pour que je puisse tout manager facilement. Lors de la configuration, je désactive seulement la fonction Autoscale Network pour définir moi-même le range DHCP. Les autres fonctionnalités ne me seront pas utiles.

10-LAN-IOT

Ce Vlan est dédié pour les objets connectés. On parle ici de mes enceintes connectées, mon aspirateur robot, mes raspberry, mon alarme, ect… Depuis ce VLAN, les périphériques auront accès à internet, mais n’auront pas accès au reste du réseau local. Ici vous pouvez activer l’IGMP snooping qui facilite le multicast, idéal pour des appareils comme le Fire Stick, Google Cast, ect… 

20-LAN-CCTV

Ce Vlan est dédié pour la vidéosurveillance. Encore une fois ici, les caméras pourront sortir sur internet cependant, elles n’auront pas d’accès aux autres VLAN. 

30-LAN-GUEST

Ce Vlan est dédié pour les invités. Les clients auront donc le droit d’accéder à Internet, mais n’auront ni le droit de voir les autres VLAN ni le droit de voir les autres clients sur le même VLAN. Pour cela, il faudra activer l’option « Device Isolation » qui passera automatiquement ce VLAN en tant que Guest et qui ajoutera des règles de Firewall spécifique. Vous pourrez ajouter des autorisations spécifiques en bas de la page de configuration si vous souhaitez par exemple laisser un accès à un serveur spécifique ou un VLAN spécifique.

Sur ce VLAN, j’ajouterai un filtrage de contenus, notamment pour la partie Malware, Porn et compagnie. On pourra d’ailleurs aller encore plus loin sur le filtrage en ajouter des DNS spécifiques pour ce VLAN, cela peut être ceux de CloudFlare que j’ai déjà présenté ou encore ceux de Quad9. 

  

Voilà pour les premiers VLAN, à la maison on pourrait très bien créer un VLAN dédié aux enfants également, bien plus sécurisé. En entreprise, on aurait pu également ajouter un VLAN pour la téléphonie sur IP (VOIP). Par défaut, tous les VLANs peuvent communiquer entre eux, mais personnellement ce n’est pas ce que je veux, nous allons donc effectuer maintenant la configuration du Firewall Unifi de notre UDM Pro.

Les règles de Firewall

Avant de commencer la configuration du Parefeu Ubiquiti, nous allons faire un petit rappel : 

Les règles du Firewall s’exécutent de la règle la plus en haut à celle-là plus en bas. Ce qui signifie que si l’une des premières règles de votre firewall interdit un accès spécifique ou à un vlan, même si une règle créer après autorise l’accès, cela ne pourra pas fonctionner. 

Plusieurs types de règles sont possibles : 

  • LAN in : S’applique au trafic qui rentre sur une interface / un vlan
  • LAN out : S’applique au trafic qui sort de l’interface / du vlan
  • LAN Local : S’applique au trafic destiné à l’UDM ou l’USG lui-même

Maintenant que nous avons créé nos VLANs, nous allons configurer la partie Firewall afin de limiter certains périphériques et qu’ils n’aillent pas plus loin que leur VLAN.

Création du groupe RFC1918

Pour commencer, nous allons créer un groupe qui comportera tous les réseaux privés, aussi connu sous le nom de RFC1918. Cela comprend les réseaux suivants : 

  • 192.168.0.0/16
  • 172.16.0.0/12
  • 10.0.0.0/8

Pour cela, direction « Traffic and Security« , puis « Global Threat Management« , c’est ici que vous trouverez la configuration du Pare-feu.

Dans « Firewall« , cliquez sur « Create New Group« 

Créer un groupe appelé RFC 1918 avec les 3 réseaux cité plus haut.

Par défaut, Unifi autorise la discussion inter VLAN, ce qui veut dire que par défaut dans mon cas, le VLAN IoT peut discuter avec le VLAN Management ou encore CCTV. Ce n’est pas ce que je veux. Nous allons donc ajouter des règles pour bloquer ceci. Cependant, je veux pouvoir avoir accès à l’ensemble des VLAN depuis mon VLAN principal, le VLAN d’administration.

Autoriser les connexions « Established & Related »

La première règle à créer sur notre pare-feu va être pour les connexions déjà établies ou liées (Established & Related Connections). L’idée de cette règle, c’est que s’il y a déjà un trafic/flux établi alors il sera autorisé. Cela nous permettra entre autres de recevoir des réponses de notre VLAN IoT ou Guest depuis notre VLAN principal, même si nous leur avons interdit de contacter d’autres vlans. Cette règle reste une best practice.

Pour cela, nous allons créer une règle de Firewall. Toujours dans « Global Threat Management » / « Firewall« , cliquez cette fois sur « Create New Rule ».

Maintenant, créer la règle suivante : 

  • Type : LAN in
  • Description : Allow Established and Related
  • Action : Accept
  • Source : Any
  • Destination : Any
  • Match State Established : Activé
  • Match State Related : Activé

 

Autoriser le VLAN d’administration à accéder à tous les VLANs

Comme expliqué plus haut, je souhaite que les machines connectées au LAN Principal puissent accéder à tout. Tous les VLANs sans aucune restriction. Pour cela, nous allons créer une règle de Firewall. Toujours dans « Global Threat Management » / « Firewall », cliquez cette fois sur « Create New Rule« .

Maintenant, créer la règle suivante : 

  • Type : LAN in
  • Description : Allow MGMT VLAN to all VLANs
  • Action : Accept
  • Source : Network LAN
  • Destination : Groupe RFC 1918

 

Bloquer les communications « Inter-Vlans »

Maintenant au contraire, nous allons bloquer la discussion « inter-Vlans ». Pour cela, créer une nouvelle règle de Firewall avec les éléments suivants : 

  • Type : LAN in
  • Description : Block Inter-VLANs
  • Action : Drop
  • Source : Groupe RFC1918
  • Destination : Groupe RFC1918

 

Bloquer les passerelles depuis les VLANs

Dorénavant, les clients de chaque vlan ne pourront pas aller plus loin que leur VLAN. Cependant, ils peuvent encore contacter notre passerelle Ubiquiti, ainsi que les passerelles de tous les VLANs. Nous allons donc pallier à cela afin que les clients ne puissent pas se connecter dessus. Pour cela, nous allons créer un groupe par VLANs ou nous bloquerons l’accès à toutes les gateways, mais pas celle du vlan lui-même. En effet, cela bloquerait l’accès à Internet pour les clients du VLAN en question.

Créer les nouveaux groupes suivants : 

Block GW from IoT

Dans ce groupe, nous ajouterons donc les gateways suivantes : 

  • 192.168.1.1 (LAN MGMT Gateway)
  • 192.168.20.1 (LAN CCTV Gateway)
  • 192.168.30.1 (LAN GUEST Gateway)

Block GW from CCTV

Dans ce groupe, nous ajouterons donc les gateways suivantes : 

  • 192.168.1.1 (LAN MGMT Gateway)
  • 192.168.10.1 (LAN IoT Gateway)
  • 192.168.30.1 (LAN GuestGateway)

Block GW from Guest

Dans ce groupe, nous ajouterons donc les gateways suivantes : 

  • 192.168.1.1 (LAN MGMT Gateway)
  • 192.168.10.1 (LAN Guest Gateway)
  • 192.168.20.1 (LAN CCTV Gateway)

Nous allons maintenant créer les règles de pare-feu pour bloquer les gateways de nos VLANs.

Bloquer l’accès aux gateways depuis le VLAN IoT

  • Type : LAN Local
  • Description : Block GW from IoT
  • Action : Drop
  • Source : VLAN IoT
  • Destination : Groupe Block GW From IoT

Bloquer l’accès aux gateways depuis le VLAN CCTV

  • Type : LAN Local
  • Description : Block GW from CCTV
  • Action : Drop
  • Source : VLAN CCTV
  • Destination : Groupe Block GW From CCTV

Bloquer l’accès aux gateways depuis le VLAN Guest

  • Type : LAN Local
  • Description : Block GW from Guest
  • Action : Drop
  • Source : VLAN Guest
  • Destination : Groupe Block GW From Guest

Pour terminer, nous allons créer deux groupes pour bloquer les ports d’accès aux gateway. En effet, nous avons un peu plus tôt bloqué l’accès à toutes les gateways sauf celle du VLANs sur lequel est connecté le client. Ce qui signifique qu’une machine sur le réseau 192.168.10.x peut alors se connecter à sa propre gateway. Je l’ai expliqué, nous ne pouvons pas bloquer complètement la gateway puisqu’elle est utile, notamment pour sortir sur Internet. Nous allons donc simplement bloquer les ports ouverts de l’UDM. Donc cela peut être le 80 (HTTP), 443 (HTTPS) ou encore le 22 (SSH) si celui-ci est ouvert.

Pour cela nous allons créer deux groupes. L’un comportera toutes les gateways, l’autres tous les ports à bloquer. Il faudra adapter en fonction de vos VLANs.

Création du groupe « All Gateways »

Création du groupe « All UDMPorts »

Nous allons maintenant pouvoir créer les règles qui boquerons l’accès aux ports connus des passerelles Ubiquiti.

Bloquer les ports d’accès à l’UDM depuis le VLAN IoT

Toujours depuis la configuration Firewall, lancer la création de règles LAN Local avec les paramètres suivants : 

Bloquer les ports d’accès à l’UDM depuis le VLAN CCTV

Bloquer les ports d’accès à l’UDM depuis le VLAN Guest

Voilà ! Nous avons effectué ensemble les paramètres de bases pour quelqu’un qui voudrait se lancer dans la création de VLANs sur Unifi, le contrôleur Ubiquiti. Vous pouvez bien évidemment aller beaucoup plus loin et il faudra sans doute adapter en fonction de vos besoins. Vous pourrez par exemple ouvrir certains accès depuis les VLANs IoT ou Guest à vos serveurs, mais c’est du cas par cas, donc n’hésitez pas à chercher ou à poster un commentaire si vous avez des questions.

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

4 commentaires

  1. Merci pour cette vidéo.

    Mais j’ai du mal à comprendre la fonction de la règle de Firewall « Established & Related » que tu mets au début?

  2. Bonjour,

    Pour ceux qui utilisent HomeKit avec les iDevice (AppleTV, HomePod, iPhone…) dans le réseau Master (ou MGMT dans le tuto) et les ponts/accessoires HomeKit dans le réseau IoT, il faut activer dans les deux réseaux le mDNS. Sinon, il n’y aura aucune communication possible.

    Bonne journée

  3. Bonjour, merci beaucoup pour le tuto, très complet et précis,

    J’ai néanmoins une question technique.
    Je souhaiterais faire deux VLANs (ceux-ci seraient isolés l’un par rapport à l’autre)
    VLAN 1 : Smartphone, laptops, tablettes et serveur Synology
    VLAN 2 : IOT + camera

    Ma question, si les deux vlans ne communiquent pas ensemble, comment ma camera IP (VLAN2) pourra-t-elle communiquer avec le surveillance station qui sera sur le VLAN1

    Au même titre que certaines applications qui utilisent le reverse proxy du synology (VLAN1) pour des IOT qui seront sur le VLAN2 ?

    D’avance merci pour votre aide

    ps : ça serait intéressant d’avoir ce sujet sur le forum pour facilité le partage et les remarques 🙂

    Belle journée,

  4. bonsoir,
    j’ai defini des vlans pour iot cam et guests mais pas moyen de communiquer du reseau principal vers les VLANs, par contre par exemple le VLAN Caméras communique bien vers internet puisque je peux voir les images en 4G.
    un petit conseil ?

    en tout cas merci pour le tuto – même si j’ai dû louper quelque chose
    bonne soires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page