923+: LAN 1 en LAN 2 in verschillende VLANs

[pabz]

Beste allemaal,

Ik heb twee VLANs (100 en 107) en vanuit vlan100 kan er wel contact gemaakt worden met alles wat in vlan107 (iot netwerk) staat, maar andersom alleen established & related verkeer. Ik heb home assistant in een VM draaien op LAN 2 in vlan107.

Toen ik dit een paar weken geleden testte, kon ik niet via vlan107 de DSM pagina bereiken of welke andere service dan ook in docker op de synology draaide. Ik dacht mooi, alleen home assistant zit in vlan107, want ik hoef de NAS daar niet in te hebben.

Gisteren ben ik in SSH bezig geweest om een macvlan te maken en te koppelen aan ovs_eth1 (vlan107) zodat ik een container bereikbaar kon maken in vlan107 vanaf mijn NAS. Dit leek te werken, totdat ik erachter kwam dat ook opeens de DSM inlog pagina via vlan107 te benaderen was en alle andere docker services ook. Dit persisteerde na het opheffen van de macvlan en nu twijfel ik dus of dit altijd al had gekund, omdat LAN2 in vlan107 hangt of dat ik toch iets veranderd heb.

Iemand een idee?

Ik heb in ssh de volgende commando's gebruikt:

Code: [Selecteer]

docker network create -d macvlan \
  --subnet=192.168.107.0/24 \
  --gateway=192.168.107.1 \
  -o parent=ovs_eth1 macvlan107


Code: [Selecteer]

docker run -d --name daapdiot --network macvlan107 \
  -v /volume1/docker/daapd/data:/config:rw \
  -v /volume1/docker/daapd/music:/music:rw \
  lscr.io/linuxserver/daapd

Idealiter wil ik alleen dat de VM zich in vlan107 bevindt en de OwnTone container hierboven, maar dat de dsm pagina bijv niet te benaderen is.

[DSGebruiker]

Mischien onder Settings -> Security iets doen met Blacklist/Whitelist en op die manier enkel bepaalde IP-range(s) toegang geven?
Nu dit zal werken voor zaken als DSM,File Station (en andere web-based  zaken) enz maar ik denk niet voor zaken als SSH, containers etc.
Dat zal je mischien met de "Firewall" module moeten regelen? Dus gewoon de "range" van VLAN107 verhinderen qua TCP/22 (ssh) etc,etc.