New Zone Based Firwall - Unterstützungsfragen

Es gibt 57 Antworten in diesem Thema, welches 3.309 mal aufgerufen wurde. Der letzte Beitrag () ist von Blebbens.

  • Hallo Noch einmal,


    ich habe mich jetzt ein wenig mit den ACLs bechäftigt, was ich aber noch an fragen habe:


    • Wenn ich migrieren sollte und dann die Isolation anstelle, kommt ja erstmal kein Client mehr zu einem anderen, ich müsste jeden Traffic einzeln per Regel freigeben!? Was ist mit Internet? Das ginge dann aber noch?
    • Wie schaut es mit den Multicast Verbindungen von Google Home, Chromecast, Drucker etc. aus? Funktioniert das trotzdem? KAnn ich Client kompletten zugriff auf z.B. das IoT-Vlan gewähren, oder muss ich da jeden Client einzeln freigeben?
    • Sollte man alle Vlans dann auf L3 migrieren, oder sollte man z.B. IoT auf der UDM lassen? Wie schaut das mit dem Allow Return Trafic aus? Also wenn ich einem Gerät den Zugriff auf das IoT-Lan gebe, muss ich dann auch komplett in die andere Richtung freigeben?
    • Macht es den Unifi Geräten (Kameras und APs) was aus, wenn diese nicht im default netz wären, sondern in einem, was auf L3 migriert wurde? Muss man dann auch extra was freigeben, oder macht dass das Gateway schon selbst?

    Grundsätzlich gefällt mir schon einmal der Gedanke, dass per se erstmal alles geblockt ist und ich dann einfach explizit die freigaben machen müsste.


    Noch eine kleine Frage am Rande, irgendwie greifen die "Simple App Block" Regeln bei mir nicht. Wollte auf den Tablet der Kids Youtube etc. sperren, aber die Regeln bewirken nichts! Habe ein Extra V-Lan für die Kids, muss man da noch etwas spezielles aktivieren?


    Danke und Grüße

    Einmal editiert, zuletzt von Rockhound53 ()

  • Die Isolation, also Networkisolation, heist nur das dieses Netzwerk abgeschirmt ist von den anderen Netzen und die Kommunikation innerhalb dieses isolierten Netzes ist aber weiterhin uneingeschränkt möglich.

    Bei der Client-Geräteisolation ist das dann tatsächlich der Fall. Die Endgeräte untereinander können nicht untereinander reden.

    Das betrifft dann aber auch nur die WLAN Geräte.


    Deine Google Geräte sollten trotzdem ins Internet kommen und ihre Cloud Dienste machen können.

    Wenn du aber von andren Geräten drauf zugreifen willst geht das das dann nur mit Freigaben.


    Ob du deine Netzwerke auf der UDM lässt oder per L3 das kannst du dir aussuchen. L3 wäre interesaant wen alles über den Switch laufen soll, dann muss aber auch alles dort angeschlossen sein.


    Grundsätzlich gefällt mir schon einmal der Gedanke, dass per se erstmal alles geblockt ist und ich dann einfach explizit die freigaben machen müsste.

    Grundsächlich ist es eher bei Unifi der Fall das alles offen ist, und du erst Maßnahmen ergreifen musst um zu zumachen.

    Noch eine kleine Frage am Rande, irgendwie greifen die "Simple App Block" Regeln bei mir nicht. Wollte auf den Tablet der Kids Youtube etc. sperren, aber die Regeln bewirken nichts! Habe ein Extra V-Lan für die Kids, muss man da noch etwas spezielles aktivieren?

    Was hast da denn genau und wie eingerichtet?

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Hmm, ich habe gerade einfach mal das DMZ (wo der nginx Proxy drin ist) und ein Netzwerk, wo nur z.B. Audiobookshelf drin ist, was über den Proxy weitergeleitet wird, auf den Switch gewechselt und da eine ACL Regel von und zum Proxy gemacht, aber von Außen war das dann nicht mehr erreichbar!? Ganz blicke ich das irgendwie nicht.


    Bezüglich dem Blocken vom Tablet habe ich das hier gemacht:



    Das scheint der aber komplett zu ignorieren.


    Er macht daraus dann das:


    Das Tablett ist aber ja in der eignen Zone "Kids", warum dann hier von Internal nach External geblockt wird?


    Gruß

  • Alles klar, ich probiere das Mal aus.


    Bezüglich der ACL Regeln bin ich noch auf der Suche nach einer einfachen und verständlichen Anleitung bzw. Gundlagenerklärung. Warum vom Proxy nicht an Audiobookshelf nach außen weitergeleitet wurde, erschließt sich mit nicht, es sei denn, ich müsste dann noch eine Regel vom Proxy zum WAN machen? Bei Netzwerk gibt es ja den Haken für Internetzugriff erlauben nach der L3 Migration nicht mehr!?

  • Wenn du L3 benutzt, dann findet das was du da einstellst nur innerhalb des Switches statt. Der regelt das Routing und entlastet damit das Netzwerk.

    Also der Router oder UDM oder UCG werden damit nicht behelligt.

    Aber wenn du etwas nach draussen sichtbar machen willst, sollte das eigentlich keinen Abbruch geben weil dieses Netzwerk Internet haben müsste.


    Diese Meldung bekommst du ja beim Einrichten eines Netzwerk was du zu L3 migrieren willst.



    Vorrübergehend steht da ja. Solltest du aber iregndwelche Sachen richtung GW geblockt haben kann das schon sein das es dan nicht raus geht.


    Hast du das auch gelesen?



    Layer 3 Routing

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Also ich habe nur das hier eingeschaltet:



    und danach halt die ACL regeln von dem Proxy zum LCX (audiobookshelf) und vom Handy konnte ich halt keine Verbindung herstellen. Wenn ich per Teleport verbunden war und die externe Adresse aufgerufen hatte, dann ging es.


    Die eigenen Firewall Regeln, die sonst aktiv waren, siehst du ja oben.

  • Na laut dem Bild hast du doch LCX (audiobookshelf) und Co in einer Zone Namens HomeLab.

    Dann sind die nicht im L§ Netzwerk sondern ganz normal eingerichtet, ich dachte du hattest auch ein L3 Netzwerk eingerichtet gehabt.

    Dan würde ich das an deiner Stelle mit dem ACL weglassen und normale Firewallregeln benutzen.

    Die ACL Regeln sind eher was für die L3 Netzwerke,



    Diese ja dann so eingerichtet werden,


    und nicht so:

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Moin zusammen,

    es erscheinen ja fast täglich neue ZBF-Videos... ich konnte den folgenden Videos am besten folgen, da es dort für mich nachvollziehbar inn mehreren Varianten erklärt wird:

    Video 1 ZBF - hier Variante 2 gewählt

    Video 2 - HomeKit & ZBF


    Am Ende möchte ich mir aber ganz sicher sein, ob ich nicht irgendwo eine Sicherheitslücke eingebaut habe oder es bessere Wege gegeben hätte, weshalb ich mich nochmals an die Experten hier wende...


    Das ist der Aufbau meiner (V)LANs:


    ID1 - Management LAN (Zone Trusted) - iOS-/iPadOS-/macOS-Devices und unRAID-Server

    ID2 - IoT (Zone Untrusted) - viele Smarthome-Devices und der Apple TV mit Apple HomePods

    ID3 - Gast (Zone HotSpot) - nichts bisher, vielleicht mal mein Auto

    ID4 - Kids (Zone Untrusted) - iOS-/iPadOS und Windows-Devices


    Und diese 3 Regeln habe ich umgesetzt, um



    Habe also der Trusted-Zone vollen Zugriff auf alle VLANs der Untrusted-Zone gegeben.

    Dann wurden aus der Untrusted-Zone _alle_ Gateway-Zonen-Zugriffe verboten und anschließend nur der DNS-Zugriff von Untrusted auf External erlaubt.

    Daneben habe ich noch der VPN-Zone Zugriff auf die Trusted-Zone eingeräumt.

    Anschließend wurde dann dem IoT-Netz in der Untrusted-Zone die Zugriff über Port 5353 (Object "HomeKit & IoT") auf die Trusted Zone erlaubt, um HomeKit-Kommunikation zu gewährleisten. Andersherum kann die Trusted-Zone ja ungehindert mit "Allow Return Traffic" mit der Untrusted-Zone sprechen.

    Letztlich hat dann noch das Kids-Netz aus der Untrusted-Zone Zugriff auf den Epson- und den 3D-Drucker (Object "allow access to IoT devices") in der IoT-Zone erhalten.


    Und dabei könnten ja Fehler entstanden sein. Ich habe also nicht mit RFC- oder Gateway-Sperr-Objects gearbeitet, weil ich meine verstanden zu haben, dass es in diesem Fall nicht nötig ist, da die Untrusted-Zone wegen der Sperrung zur Gateway-Zone (außer DNS) nicht auf die Gateways zugreifen kann.


    Poste folgend die Policies - in der Hoffnung, dass Ihr potentielle Fehler entdecken könnt.




    Wäre klasse, wenn da jemand drüberschaut...

  • Beitrag von Blebbens ()

    Dieser Beitrag wurde vom Autor gelöscht ().
  • Ich weiss zwar das der Lerneffekt ausbleiben wird und doch wieder nur unverständnis bei raus kommen wird.

    Aber ich versuche es noch ein letztes Mal.

    Niemand wird dir eine Aller-Welt´s Lösung in Wort und Bild hinstellen können, und Tipps werden irgendwie nicht angenommen.

    Also schauen wir mal drüber.


    Am Ende möchte ich mir aber ganz sicher sein, ob ich nicht irgendwo eine Sicherheitslücke eingebaut habe oder es bessere Wege gegeben hätte, weshalb ich mich nochmals an die Experten hier wende...

    wenn dir doch das Video doch so zusagt, dann sollte es doch perfekt sein.


    Habe also der Trusted-Zone vollen Zugriff auf alle VLANs der Untrusted-Zone gegeben.

    Das hast du hier mit getan,


    Kann so bleiben.


    Dann wurden aus der Untrusted-Zone _alle_ Gateway-Zonen-Zugriffe verboten und anschließend nur der DNS-Zugriff von Untrusted auf External erlaubt.

    Du meinst das hier?


    Damit wird aber nicht der Zugriff automatisch auf das Gateway verboten. Sondern du hast damit noch eine weitere Regel erschaffen die eigentlich sowieso schon da ist, und Zwar hier mit:


    Du gibst also DNS mit Port 53 frei, das kann die Regel mit Allow All sowieso schon.

    Und wo sperrst du was, wo wird was geblockt im Gateway? Nix wird da geregelt.

    Aber da spricht man sich den Mund fusselig das das Gateway mehrere Sachen erfüllt.

    DNS, Multi DNS, DHCP und so weiter. Das ist die Schnittstelle deiner Netzwerke und zwischen den Netzwerken.

    Und wenn du nur DNS zu External freigeben willst dann gehört die auch in External rein und nicht in Gateway.

    In deinem Bildern kann ich eine solche Regel nicht entdecken.

    Was aber auch falsch ist weil eine Regel für DNS gehört da nicht auch nicht hin.

    Und wo ist den dein DNS Server? Der taucht nirgendswo auf?


    Daneben habe ich noch der VPN-Zone Zugriff auf die Trusted-Zone eingeräumt.

    Damit meinst du das hier?


    Kann man so machen wenn du nur einen VPN Server betreiben willst. Willst du weitere später im Betrieb nehmen, dann wäre das nicht gerade so toll.


    Anschließend wurde dann dem IoT-Netz in der Untrusted-Zone die Zugriff über Port 5353 (Object "HomeKit & IoT") auf die Trusted Zone erlaubt, um HomeKit-Kommunikation zu gewährleisten. Andersherum kann die Trusted-Zone ja ungehindert mit "Allow Return Traffic" mit der Untrusted-Zone sprechen.

    Ja das ist soweit in Ordnung. Wenn man das für Apple und Co so braucht, daazu wird wohl für die ganzen Apple Sachen der Port 5353 irgendwie gebraucht, aber ich besitze kein Apple.

    Aber die Aussage, andersrum kann die Trsuted Zone wegen der Allow Return Regel ungehindert mit Untrusted reden, das ist falsch. Dies Regel bewirkt nur das eine Frage von Quelle zum Ziel geht und mit Allow Return geht die Antwort nur von dem Ziel an die Quelle zurück und nicht an die ganze Zone.


    Letztlich hat dann noch das Kids-Netz aus der Untrusted-Zone Zugriff auf den Epson- und den 3D-Drucker (Object "allow access to IoT devices") in der IoT-Zone erhalten.

    Das hier?


    Wenn du deine Drucker in der IoT Zone hast und du mit der Gruppe allow Access to iot.. dort die IP Adressen drin hast, von den Druckern, dann sollte das gehen.


    Was hast du damit genau vor?


    In der Kategorie ist doch eh alles erlaubt mit Allow All Traffic. Wenn du vorher nicht irgendwas sperrst dann brauchst du da auch nix weiteres Freigeben.


    Wieso hast du dein vertrauenswürdiges Unifi Netzwerk aus der vertrauensvollen Zone Internal raus genommen?

    Das macht doch keinen Sinn.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Einmal editiert, zuletzt von Naichbindas ()

  • Ich weiss zwar das der Lerneffekt ausbleiben wird und doch wieder nur unverständnis bei raus kommen wird.

    Aber ich versuche es noch ein letztes Mal.

    Niemand wird dir eine Aller-Welt´s Lösung in Wort und Bild hinstellen können, und Tipps werden irgendwie nicht angenommen.

    Also schauen wir mal drüber.

    Ahm, habe ich das als Anfeindung zu verstehen ? Ich kam mit Deiner Anleitung aus genannten Gründen nicht klar und habe nach Alternativen geguckt. Nun habe ich mir aus den genannten Videos die für mich passende individuelle Lösung herausgesucht und frage Euch, ob ich etwas übersehe. Warum dann Unverständnis unterstellt wird und auf (k)eine Allerweltslösung und Tippsverweigerung verwiesen wird, erschließt sich mir nicht... und auch unpassend.


    Hm, ne... ich sperre doch zuvor Untrusted zu allen Gateways... dann verstehe ich Deine gesamte Aussage nicht, es sei denn, ich übersehe doch etwas:


    Was meinst Du ? Danach mache ich dann den Port 53 für DNS zum Gateway für Untrusted auf. Dann müsste doch das Gateway (=Unifi-Oberfläche) aus Untrusted gesperrt sein ?!


    Zum Thema VPN: Ich möchte nur Unifi Teleport verwenden.


    Jetzt nimmt er hier irgendwie keine Zitate mehr an...


    Zitat:

    "Aber die Aussage, andersrum kann die Trsuted Zone wegen der Allow Return Regel ungehindert mit Untrusted reden, das ist falsch. Dies Regel bewirkt nur das eine Frage von Quelle zum Ziel geht und mit Allow Return geht die Antwort nur von dem Ziel an die Quelle zurück und nicht an die ganze Zone."


    Habe ich hier also etwas zu ändern ? Dachte, Die Regeln zu Port 5353 bewirken, dass HomeKit aus dem IoT die Geräte im Management-Netz der Trusted-Zone erreichen kann. Umgekehrt dachte ich, dass die allgemeine Freigabe der Trusted Zone für den Zugriff auf Untrusted (mit Allow Return) dafür sorgt, dass Geräte aus dem Trusted die IoT-Geräte auf allen Kanälen/Ports erreichen kann.



    Zu den Zonen: Ich mochte die "Internal"-Bezeichnung nicht. Außerdem haben alle VLANs in Trusted automatisch aufeinander Zugriff. Sollte ich mal eines hinzufügen, müsste ich an die Policies denken. Wo liegt denn das Problem mit Trusted anstatt Internal ?


    Zur Google Adwords-Policy: Auf dem Kids-Netz läuft ein Family-Filter. Jede Adword-Treffersuche auf Google wird gesperrt, was nervt. Hoffe, es damit übergehen zu können. Sonst muss ich die Site woanders freigeben.


    Aus irgendeinem Grund kommen bei meinem Sohn folgende Geräte aus dem nicht mehr ins Internet:

    - Amazon Alexa (WiFi) IoT-Netz

    - Windows PC Kids-LAN am Switch


    Hat jemand Ideen ?


  • Solch ein Mist, der PC meines Sohnes im KidsNet ist per LAN am Switch und erhält eine 169er IP ohne Internetzugang.

    Alexa aus de IoT-Netz kommt auch nicht ins IoT… der AppleTV wiederum ist problemlos drin. Der TV dagegen kommt nicht ins IoT.

    Ich sehe keinen Zusammenhang.


    Logge ich mich mit dem iPad ins IoT per WiGi, komme ich nicht ins Internet… was habe ich falsch gemacht und vor allem, wieso sind andere Devices problemlos ?


    Der Fehler muss hier liegen, tippe ich…




    Aber warum manche Devicea aus Untrusted Dienst tun, andere aber nicht ins Internet kommen, ist mir ein Rätsel.

    Würde mich über Fehlerlösungen freuen.

    Einmal editiert, zuletzt von Blebbens ()

  • Also eine Anfeindung wäre was anderes und warum du dich angegriffen füllst kann ich nicht nachvollziehen.

    Ich meine Wir beide reden nicht erst seit gestern über deine ZBF aber irgendwie kommt für meine und von anderen die Lösungsvorschlage nicht an habe ich das Gefühl.

    Nix vvon dem wird irgendwie mal angenommen oder umgesetzt.

    Das was immer kommt, ist verstehe ich nicht brauche ich doch garnicht und oder wird garnicht erst versucht.

    Das man dann irgendwie das Gefühl bekommt gegen eine Wand zu reden, das kann man mir dann aber auch nicht übel nehmen.

    Du hast ja auch sehr oft beton das du neu und Uniwissend da ran gehst.

    Auch ich weiss nicht alles und hier im Forum gibt es einige die habeen noch mehr Wissen zum Thema Unifi.

    Aber dann verstehe ich nicht warum du dann was ganz anderes hast oder tust, wo drüber du schon mehrmals gefragt hast.

    Erst sagst du ud verstehst nicht wie das mit den Zonen ist und welche VLAN´s sind da drinn.

    Ich hatte dir zu verstehen gegeben das alles erstmal für die, die lernen und reinkommen wollen, wir beim Standard bleiben, wie es seitens Unifi vorgegeben ist, die Netzwerke im Internal sind. Dann versuchen wir dir zu erklären, welche Regeln man da erstmal anwenden kann um Grund rein zu bekommen und warum das so ist was in der Internal Zone was warum wieso funktioniert.

    Denn vvieles ist seitens Unifi aus bestimmten Gründen schon vorgegeben und eingerichtet, und das hat seinen Sinn so.

    Jetzt habe ich dank deines Bildes gesehen ddu hast eine neue Zone erschaffen, die du haben wolltest weil es sich für dich besser anhört, kann ich auch nachvollziehen und ist auch gut so. Dann packst du da dein Netzwerk rein. Aber inn diesem Fall ergeben sich aber andere Regeln und Richtlienen.

    Diese wäre dan aber nicht im Sinne ich bin neu und verstehe es nicht.

    Vorallem das du dein MGMT oder auch default LAN aus der Internal Zone nimmst und in dein Trusted steckst ist nicht gerade super ausgedacht.

    Dieses Netzwerk ist das wichtigste deines ganzen Unifisystems und ist schon im einer Vertrauten Zone untergebracht.

    Pakst du dieses in eine andere Zone von wo aus in diese Zone und aus dieser Zone von haus aus alles geblockt ist, und du keine entsprechenden Regeln erstellt hast, könnte vlt was anderes nicht mehr funktionieren. Dieses Netzwerk ist das Sprachrohr deines Systems.

    Ja klar kann man jedes VLAN wo anders hin packen, wenn man dan weiss was man will.

    Aber man muss bedenken das sich dan gewissen Vorkehrungen ergeben.

    Ich hätte in Trusted eher das Private VLAN also das Heimnetzwerk gelegt, aber jeder hatt da so seine Vorlieben.

    Aber hätte das Bild das nicht gezeigt das du deine Trusted Zone hast und von dort aus machst, dann hätte was vorher hier im Forum so besprochen wurde und dir als Tip gegeben wurde, keine Anwendung gefunden, und dann kommst du gerechtigter Weise wieder und sagst uns, geht nicht, ja klar - wei dnen auch.

    Woher sollen wir den Wissen das du das jetzt so hast. Ich dachte die ganze Zeit wir reden von der Zone Internal.

    Dan haben wir diskutiert wegen Gateway und Webinterface deines Unifi.

    Das habe ich dir ausführlich versucht zu erklären was das ist und warum das so ist, aber du hast keines davon mal angewandt und das mal getestet, weil die Regel ist nicht vorhanden, bzw wenigstens vorhanden aber vvlt angehalten weil du dir nicht sicher bist.

    Den Begriff RFC1819 habe ich erläutert und es gibt Wiki dazu. Warum eine Gruppe ab und zu auch mal Sinn macht, auch, aber du sagst nur wozu brauche ich das, nicht notwendig. Warum ich diesen Weg genommen hab habe ich auch ausührlich erklärt, zumindestens versucht.

    Den mit einer Gruppe kann man auch mal mehrere Sachen auf einmal abdecken oder für Zukünftiges mit einplanen.

    Aber du must das auch nicht so machen da gebe ich dir Recht, du kannst auch das ganze anderes Lösen, aber dan kann es passieren das du ein paar mehr Regeln brauchst um dein Ziel zu erreichen, und wen du dan mal nach längerer Zeit was dazu baust kann schnell vergessen werden das mann dann für neue Netzwerke nachbessern muss.

    Das was du unter Gateway verstehst ist in der ZBF bei Unifi einmal das Gateway für das Netzwerk, was ich auch schon erklärt habe, weil jedes Netzwerk hat ein Gateway, andere verstehen unter Gateway allein den Begriff, das ist doch die Schnittstelle ins Internet. In diesem Fall ist es aber dann External.

    Dann ist der Begriff in Zusammenhang mit Unifi was absperren, dazu wurde auch gesagt das es um das Webinterface geht.

    Aber irgendwie kommt das ales nicht an.

    Zum Thema Allow Return.

    Wen du eine erlauben Regel erstellst, zum Beispiel PC 1 aus Zone A, soll auf PC 2 in Zone B zugreifen, ok kein Ding, kein Problm die Regel macht genau das, aber die Allow Return Sache erlaubt dann aber nur die Verbindung von PC 2 aus Zone B zu PC 1 in Zone A.

    Und zu nix anderen. Deine Aussage durch die Allow Return Regel kann ja dann PC 2 aus Zone B mit der ganzen Zone A problemlos reden ist so nicht richtig, das habe ich korrigiert deine Aussage.

    Auch wenn in der Return Regel in der Destination Zone die Begriffe ANY to ANY stehen, ist aber nicht der Rückkanal in die gesammte Zone gemeint.

    Das mag zuerst verwirren aber ich habe mich dazu auch schon bei Unifi Rückversichert.

    Ich hoffe du verstehst jetzt was ich meine, warum ich so reagiere.


    Was meinst Du ? Danach mache ich dann den Port 53 für DNS zum Gateway für Untrusted auf. Dann müsste doch das Gateway (=Unifi-Oberfläche) aus Untrusted gesperrt sein ?!

    Geh doch mal an einen PC der in einem anderen VLAN ist. Gibt doch von dort im Browser die Adressen 192.168.1.1 ein, oder die IP Adresse deines KIDS Netzwerkes, ich weiss nicht welches Netzwerk du da hast, die Adresse 192.168.10.1 oder 20.1 ein. Wie gesagt wleches Netzwerk du da gerade hast.

    Es muss am Ende mit .1 enden.

    Berichte dann mal was passiert.


    Zur Google Adwords-Policy: Auf dem Kids-Netz läuft ein Family-Filter. Jede Adword-Treffersuche auf Google wird gesperrt, was nervt. Hoffe, es damit übergehen zu können. Sonst muss ich die Site woanders freigeben.

    Ok aber weil doch eh in der External Zone, das ist die Zone ins Internet, eh alles erlaubt ist sollte auch ohne diese Regel Treffer möglich sein.

    Du hast meines Wissens nach nur zu einer alles erlauben Regel im External eine weitere Regel mit erlauben Google hinzu gefügt, oder nicht?

    Was anderes sehe ich da nicht.


    Das mit dem Port 5353 habe ich auch schon im Internet was zu gesehen, da ging es aber ausdrücklich um Apple TV und Co und so weiter.

    Aber ich sagte ja schon ich habe kein Apple, aber ich kann dir sagen in dem Video was ich gesehen habe hatt er auch von IoT Netz wo der seine Apple TV und sowas drinn hat nur ins Private Netzwerk über diesen Port und nur diesen Port reden dürfen, daher kommt mir das bekannt vor.

    Zu den Zonen: Ich mochte die "Internal"-Bezeichnung nicht. Außerdem haben alle VLANs in Trusted automatisch aufeinander Zugriff. Sollte ich mal eines hinzufügen, müsste ich an die Policies denken. Wo liegt denn das Problem mit Trusted anstatt Internal ?

    Was soll ich sagen? Genau das macht die Internal Zone. In deiner selbst angelegten Zone, ist das nicht der Fall. Da sind sogar sdie Netzwerke untereinander erstmal von Haus aus geblockt.


    Warum deine Geräte teilweise nicht mehr ins Internet kommen, kann schon sein weil du im Gateway die Regel mit DNS davor geschoben hast die den Port 53 hat.

    Aber deine Geräte brauche das Gateway. Das ist das Unifi Gateway. Da drüber müssen die Geräte auf jeden Fall kommunizieren.

    Wen du aber eine erlauben Regel hast, oh geht alle auf Port 53 das dürft Ihr, der ist aber ein Port für einen DNS Server, dann kann das auch nicht mehr funktionieren, alles andere wird nicht mehr angewandt. Die Regel die danach kommt mit allow all die Langweiligt sich weil nix mehr kommt.

    Denn was haben wir gelernt? Unifi arbeitet die Regeln der Reihe von oben nach unten ab. Trifft Regel ein zu, in dem Fall er darf, dann wird die genutzt, und jede weitere Regel wird dann nicht mehr beachtet. Pustekuchen.


    So könnten wir das ganze jetzt unendlich lange fortsetzen. Aber kein Mensch hatt gesagt das du meine Regeln nutzen musst. Auch meine nicht sind nicht perfeckt und es gibt bestimmt auch schon bessere Lösungen. Aber ich habe dir mehrmals in langen Texten wie diesen hier versucht zu erklären wie das ganze funkioniert und auch die Wiki deinen Wunsch nach etwas angepasst. Aber auch ich bin kein Lehrer und kann nicht immer alles so in Wort erklären was ich aber umsetze. Ich bin ein praktisch veranlagter Mensch, also sieh es mir nach.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Hatte im Beitrag zuvor erläutert, wie der Aufbau der VLANs nun ist (Benennung, Geräte, Zone).

    Hatte auch erläutert, dass ich nicht das Wiki-Netz nachbauen kann. Vorgehen ist, möglichst viele Informationen zu sammeln und das Netzwerk einmal aufzubauen. Ich bin extrem wenig daheim und habe dann auch kaum Zeit zum Herumbasteln. Es muss dann einfach laufen, vor allem für die Kids.


    Habe im Grunde das Beispiel 2 aus dem Video 1 aus dem Post zuvor 1:1 nachgebaut. Dort hat er schlicht die Untrusted Zone gegen Gateway Zone geblockt. Danach hat er dann eben nur den Port 53 (DNS) freigegeben. Seine Geräte kamen dann nicht auf die Unifi-GUI, aber eben mit einer DHCP-IP ins Internet. Das läuft bei mir gar nicht. Logge ich mich zB im Kids-LAN ein, erhalten ich eine Kids-IP, komme aber nicht ins Internet und nicht aufs Gateway. Letzteres ist natürlich gewollt. Habe auch schon gesehen, dass manch ein Gerät in Untrusted eine 169er IP erhält. Verstehe nicht, wo der Fehler liegen kann.



    Merkwürdig ist doch auch die Block-Regel von Unifi aus Untrusted nach External:



    Da muss sich doch ein Fehler finden lassen. Vor allem, von Haus aus ist doch aus einer neuen Zone erstmal alles geblockt, aber eben außer Gateway und External. Deshalb ist unklar, warum im Screenshot eine Standardregel Untrusted zu External blockt. Oder was bedeutet „Block Invalid Traffic“ ? Danach wird wieder alles erlaubt.


    Alternativ kann ich Deinen Weg gehen und je eine Policy erstellen, die jeweils die drei nicht eigenen Gateways über ein Objekt sperrt für die Untrusted-Netzwerke „Kids“ und „IoT“. Aber dann blieben noch die eigenen Gateways offen. Das ist dann wohl der Teil, der mir noch nicht einleuchtet. Man soll jedenfalls aus Untrusted Zone kein Gateway ansurfen können. Dachte, dass das Blocken aller Gateways und das Öffnen nur für DNS - wie oben beschrieben - genau diesen Fall abdeckt, nur eben auf anderem Wege.

    2 Mal editiert, zuletzt von Blebbens ()