VLAN Isolation

Es gibt 42 Antworten in diesem Thema, welches 2.347 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Hallo an alle. Ich sitze vor meiner UDM und verzweifle bezüglich der VLAN Isolation :loudly_crying_face: . Mittlerweile seit über zwei Wochen, habe Videos geschaut und in Foren gelesen - leider keinen Schritt weiter. Ihr seit meine letzte Hoffnung.

    Zu meinem (Test-) Setup:

    - UDM SE

    - US-8 60W

    Das ist mein Test-Setup! Derzeit läuft bei mir noch aktiv die USG 4 pro + CK Gen2+ + US-24 PoE Pro + diverse kleinere Switche (zb Flex Mini u.ä.). Wenn mein Test Setup (Controllereinstellungen) läuft soll das USG + CK Gen2+ durch die UDM SE ersetzt werden.


    Zu meinem Problem:

    Ich habe verschiedene VLANs, beschreibe es hier an zwei VLANs.

    1) Mgmt Lan (UDM + Switch, 192.168.1.1) -> hier ist ein Notbook (Linux)

    2) 192.168.10.1, ID 10 -> hier ist ein Notbook (Win10 pro)

    3) 192.168.20.1, ID 20 -> hier ist ein Notbook (Win10 pro)


    Zu 1): Alles Standard, nichts verändert.

    zu 2): Alles auf Standard + VLAN Isolation

    zu 3): Alles auf Standard + VLAN Isolation


    Funktioniert, kein Ping geht durch, dachte dachte ich und fand die neue Einstellung super,

    ABER (1): Die Gateways der anderen VLANS kann ich aufrufen.

    ABER (2): Die beiden Win 10 PCs haben Netzfreigaben (Ordner), denke per SMB macht das Windows. UND auf die kann ich easy zugreifen von dem jeweils anderen Win PC über VLAN Grenzen hinweg - TROTZ VLAN Isolation - HÄÄÄÄÄÄÄÄÄÄ????


    Na gut. Habe diese Einstellung auch aktiviert "L3-Netzwerkisolierung (ACL)" und angegeben 192.168.10.0/24 zu 192.168.20.0/24 und umgedreht natürlich auch.


    - kein Ping geht durch, logisch

    - jetzt kann ich auch die jeweils anderen Gateways nicht aufrufen (ausser 192.168.1.1 auch doof).

    - Das ABER (2) ist aber immernoch da! Die Netzwerkfreigaben der Windows PCs können weiterhin über die VLAN Grenzen hinweg, sich sehen, Dateinen tauschen.


    Zu meiner Frage, bzw. zu meinem Wuschziel:

    Ich habe ein paar VLANs die vollkommen isoliert sein sollen (Kammeras, IoT, DMZ, VLAN meiner Tochter). Ich will auch kein Multicast o.ä., also wie physisch getrennte Netzwerke. Klar, später will ich auf die DMZ (UnRaid Server mit fixer IP) aus 2 VLANs zugreifen. Das wollte ich dann über Firewall Regeln lösen.


    Achso Firewall. Die VLAN Isolation legt natürlich Regel an, aber scheinen nicht zu funktionieren. Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

    Ha - geht nicht :angry_face:

    PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert :face_with_rolling_eyes: .


    Hat jemand nen Tipp, oder nen weiteren Ansatz. Ich bin mir ziemlich sicher, dass ich das Problem bin, aber mein Kopf kreiert einfach keine neuen Ideen :winking_face::frowning_face: .


    Vielen Dank im voraus.

    Einmal editiert, zuletzt von knolte () aus folgendem Grund: Achso: UniFi OS Version: v3.2.12 Netzwerk App: v8.1.127 Also alles aktuell und ich bin auf der neuen Oberfläche, da in der alten vieles nicht mehr konfigurierbar ist.

    Hallo, danke für deine Antwort. Ja habe ich. Obwohl dieser leider nicht mehr ganz aktuell ist (zb. alle VLANS blocken - dafür hat Unifi die Einstellung VLAN Isolation implementiert!). Wie ich geschrieben habe, habe ich über eine FW Regel versucht, die Netzwerke von einander zu trennen, leider ohne Erfolg.


    Ich meine: Was verstehst du unter VLAN ISOLATION!? Und L3-Netzwerkisolierung (ACL)!?


    OK, mal ander. Wer von euch hat ein VLAN von anderen getrennt? Sicher hat das jemand - DMZ lässt grüssen - aber wie? UND habt ihr das überprüft? Und wie habt ihr es überprüft? Der Ping wird ja geblock, aber SMB scheinbar nicht. :upside_down_face:

    Zitat von knolte

    Wenn ich zu einem anderen Hersteller gehe, (mal abgesehen davon, dass die von vorherein VLANs isolieren) , da geht nichts - wirklich NICHTS durch.

    So arbeitet jede ordentliche Firewall: "Es ist verboten, was nicht expliziet erlaubt wird".

    Unifi hat aber auch einen UDMx im Programm, die keine Firewall ist, sondern ein Router mit Firewall-Funktionen und die meinen, es alles anders machen zu müssen - ist leider ein Krampf

    Ich nutze keine UDMPro sondern ne richtige Firewall und da sind eben die VLAN voneinander isoliert, genausowenig, wie die VLAN's ins Internet kommen, solange ich das nicht per Regelwerk ändere.

    Hi, vielen Dank. Ja, das ist mir bewusst. Ich habe auch lange überlegt, ob ich openSense o.ä. nehme. Wollte aber den Komfort :grinning_squinting_face: von Unifi - alles auf einer Oberfläche.


    Nunja, ich möchte aber nicht über "hätte, hätte, Fahradkette" diskutieren, sondern, wie ich bei Unifi die VLANS isoliert bekomme.


    Ich meine (von der IP-Adress-Anzahl mal abgesehen), WOZU sollte ich sonst VLANS anlegen?! (Liebe Leute von Unifi!).


    Also, ich bitte euch wirklich um Hilfe. Ich bin im Unifi Forum, ich habe eine UDM - ich denke die Diskusion, ob Cisco, Mikrtek, oder OpenSense usw. hilft mir nicht.


    Irgendwie muss das doch gehen - auch bei Unifi. Ich werde doch nicht das dunkle Geheimnis von Unifi aufgedeckt haben, nähmlich, dass sie uns nur verarschen. :winking_face::smiling_face_with_sunglasses::winking_face_with_tongue:

    Tomcat : Niemand hindert dich daran, eine Any->Any=Deny-Regel zu erstellen. Schon hast du eine "richtige" Firewall, wenn das dein Kriterium ist.


    knolte : Ich habe die noch recht neue "Netzwerkisolierung" bislang nicht ausprobiert. Sehr gut möglich, dass hier noch etwas buggy ist.

    Richte Dir eine IP Group mit den privaten Netzen aus IPv4 (RFC1918) ein wie in den Tutorials beschreiben. Dann eine "LAN In"-Regel, die Verkehr von dieser Gruppe zu dieser Gruppe unterbindet.

    Das ist als Basis schon alles und damit geht dann weder ein Ping noch SMB-Anfragen über Deine VLAN-Grenzen hinweg.

    Hey Networker, vielen Dank. Ich hatte gehofft, dass ich die FW Regeln nicht alle benötige und es mit einem Häckchen lösen kann :grinning_face_with_smiling_eyes: . Also ich werde (wie im Tutorial beschrieben) mal die "globale" FW Regel (RFC1918) + IP-Group) einrichten. Heute schaffe ich das nicht mehr, aber hey, wozu sind Feiertage da :thinking_face::upside_down_face::winking_face: .


    Aber jetzt, da du es schreibst, eigentlich hätte ich sowas in den FW Regeln von Unifi erwartet, ich meine es wird ja eine Regel angelegt, wenn VLAN Isolation ausgewählt wird.


    Trotzdem schade, dass Unifi bei solchen Basics noch immer kämpft (scheinbar).


    Ok ich melde mich am Donnerstag wieder, wenn ihr hoffentlich feiern seid.

    Zitat von knolte

    Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

    Ha - geht nicht :angry_face:

    PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert :face_with_rolling_eyes: .

    Fällt mir gerade ein. Warum geht den diese Regel nicht. Die ist zwar nicht "global", aber sie untersagt doch definitiv die Kommunikation zw. den zwei VLANS.

    Zitat von knolte

    ich meine es wird ja eine Regel angelegt, wenn VLAN Isolation ausgewählt wird.

    Wie gesagt, es ist sehr gut möglich, dass dieses Feature nicht funktioniert wie es sollte. Um das final zu klären solltest Du aber mit Ubiquiti Kontakt aufnehmen und denen Logs schicken.



    Zitat von knolte

    Fällt mir gerade ein. Warum geht den diese Regel nicht. Die ist zwar nicht "global", aber sie untersagt doch definitiv die Kommunikation zw. den zwei VLANS.

    Kann man aus der Ferne und ohne Screenshots nicht wirklich beurteilen. LAN Out ist auf jeden Fall falsch.

    Außerdem weißt Du sicher selbst: Bei Firewall-Regeln reicht ein falsches Zeichen und sie bewirkt nichts oder sogar das Gegenteil. :smiling_face:


    Auch für Dich gilt natürlich: Erstelle Blockregeln Any-->Any und baue Dir einen Satz an Allow-Regeln obendrauf, wenn Dir die Logik lieber ist.

    Zitat von Networker

    Wie gesagt, es ist sehr gut möglich, dass dieses Feature nicht funktioniert wie es sollte. Um das final zu klären solltest Du aber mit Ubiquiti Kontakt aufnehmen und denen Logs schicken.

    Ja, das mache ich, du hast Recht.


    Zitat von Networker

    Kann man aus der Ferne und ohne Screenshots nicht wirklich beurteilen. LAN Out ist auf jeden Fall falsch.

    Außerdem weißt Du sicher selbst: Bei Firewall-Regeln reicht ein falsches Zeichen und sie bewirkt nichts oder sogar das Gegenteil. :smiling_face:

    Screenshots kommen. Werde das Donnerstag posten. Hatte gehofft, dass das bekannt ist und ich doof, deshalb wollte ich mal anfragen (weil es das Thema auch nicht wirklich gibt).


    Bezüglich LAN OUT, ja natürlich hast du Recht, das war pure Verzweiflung -> Das habe ich geschrieben:


    Achso Firewall. Die VLAN Isolation legt natürlich Regel an, aber scheinen nicht zu funktionieren. Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

    Ha - geht nicht

    PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert .


    Also, für Heute vielen Dank. Ich werde am Donnerstag meine Einstellungen posten, ein Ticket bei Unifi eröffenen und ich werde die Unifi "VLAN Isolation" und "L3-Netzwerkisolierung (ACL)" deaktivieren und somit euer Toturial nachbilden.

    Ich bin gespannt . . . und wenn du/ihr Recht habt, dann weine ich für Unifi :winking_face:

    Zitat von knolte

    Ich bin gespannt . . . und wenn du/ihr Recht habt, dann weine ich für Unifi

    Das kannst Du tun, musst dann aber auch so fair sein und für Dich selber weinen, wenn Du lediglich einen Fehler gemacht hast. :winking_face:

    Was tatsächlich kritikwürdig bei Unifi ist, dass es immer mal wieder neuen Features gibt, die noch sehr fehlerbehaftet sind. Auc kann man zurecht kritisieren, dass viele Neuigkeiten kommen, manch alte Unzulänglichkeit aber nicht angefasst wird. Die IPv6-Unterstützung ist trotz konstanten Updates dazu nach wie vor schlecht, insbesondere bei der Firewall.


    Auf der anderen Seite ist Unifi und auch die Firewall nicht so schlecht, wie es (auch hier) einige gerne behaupten. In Zeiten total überdrehter Aufmerksamkeitsökonomie zählt eine ruhige, sachliche und kontextbezogene Betrachtung wenig, eine lautstark vorgetragene, plakative Meinung viel. Leider.

    Zitat von Tomcat

    die keine Firewall ist, sondern ein Router mit Firewall-Funktionen und die meinen, es alles anders machen zu müssen

    KEIN Router den ich kenne Blockiert Routing zwischen VLAN per default... KEINER

    Firewalls... ja klar alle...



    Zitat von knolte

    Achso Firewall. Die VLAN Isolation legt natürlich Regel an, aber scheinen nicht zu funktionieren. Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

    Ha - geht nicht

    PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert .

    Bei gehts. WAS hast du sonst für Regeln die davor stehen und die Kommunikation schon erlauben ?

    Zitat von gierig

    Bei gehts. WAS hast du sonst für Regeln die davor stehen und die Kommunikation schon erlauben ?

    Keine, alles auf Standard. keine weitere Regel oder sonst was.


    (Habe das Spiel, wie ich schrieb, schon länger. Hatte alles so konfiguriert wie ich wollte. Dann ging das Testing los und die "Fehler" traten auf. Ich dachte ich habe was falsch gemacht (was ich weiterhin nicht ausschliesse).

    Also (BackUp) Factory Reset, kleine Testumgebung anlegen, praktisch alles auf Standard / Out of the Box belassen, naja der Rest steht oben.

    1. Also deine beiden Win10 PCs können sich nicht anpingen, weil die Windowsfirewall per Default keinen Ping aus anderen Subnetzen erlaubt.

    2. Du kommst auf die Gateway IPs, weil die in der Firewall unter LAN_LOCAL laufen und LAN_IN da keine Rolle spielt.


    Im Wiki steht wie es funktioniert.

    Hallo, allen einen schönen Feiertag. Wie angedroht kommen gleich die Screenshots. Noch schnell antworten auf:

    Zitat von DoPe

    1. Also deine beiden Win10 PCs können sich nicht anpingen, weil die Windowsfirewall per Default keinen Ping aus anderen Subnetzen erlaubt.

    2. Du kommst auf die Gateway IPs, weil die in der Firewall unter LAN_LOCAL laufen und LAN_IN da keine Rolle spielt.


    Im Wiki steht wie es funktioniert.

    Zu 1.: Die habe ich natürlich ausgeschaltet. Das habe ich auch in den Screenshots mit abfotografiert. Wenn ich die HW Firewall teste, ist es für mich selbstverständlich, dass ich die SW Firewall deaktiviere. Ist doch sonst wohl auch recht sinnlos der Test.


    Zu 2.: Ja klar. Ich habe es der Vollständigkeit wegen aufgelistet UND weil ich die L3-Netzwerkisolierung (ACL) testen wollte. Die funktioniert sogar, und das ohne (automatisch) angelegte LAN Local Regel. Aber egal, ist nicht das Thema, aber nettes Future.



    Also im nächsten Post bringe ich die Screenshots, in der Hoffnung, dass jemand Zeit und Lust hat sich das anzuschauen und Feedback zu geben.


    Ich werde anschliessend ein Ticket bei Unifi eröffnen.


    Anschliessend werde ich das Tutorial umsetzen.


    Dann gibt es von meiner Seite Feedback, ob die FW Regeln im Tutorial bei mir funktionieren. (Was sie eigentlich sicher tun sollten.)

    Beide PCs in unterschiedlichen VLANs


    Alle FW Regeln auf Standard. Ausser die eine, die ich später erstellt habe, weil die "Netzwerkisolation" seitens Unifi nur bedingt funktioniert.


    Globale Netzwerkeinstellungen.


    Das default Netzwerk. hier ist die UDM und der Switch drin.


    Das VLAN 1


    Das VLAN 2


    Die selbst erstellt Regel, um die beiden VLANs an der Kommunikation untereinander zu hindern (SMB).


    PC 1 mit ipconfig + Ping sowie der Zugriff per SMB auf PC 2. Ping wird geblockt, SMB Zugriff möglich.


    PC 2 mit demselben wie für PC 1 (Bild davor)


    PC 1 SW Firewall -> alles deaktiviert.


    PC 2 SW Firewall -> alles deaktiviert.

    Joa, da bin ich wieder. Ich habe das Tutorial umgesetzt, nicht bis zum Ende, aber so das die VLANS isoliert sein sollten. Und was soll ich sagen, ich kann weiterhin per SMB über die VLAN Grenzen hinweg von einem PC auf den anderen und anders herum zugreifen.


    Was ist hier los. :thinking_face::upside_down_face:


    Die erstellten Regeln -> Übersicht


    Die IP Gruppe


    Die "Erlauben" - Regel


    Die "Erlauben" -Regel von default / admin zu VLANs


    Die "Verboten" -Regel VLAN 1 zu VLAN 2



    Ehrlich, ich bin maximal verwirrt.

    Vielleicht könnte jemand das ganze bei sich mal ausprobieren, die diese Blocks haben. ABER bitte denkt daran


    - eure SW Firewalls zu deaktivieren

    - 2 PC mit entsprechenden Netzwerk Freigaben in unterschiedlichen VLANs (mit Block Regel)

    - NICHT NUR den Ping testen, der ist bei mir auch geblockt, Es soll ja schliesslich gar kein Protokoll durchkommen.


    Vielen Dank.

    Sorry für die vielen posts, aber ich probiere ein paar sachen aus. Ist der letzte, dann warte ich, ob ihr ideen habt.


    Ich habe mal

    - die 1. Regel (allow established/related sessions) deaktiviert -> keine Auswirkungen

    - die PCs direkt an die UDM bei gleichen VLANs auf den Ports wie am Switch -> keine Auswirkungen

    - Unifi HW komplett aus wieder an -> nichts verändert

    - IP Gruppe um 192.168.0.0/24 erweitert (ja is Quatsch) -> nichts verändert.


    Ich kann machen was ich will, per SMB können die PCs "Quatschen".


    Ich sehe noch 3 Möglichkeiten

    1. Ich bin blind!

    2. Ich bin dumm und verstehe gar nichts.

    3. Unifi hat ein Problem.


    So ich warte und mache was anderes.