VLAN Isolation

Hallo an alle. Ich sitze vor meiner UDM und verzweifle bezüglich der VLAN Isolation

. Mittlerweile seit über zwei Wochen, habe Videos geschaut und in Foren gelesen - leider keinen Schritt weiter. Ihr seit meine letzte Hoffnung.

Zu meinem (Test-) Setup:

- UDM SE

- US-8 60W

Das ist mein Test-Setup! Derzeit läuft bei mir noch aktiv die USG 4 pro + CK Gen2+ + US-24 PoE Pro + diverse kleinere Switche (zb Flex Mini u.ä.). Wenn mein Test Setup (Controllereinstellungen) läuft soll das USG + CK Gen2+ durch die UDM SE ersetzt werden.

Zu meinem Problem:

Ich habe verschiedene VLANs, beschreibe es hier an zwei VLANs.

1) Mgmt Lan (UDM + Switch, 192.168.1.1) -> hier ist ein Notbook (Linux)

2) 192.168.10.1, ID 10 -> hier ist ein Notbook (Win10 pro)

3) 192.168.20.1, ID 20 -> hier ist ein Notbook (Win10 pro)

Zu 1): Alles Standard, nichts verändert.

zu 2): Alles auf Standard + VLAN Isolation

zu 3): Alles auf Standard + VLAN Isolation

Funktioniert, kein Ping geht durch, dachte dachte ich und fand die neue Einstellung super,

ABER (1): Die Gateways der anderen VLANS kann ich aufrufen.

ABER (2): Die beiden Win 10 PCs haben Netzfreigaben (Ordner), denke per SMB macht das Windows. UND auf die kann ich easy zugreifen von dem jeweils anderen Win PC über VLAN Grenzen hinweg - TROTZ VLAN Isolation - HÄÄÄÄÄÄÄÄÄÄ????

Na gut. Habe diese Einstellung auch aktiviert "L3-Netzwerkisolierung (ACL)" und angegeben 192.168.10.0/24 zu 192.168.20.0/24 und umgedreht natürlich auch.

- kein Ping geht durch, logisch

- jetzt kann ich auch die jeweils anderen Gateways nicht aufrufen (ausser 192.168.1.1 auch doof).

- Das ABER (2) ist aber immernoch da! Die Netzwerkfreigaben der Windows PCs können weiterhin über die VLAN Grenzen hinweg, sich sehen, Dateinen tauschen.

Zu meiner Frage, bzw. zu meinem Wuschziel:

Ich habe ein paar VLANs die vollkommen isoliert sein sollen (Kammeras, IoT, DMZ, VLAN meiner Tochter). Ich will auch kein Multicast o.ä., also wie physisch getrennte Netzwerke. Klar, später will ich auf die DMZ (UnRaid Server mit fixer IP) aus 2 VLANs zugreifen. Das wollte ich dann über Firewall Regeln lösen.

Achso Firewall. Die VLAN Isolation legt natürlich Regel an, aber scheinen nicht zu funktionieren. Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

Ha - geht nicht

PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert

.

Hat jemand nen Tipp, oder nen weiteren Ansatz. Ich bin mir ziemlich sicher, dass ich das Problem bin, aber mein Kopf kreiert einfach keine neuen Ideen

.

Vielen Dank im voraus.

Hallo, danke für deine Antwort. Ja habe ich. Obwohl dieser leider nicht mehr ganz aktuell ist (zb. alle VLANS blocken - dafür hat Unifi die Einstellung VLAN Isolation implementiert!). Wie ich geschrieben habe, habe ich über eine FW Regel versucht, die Netzwerke von einander zu trennen, leider ohne Erfolg.

Ich meine: Was verstehst du unter VLAN ISOLATION!? Und L3-Netzwerkisolierung (ACL)!?

OK, mal ander. Wer von euch hat ein VLAN von anderen getrennt? Sicher hat das jemand - DMZ lässt grüssen - aber wie? UND habt ihr das überprüft? Und wie habt ihr es überprüft? Der Ping wird ja geblock, aber SMB scheinbar nicht.

Wenn ich zu einem anderen Hersteller gehe, (mal abgesehen davon, dass die von vorherein VLANs isolieren) , da geht nichts - wirklich NICHTS durch.

Hi, vielen Dank. Ja, das ist mir bewusst. Ich habe auch lange überlegt, ob ich openSense o.ä. nehme. Wollte aber den Komfort

von Unifi - alles auf einer Oberfläche.

Nunja, ich möchte aber nicht über "hätte, hätte, Fahradkette" diskutieren, sondern, wie ich bei Unifi die VLANS isoliert bekomme.

Ich meine (von der IP-Adress-Anzahl mal abgesehen), WOZU sollte ich sonst VLANS anlegen?! (Liebe Leute von Unifi!).

Also, ich bitte euch wirklich um Hilfe. Ich bin im Unifi Forum, ich habe eine UDM - ich denke die Diskusion, ob Cisco, Mikrtek, oder OpenSense usw. hilft mir nicht.

Irgendwie muss das doch gehen - auch bei Unifi. Ich werde doch nicht das dunkle Geheimnis von Unifi aufgedeckt haben, nähmlich, dass sie uns nur verarschen.

Hey Networker, vielen Dank. Ich hatte gehofft, dass ich die FW Regeln nicht alle benötige und es mit einem Häckchen lösen kann

. Also ich werde (wie im Tutorial beschrieben) mal die "globale" FW Regel (RFC1918) + IP-Group) einrichten. Heute schaffe ich das nicht mehr, aber hey, wozu sind Feiertage da

.

Aber jetzt, da du es schreibst, eigentlich hätte ich sowas in den FW Regeln von Unifi erwartet, ich meine es wird ja eine Regel angelegt, wenn VLAN Isolation ausgewählt wird.

Trotzdem schade, dass Unifi bei solchen Basics noch immer kämpft (scheinbar).

Ok ich melde mich am Donnerstag wieder, wenn ihr hoffentlich feiern seid.

Quote from knolte

Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

Ha - geht nicht

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Click here to display external image.

PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Click here to display external image.

.

Fällt mir gerade ein. Warum geht den diese Regel nicht. Die ist zwar nicht "global", aber sie untersagt doch definitiv die Kommunikation zw. den zwei VLANS.

Quote from Networker

Wie gesagt, es ist sehr gut möglich, dass dieses Feature nicht funktioniert wie es sollte. Um das final zu klären solltest Du aber mit Ubiquiti Kontakt aufnehmen und denen Logs schicken.

Ja, das mache ich, du hast Recht.

Quote from Networker

Kann man aus der Ferne und ohne Screenshots nicht wirklich beurteilen. LAN Out ist auf jeden Fall falsch.

Außerdem weißt Du sicher selbst: Bei Firewall-Regeln reicht ein falsches Zeichen und sie bewirkt nichts oder sogar das Gegenteil.

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Click here to display external image.

Screenshots kommen. Werde das Donnerstag posten. Hatte gehofft, dass das bekannt ist und ich doof, deshalb wollte ich mal anfragen (weil es das Thema auch nicht wirklich gibt).

Bezüglich LAN OUT, ja natürlich hast du Recht, das war pure Verzweiflung -> Das habe ich geschrieben:

Achso Firewall. Die VLAN Isolation legt natürlich Regel an, aber scheinen nicht zu funktionieren. Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

Ha - geht nicht

PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert .

Also, für Heute vielen Dank. Ich werde am Donnerstag meine Einstellungen posten, ein Ticket bei Unifi eröffenen und ich werde die Unifi "VLAN Isolation" und "L3-Netzwerkisolierung (ACL)" deaktivieren und somit euer Toturial nachbilden.

Ich bin gespannt . . . und wenn du/ihr Recht habt, dann weine ich für Unifi

Quote from gierig

Bei gehts. WAS hast du sonst für Regeln die davor stehen und die Kommunikation schon erlauben ?

Keine, alles auf Standard. keine weitere Regel oder sonst was.

(Habe das Spiel, wie ich schrieb, schon länger. Hatte alles so konfiguriert wie ich wollte. Dann ging das Testing los und die "Fehler" traten auf. Ich dachte ich habe was falsch gemacht (was ich weiterhin nicht ausschliesse).

Also (BackUp) Factory Reset, kleine Testumgebung anlegen, praktisch alles auf Standard / Out of the Box belassen, naja der Rest steht oben.

Hallo, allen einen schönen Feiertag. Wie angedroht kommen gleich die Screenshots. Noch schnell antworten auf:

Quote from DoPe

1. Also deine beiden Win10 PCs können sich nicht anpingen, weil die Windowsfirewall per Default keinen Ping aus anderen Subnetzen erlaubt.

2. Du kommst auf die Gateway IPs, weil die in der Firewall unter LAN_LOCAL laufen und LAN_IN da keine Rolle spielt.

Im Wiki steht wie es funktioniert.

Zu 1.: Die habe ich natürlich ausgeschaltet. Das habe ich auch in den Screenshots mit abfotografiert. Wenn ich die HW Firewall teste, ist es für mich selbstverständlich, dass ich die SW Firewall deaktiviere. Ist doch sonst wohl auch recht sinnlos der Test.

Zu 2.: Ja klar. Ich habe es der Vollständigkeit wegen aufgelistet UND weil ich die L3-Netzwerkisolierung (ACL) testen wollte. Die funktioniert sogar, und das ohne (automatisch) angelegte LAN Local Regel. Aber egal, ist nicht das Thema, aber nettes Future.

Also im nächsten Post bringe ich die Screenshots, in der Hoffnung, dass jemand Zeit und Lust hat sich das anzuschauen und Feedback zu geben.

Ich werde anschliessend ein Ticket bei Unifi eröffnen.

Anschliessend werde ich das Tutorial umsetzen.

Dann gibt es von meiner Seite Feedback, ob die FW Regeln im Tutorial bei mir funktionieren. (Was sie eigentlich sicher tun sollten.)

Beide PCs in unterschiedlichen VLANs

Alle FW Regeln auf Standard. Ausser die eine, die ich später erstellt habe, weil die "Netzwerkisolation" seitens Unifi nur bedingt funktioniert.

Globale Netzwerkeinstellungen.

Das default Netzwerk. hier ist die UDM und der Switch drin.

Das VLAN 1

Das VLAN 2

Die selbst erstellt Regel, um die beiden VLANs an der Kommunikation untereinander zu hindern (SMB).

PC 1 mit ipconfig + Ping sowie der Zugriff per SMB auf PC 2. Ping wird geblockt, SMB Zugriff möglich.

PC 2 mit demselben wie für PC 1 (Bild davor)

PC 1 SW Firewall -> alles deaktiviert.

PC 2 SW Firewall -> alles deaktiviert.

Joa, da bin ich wieder. Ich habe das Tutorial umgesetzt, nicht bis zum Ende, aber so das die VLANS isoliert sein sollten. Und was soll ich sagen, ich kann weiterhin per SMB über die VLAN Grenzen hinweg von einem PC auf den anderen und anders herum zugreifen.

Was ist hier los.

Die erstellten Regeln -> Übersicht

Die IP Gruppe

Die "Erlauben" - Regel

Die "Erlauben" -Regel von default / admin zu VLANs

Die "Verboten" -Regel VLAN 1 zu VLAN 2

Ehrlich, ich bin maximal verwirrt.

Vielleicht könnte jemand das ganze bei sich mal ausprobieren, die diese Blocks haben. ABER bitte denkt daran

- eure SW Firewalls zu deaktivieren

- 2 PC mit entsprechenden Netzwerk Freigaben in unterschiedlichen VLANs (mit Block Regel)

- NICHT NUR den Ping testen, der ist bei mir auch geblockt, Es soll ja schliesslich gar kein Protokoll durchkommen.

Vielen Dank.

Sorry für die vielen posts, aber ich probiere ein paar sachen aus. Ist der letzte, dann warte ich, ob ihr ideen habt.

Ich habe mal

- die 1. Regel (allow established/related sessions) deaktiviert -> keine Auswirkungen

- die PCs direkt an die UDM bei gleichen VLANs auf den Ports wie am Switch -> keine Auswirkungen

- Unifi HW komplett aus wieder an -> nichts verändert

- IP Gruppe um 192.168.0.0/24 erweitert (ja is Quatsch) -> nichts verändert.

Ich kann machen was ich will, per SMB können die PCs "Quatschen".

Ich sehe noch 3 Möglichkeiten

1. Ich bin blind!

2. Ich bin dumm und verstehe gar nichts.

3. Unifi hat ein Problem.

So ich warte und mache was anderes.