VLAN Isolation

Es gibt 42 Antworten in diesem Thema, welches 4.222 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Moin, wenn ich deine Screenshots richtig interpretiere, machst du nur die Regeln bei "LAN IN"?

    Hast du dir im Wiki auch mal alle Firewallregeln richtig durch gelesen, dort sind mehrere zur Auswahl und bei allen gibt es auch Regeln für "LAN LOAKL".

    Führe dir bitte auch mal die Funktionsweise der Unifi Firewall zur Verfügung. Nicht ohne Grund gibt es dort "in","out" und "lokal".

    Ich denke da liegt der Hund begraben, weil vlt zu Oberflächlich gelesen oder umgesetzt.

    Und du hast eine UDM wenn ich richtig gelesen habe, dann schau dir auch die Traffic Regeln zusätzlich an, wo du auch noch extra sperren und zulassen kannst.

    Falls du aber auch Regeln für "LAN LOKAL" hast dann sehe ich sie auf diesem Screenshots nicht.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Einmal editiert, zuletzt von Naichbindas ()

    Hi danke für deine Antwort. Ich denke, was ich jetzt schreibe, werden auch andere bestätigen, es MUSS LAN IN sein! So ist es auch im Tutorial beschrieben. Weiterhin ist es so von anderen, auch You Tubern beschrieben. Ich kann die Funtion der Regel mit dem Ping Befehl auch bestätigen. Habe ich die Regeln nicht geht auch der Ping durch.


    Aslo kann das ganze nicht ganz so verkehrt sein. Weiter ober in meinen posts habe ich das auch gemacht mit Lan local. Schau mal was daruf geantwortet wurde. Im Tutorial wird lan lokal nur für die Gateways eingesetzt.


    Aber ich probiere es. melde es gleich.

    geht auch nicht. ist ja auch logisch, die lan local regel haben eine niedrigere Prio wie lan in. und unfi erstellt ja schon unveränderbare regeln, das die lans sich sehen.

    Firewall-Regeln____old!!!! by EJ


    wo siehst du hier etwas zur Auswahl?

    Sorry, aber ich glaube du kennst unifi nicht. Ich kann nur MEINE Regeln bearbeiten. Die traffic regel sind von unifi und man kann die nicht bearbeiten.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: 3 Beiträge von knolte mit diesem Beitrag zusammengefügt.

    Zitat von knolte

    Joa, da bin ich wieder. Ich habe das Tutorial umgesetzt, nicht bis zum Ende, aber so das die VLANS isoliert sein sollten. Und was soll ich sagen, ich kann weiterhin per SMB über die VLAN Grenzen hinweg von einem PC auf den anderen und anders herum zugreifen.


    Was ist hier los. :thinking_face::upside_down_face:

    Also wenn ich richtig lese und du hier schreibst das 2 PC´s über VLAN Grenzen hinweg das können, dann ist das so weil deine jeweiligen Gateway´s von den anderen VLAN´s erreichbar sind.

    Zu deiner Aussage ich kenne die Regeln nicht, doch ich kenne sie, und nun zu deiner Frage was ich sehe.

    Dann hier das Regel 4 „block IoT to all GW“ und das Regel 5 „block guest to all GW“ .

    Das steht bei Firewall-Regeln___old!!!! by EJ-
    Selbst bei Defcon seinen Regeln gibt es solche Regeln er sperrt auch die VLAN´s untereinader aus im LAN LOKAL.

    Also bitte wenn du schon Hilfe erwartest dan bitte auch mal was annehmen und versuchen es um zu setzen, wen du es aber besser weist dann lass es wie du es machen willst und gut ist, dan brauchst du ja nicht zu fragen.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    So war das nicht gemeint! Nochmals sorry.


    Schau mal:


    Zitat von Networker

    Kann man aus der Ferne und ohne Screenshots nicht wirklich beurteilen. LAN Out ist auf jeden Fall falsch.

    Außerdem weißt Du sicher selbst: Bei Firewall-Regeln reicht ein falsches Zeichen und sie bewirkt nichts oder sogar das Gegenteil. :smiling_face:


    Auch für Dich gilt natürlich: Erstelle Blockregeln Any-->Any und baue Dir einen Satz an Allow-Regeln obendrauf, wenn Dir die Logik lieber ist.

    Und das aus dem Tutorial:


    Die nachfolgende Regel unterbindet die Kommunikation zwischen den Subnetzen (VLAN’S).


    Regel 3 „block all communication between VLANs“


    SETTINGS>Routing & Firewall>FIREWALL>LAN IN>CREATE NEW RULE


    Name>>>block all communication between VLANs


    Action>>>Drop


    Source Typ>>>Address/Port Group


    IPv4 Address Group>>>all private IP-ranges RFC1918


    Destination Type>>>Address/Port Group


    IPv4 Adress Group>>>all private IP-ranges RFC1918


    >>mit Save abspeichern<<

    Ich kann die Kommunikation unterbinden und trotzdem die Gateways erreichen. oder wie? Habe ich einen Denkfehler :thinking_face:

    Der Vollständigkeit halber:


    Das steht im Tutorial noch dazu:


    Wir haben mit Regel 3 die Kommunikation der Subnetze untereinander eingeschränkt. Geräte können sich über die Subnetz-Grenzen nicht sehen und auch nicht erreichen.


    Die Gateways der Subnetze sind jedoch noch aus den anderen Subnetze erreichbar.


    Beispiel: Von einem Gerät im LAN IoT (10.10.2.x) ist das Gateway des LAN 1 -Admin-LAN- (10.10.1.1) erreichbar. Somit auch USG oder UDM.


    Das wollen wir im nächsten Schritt unterbinden.


    Dazu definieren wir weitere Gruppen.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: 3 Beiträge von knolte mit diesem Beitrag zusammengefügt.

    Noch einmal LAN IN, LAN Out und LAN LOKAL sind keine Prioritäten sondern eigenständige Regeln.

    Du musst Regeln für die GATAWAY`S auch in LAN Lokal sperren, das ist ein eigenständiger Vorgang.

    Die Prioritäten sind und werden der Reihenfolge nach abgearbeitet in jeder einzelnen Rubrik.


    Die Regeln werden entsprechen dann angewendet für:

    In : Betrifft den Datenverkehr der aus dem Netzwerk kommt und über diese Schnittstelle für andere Netzwerke bestimmt ist,

    Out : Betrifft den Datenverkehr der aus andere Netzwerken stammt und über diese Schnittstelle für dieses Netzwerk bestimmt ist,

    Lokal : Betrifft den Datenverkehr der UDM / USG selbst.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Noch einmal LAN IN, LAN Out und LAN LOKAL sind keine Prioritäten sondern eigenständige Regeln.

    Du musst Regeln für die GATAWAY`S auch in LAN Lokal sperren, das ist ein eigenständiger Vorgang.

    Die Prioritäten sind und werden der Reihenfolge nach abgearbeitet in jeder einzelnen Rubrik.

    Ja das ist richtig. Die Lanloka werden aber NACH den Lan in gesetzt!


    Und im Tutorial wird die klar abgegrenzt von einander wie es hier steht.


    Wir haben mit Regel 3 die Kommunikation der Subnetze untereinander eingeschränkt. Geräte können sich über die Subnetz-Grenzen nicht sehen und auch nicht erreichen.


    Die Gateways der Subnetze sind jedoch noch aus den anderen Subnetze erreichbar.

    ABER bevor wir ewig diskutieren. Ich füge die GW Regel hinzu und teste.

    Regel erstellt:


    So sieht es auf dem rechner aus:

    Wie du siehst: GW kann nicht erreicht werden. Per SMB kann ich trotzdem auf den anderen Rechner zugreifen!

    Und hier auch nochmal klar kommuniziert!


    DER Ping wird GEBLOCKT -> Super.


    ABER


    SMB wird nicht geblockt.


    Ich denke das problem liegt nicht an der Regel selbst.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: 3 Beiträge von knolte mit diesem Beitrag zusammengefügt.

    Ok du hast dir das nicht richtig durch gelesen. Wen du seine Firewallregeln umsetzt, dann schau dir das nochmal genauer an.

    Welche Gruppen er erstellt hatt und wie er die Regeln dann umgesetzt hatt. Deine Regel wie du sie erstellt hast wird da nicht funktinieren.

    Zu dem was Networker sagt ist vollkommen richtig, dort sagt er auch in LAN Out ist das falsch.

    Wir reden hier jetzt aber LAN Lokal, das ist was ganz anderes.

    Aber in LAN In wird halt zwar für jedes VLAN ein sagen wir mal Laienhaft ein eigener Raum geschaffen.

    Stell dir vor du hast ein Haus.

    VLAN sind dann die Räume, und die Tür zwischen den Räumen ist dann LAN IN.

    Auch wenn die Tür zu ist heist das nicht das sie nicht wieder geöffnet werden kann.

    Erst mit LAN Lokal wir die Tür auch abgeschlossen.

    Erst eine Kombi aus Tür zu machen undabschliessen wird was draus.

    Also bitte nochmal genau die Regeln lesen wenn du die von EJ umsetzen willst.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Hey, danke.


    Aber ich habe die Regel doch so umgesetzt, siehe bildl.


    Ich habe lediglich nicht die Gruppe angelegt. Die ist auch nicht wichtig, schon gar nicht bei zwei vlans.


    Und das die regel funktioniert siehst du doch im Hintergrund im Browser. Ich kann die 192.168.20.1 NICHT aufrufen.


    Ich versichere dir, dass der Ping (Bild kommt nochmals), nicht durchgeht.


    Aber du siehst auch, dass ich per smb / Netzwerkwerfreigabe den anderen PC erreiche.

    hier nochmals das Bild:


    GW NICHT erreichbar. :check_mark_button:


    PING wird geblockt. :check_mark_button:


    SMB funktioniert. :check_mark_button:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von knolte mit diesem Beitrag zusammengefügt.

    ok, ja das habe ich an. habe es mal bei unifi aus gemacht. test kommt gleich.

    Hey, du bist der, auf den ich gewartet habe. VIELEN DANK.


    (Auch wenn wir wohl erstmal aneinander vorbeigeredet haben :upside_down_face: )

    1. IPv6 bei Unifi (global) aus -> ging weiterhin per SMB
    2. Bei beiden Rechnern in den Adapteroptionen der Netzwerkarte IPv6 ausgeschaltet. Dann Unifi neugestartet, PCs neugestartet. -> Es ist per SMB geblockt!

    ENDLICH. Und ich hatte Recht, der Fehler lag bei mir :face_with_rolling_eyes: . Aber ganz ehrlich, darauf wäre ich nicht gekommen, dass die per IPv6 miteinander "quatschen". Der Hammer.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von knolte mit diesem Beitrag zusammengefügt.

    Zitat von knolte

    ENDLICH. Und ich hatte Recht, der Fehler lag bei mir

    Mhhh....


    VLAN Isolation tut was sie soll. Es werden Block Regel' für IPv4 und Ipv6 erstellt.

    Aber scheinbar nur wenn in dem VLAN auch IPv6 an ist. Sonst gibt die Felgen nicht.

    Trotz IPv6 aus haben der Router aber LinkLocale IPv6 an dem VLAN Interface...


    Das ist suboptimal und würde ich als BUG bezeichnen weil er einen in falsche Sicherheit wiegt.


    Aktiviere IPv6 auf den VLAN (in UniFi) und es sollte auch so mit VLAN Isolation gehen.


    da haben wir dann wieder die Mangelhafte IPv6 Unterstützung bei Unifi..

    Um meinen initialen Post / Anfrage abzuschliessen:


    Ich hatte ja bei der Konfiguration meinerseits zu Beginn die neue Einstellung "Netzwerk isolieren", welche jetzt seitens Unifi, bei Netzwerkerstellung, zur Verfügung steht, gewählt.


    Diese funktioniert ebenfalls und trennt die VLANs sicher voneinander ab. Ich habe nochmal alle FW Einstellungen gelöscht und habe bei den VLANs den Haken Netzwerk isolieren gesetzt. So kann man sich das anlegen einiger FW Regeln sparen (geschieht dann automatisch durch Unifi). Es lag auch hier an der IPv6 Einstellung.


    Bei der Einstellung "L3-Netzwerkisolierung (ACL)", bin ich vorsichtig. Die Funktioniert zwar, aber eingeschränt. Hier ist es abhängig davon was man benutzt, welche Switche, UDM, USG usw.. Unifi weisst darauf auch hin. D.h. wer die GW anderer VLANs blocken will, der sollte die Regeln im Tutorial dafür anwenden.


    Ich danke allen, die versucht habe das Problem zu lösen.

    IPv6 kann ich nicht einzeln in den VLANs de- aktivieren, geht nur global.


    nicht mal in der alten oberfläche, die wollte ich eigentlich auch weiterhin nutzen, aber schaut mal, hier geht nix mehr in den FW Einstellungen (bei der neuesten App Version).



    zumindest auf der UDM SE und USG 4p. kann nicht mal mehr beim regel erstellen zw. lan in, lan lokal etc. wählen.


    die alte Oberfläche wird wohl bald aussterben.

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von knolte mit diesem Beitrag zusammengefügt.

  • knolte

    Hat den Titel des Themas von „VLAN Isolation“ zu „VLAN Isolation [gelöst]“ geändert.

  • razor

    Hat das Label von offen auf erledigt geändert.

  • razor

    Hat den Titel des Themas von „VLAN Isolation [gelöst]“ zu „VLAN Isolation“ geändert.
    Zitat von Networker

    Das ist definitiv falsch. In jedem Subnetz gibt es Einstellungen für IPv6. Wenn man dort den Interface Type auf "None" stellt, wird IPv6 nicht benutzt.

    Hi, kannst du das näher beschreiben, wo das sein soll. Ich habe zwei Screenshots gepostet. Der erste ist von einem VLAN, da sehe ich nichts von Interface Type oder IPv6.

    Der zweite zeigt die globalen Netzwerkeinstellungen, wo ich nur IPv6 an oder aus schalten kann, was dann aber für alle VLANs gilt.


    Hat Unifi das ggf. geändert? Ich habe die neuste Appversion v(.1.127.


    Danke.

    Ich meine auch, was soll das bei den VLAN Einstellungen? Wenn ich eine IPv4 Adressraum vergebe, warum sollte IPv6 dann aktiv sein.


    Gibt es bei IPv6 überhaupt sowas wie VLANS? Kenne mich damit überhaupt nicht aus, ausser das ich weiss, das jedes Device eine einzigartige Adresse hat (und die immer gleich ist?).



    Appversion v 8.1.127 (vertippt)

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von knolte mit diesem Beitrag zusammengefügt.

  • knolte

    Hat den Titel des Themas von „VLAN Isolation“ zu „VLAN Isolation [gelöst]“ geändert.
    Zitat von knolte

    Gibt es bei IPv6 überhaupt sowas wie VLANS?

    VLANS sind erstmal ein L2 Gebilde zum erstellen von in sich geschlossen Netzwerken besser Broadcast.

    die sich nicht sehen oder interagieren können. Ob da nun IPv4, Ipv6, IPX/SPX, Appletalk, PPPoE drüber läuft

    der L2 Schicht herzlich egal.


    WENN Ipv6 Global aktiviert ist hast du in JEDEM Vlan den


    Schalter um beide Protokolle zu konfigurieren und ein L3 Interface damit auf das Gateway zu bringen.

    NUR wenn Ipv6 auch an ist werden Blick regeln dafür eingebunden die greifen wenn "Port Isolation" bei ipv4

    eingeschaltet wurde. (wie gesagt das ist keine gute art das so verwirrend zu machen, aber UniFi und IPv6....)

    Zitat von gierig
    WENN Ipv6 Global aktiviert ist hast du in JEDEM Vlan den

    Schalter um beide Protokolle zu konfigurieren und ein L3 Interface damit auf das Gateway zu bringen.

    NUR wenn Ipv6 auch an ist werden Blick regeln dafür eingebunden die greifen wenn "Port Isolation" bei ipv4

    eingeschaltet wurde. (wie gesagt das ist keine gute art das so verwirrend zu machen, aber UniFi und IPv6....)

    Ah ok. ich hatte global schon aus und damit habe ich es bei den VLAN Einstellungungen nicht mehr gesehen.


    Jetzt verstehe ich auch einen Post von dir gestern besser :face_with_rolling_eyes::grinning_face_with_smiling_eyes: . Oh man. Ändert leider nichts an der schlechten Umsetzung seitens Unifi, wie du gestern geschrieben hast, aber fürs Verständnis sehr hilfreich, auch bezüglich IPv6 in VLANS.


    Wobei ich mich davor hoffentlich noch lange drücken kann. :winking_face:


    Vielen Dank.

    Zitat von knolte

    Kenne mich damit überhaupt nicht aus, ausser das ich weiss, das jedes Device eine einzigartige Adresse hat (und die immer gleich ist?).

    Dann ist leider das einzige, was Du darüber weißt, auch noch falsch. :winking_face:

    Es gibt bei IPv6 ebenso wie bei v4 statische und dynamische Adressen. Was man verwendet, hängt an der eigenen Konfiguration und dem Tarif beim Provider. Dann gibt es auch noch ULAs, die wiederum nichts mit Deinem Provider zu tun haben...


    Für Exkurse in Welt von IPv6 solltest Du Dir aber besser ein gutes Buch kaufen und Zeit mitbringen. In diesem Thread lässt sich das nicht sinnvoll abreißen.


    Darüber hinaus gilt natürlich alles, was gierig hier zuletzt schrieb.

    Na super, immer dieses gefährliche Halb- bis gar nicht Wissen. :grinning_squinting_face: . Wie gesagt, ich hoffe ich brauche es noch lange nicht. Das mit dem Buch ist nen guter Tipp. Vielen dank.

  • razor

    Hat den Titel des Themas von „VLAN Isolation [gelöst]“ zu „VLAN Isolation“ geändert.