Unser neues Haus mit ein paar Anfängerfragen

Es gibt 122 Antworten in diesem Thema, welches 6.863 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    • Neu
    Zitat von Dany250

    So hab ich es mit jedem meiner VLANs angestellt, erst mal mit Regeln alles blocken und dann Stück für Stück freigeben was ich brauche


    Zitat von Dany250

    Und kann es sein, dass ich das dann für jedes VLAN getrennt sperren muss

    Ich fürchte, hier besteht ein grundsätzliches Missverständnis: Es braucht genau eine Regel, um jeglichen Traffic zwischen VLANs zu blockieren. Diese muss im Regelwerk unterhalb der "Erlauben"-Regeln stehen, eine Firewall arbeitet die Regeln von oben nach unten ab.

    Google-Stichwort: block inter vlan traffic


    Zitat von Dany250

    Gibts irgendwie als Nutzer einen Unterschied zwischen den beiden VPN Varianten?

    Wireguard ist effizienter und die Verbindungen somit schneller.



    Zitat von Dany250

    Ich bekomm es mit den IP Gruppen nicht gewuppt. Selbst wenn ich eine erfolgreich (wobei schwer zu überprüfen, sagen wir ich konnte Sie erstellen), lässt sich damit keine Firewallregel erstellen.

    Woran genau scheitert es denn? Du gibst als IP Group lediglich die Netzmaske an, die Du schon beim erstellen des Wireguard-VPN-Servers angegeben hast...

    • Neu
    Zitat von Networker

    Ich fürchte, hier besteht ein grundsätzliches Missverständnis: Es braucht genau eine Regel, um jeglichen Traffic zwischen VLANs zu blockieren. Diese muss im Regelwerk unterhalb der "Erlauben"-Regeln stehen, eine Firewall arbeitet die Regeln von oben nach unten ab.

    Google-Stichwort: block inter vlan traffic

    Das habe ich schon verstanden und auch so umgesetzt. Ich blockiere die VLANs jeweils mit einer Regel, (Beispiel "VLAN ARBEIT" darf nicht zu "VLAN Zuhause" und "VLAN IoT"). Vereinzelt lass ich dann einzelnen Geräte wieder Zugang zu manchen Dingen. Ich hoffe stark das ist so richtig, denn in der Praxis klappt das genau so bei mir.


    Zitat von Networker

    Woran genau scheitert es denn? Du gibst als IP Group lediglich die Netzmaske an, die Du schon beim erstellen des Wireguard-VPN-Servers angegeben hast...

    Ich habe die Gruppe wie folgt erstellen können

    Typ: IPv4-Adresse/Subnetz

    Straße: 192.168.X.0/24

    Ist das so richtig? Die von mir eingegebene Hostadresse für das VPN lautet 192.168.X.1.


    Mit einer "Einfachen"-Regel habe ich als Quelle nur die einzelnen VLANs oder alle einzelnen Geräte zur Auswahl, hier kann ich die IP-Gruppe gar nicht auswählen. Und sobald ich die "Erweiterte"-Regel nutze kann ich nicht bequem die einzelnen VLANs blocken, sondern kann immer nur eins auswählen, die Regel lässt sich dennoch nicht speichern.


    Mein Ziel soll sein, dass ich über das VPN erst mal gar nichts machen kann. Ich möchte wenn alles gesperrt ist einzelne Geräte dafür freigeben, so wie ich es mit den VLANs auch gemacht habe.

    • Neu

    Bitte google wie oben genannt nach "block inter vlan traffic" in Verbindung mit Unifi. Damit erstellst Du eine einzige Regel für das Blocken sämtlicher VLANs. Dein Konstrukt ist unnötig aufwändig.

    Außerdem erstellst Du, wenn Du der Anleitung folgst, ein Firewall-Objekt, welches sämtliche VLANs umfasst, somit musst Du dann auch nicht jedes VLAN einzeln für VPN verbieten, sondern kannst auch dieses über eine einzige Regel lösen.