Problem mit Inter- & Intra-VLAN-Routing: "Nachbargeräte" nicht erreichbar

Moin zusammen, ich sitze mitten in meiner VLAN-Migration und suche mir seit Tagen einen Wolf - Foren, Reddit, nicht einmal ChatGPT konnten mir helfen. Ich habe die gängigen Firewall-Regeln, welche auf sämtlichen Websites, in den meisten Videos und auch hier im Forum vorgeschlagen werden, konfiguriert. Entweder habe ich aber einen Denkfehler (darüber wäre ich noch am glücklichsten 😉), oder meine Netzwerk-Anwendung verhält sich ein wenig komisch. Hier vorab ein paar Infos zu meinem Netzwerk:

Netze:

Firewall-Regeln:

"Allow" ganz oben in der Liste

"Block" als vorletzte "Before Predefined" Regel (darunter ist nur noch eine Regel, welche bestimmten IOT-Geräten den Internetzugriff gewährt)

Sonst gibt es KEINE weitere, von mir festgelegte Block-Regel, lediglich Allow-Regeln

In den jeweiligen Einstellungen der Netzwerke werden nur VLAN 50 und 60 vom Rest isoliert, 90 ist als Gast gesetzt. ACL-Richtlinien sind aktuell keine festgelegt.

Eigentliches Problem:

Ich kann in keinem der VLANs mit anderen Geräten im gleichen VLAN kommunizieren, solange die "Block Local Networks" Regel aktiv ist. Deaktiviere ich diese, läuft es - allerdings auch über die VLANs hinaus. So wie ich das aber gelesen und verstanden habe, sollte die Intra-VLAN-Kommunikation davon unberührt bleiben. Oder muss ich durch diese Regel nun für sämtliche Verbindungen, teils für In- und Outbound-Verbindungen von Geräten/Applikationen im selben VLAN eine Firewall-Regel erstellen? Hier nochmal die automatisch erstellten Regeln, vielleicht sieht jemand mit mehr Erfahrung ja dort einen Fehler:

Vielen Dank schon mal fürs Lesen!

Grüße

Hi Networker , danke

Hier die Gruppe und auch nochmals die ACL Settings:

Ich habe mittlerweile herausgefunden, dass primär Docker Container, sowie die Interfaces des Unraid Servers betroffen sind.

Sprich Server -> Docker oder Docker -> Docker machen Probleme. Server hat 2 NICs und sitzt jeweils in VLAN 10 & 20, Docker Netzwerke laufen mit macvlan. Alles andere habe ich nochmal getestet, bis auf dass ich einen saublöden Zahlendreher hatte durch die ganzen neuen IPs sieht das soweit gut aus.

Zum Thema Docker/Server habe ich folgendes in den Logs der UDMP gefunden:

Jun  6 01:02:34 DreamMachinePro [LAN_IN-D-20025] DESCR="Block Local Networks" IN=br10 OUT=br10 MAC=24:5a:4c:6f:f8:42:02:42:0a:00:0a:2e:08:00 SRC=10.0.10.46 DST=10.0.10.41 LEN=60 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=8080 DPT=52828 SEQ=3082550199 ACK=2325496358 WINDOW=43440 ACK SYN URGP=0 MARK=0

Interessanterweise versuche ich den Telnet-Befehl curl -i -v telnet://10.0.10.46:8080 von 10.0.10.41 zu 10.0.10.46:8080, und es sieht so aus, als ob die Antwort blockiert wird, nicht die Anfrage.

Zusätzlich habe ich das in den Insights gefunden:

EDIT: Mit folgenden Regeln klapps, die sollte ich ja bedenkenlos nutzen können oder?

Zitat von Tomcat

Wenn die UDM oder was du da nutzt, wie eine richtig Firewall arbeitet, dann würde mal die "Block all loacal networks" testweise ausschalten, wenns dann funktioniert wieder aktivieren und ans Ende der Liste setzen.

Bei Firewallregel heisst es immer "First match", alles was danach an Regeln folgt, wird ignoriert

Ist bereits so konfiguriert

Zitat von gierig

Richtig. Es gibt aber eine Ausnahme grade bei der UDM Pro/SE die die gerne übersehen wird.

Der 8 Port switch ist an die CPU geknüppelt, die beiden SFP und der WAN/LAN Port jeweils auch.

Wird hierüber ein VLAN geteilt wie z.B ein Client am Internen Switch der UDM ist und ein andere über

einen der Ports rechts. Dan werden die Ports in eine Bridge geschmissen pro VLAN

und damit über die CPU geführt um sie zu verbinden. Die Natur der dinge sorgt nun dafür das der Linux

Netfilter Code nun auch hier das weiterleiten der L2 Pakete beschränken kann und das auch anhand

ihrer L3 - L4 Informationen (IP/Protokoll/PORT).

Kurzfristige lösen "oben" eine Allow Regler für das VLAN selber also VON zu gleichen gleichen Bereich.

Ähnlich wie Default reglen. Oder halt Nach den Default Reglen wenns mit dem anderen Kram passt erst das

Blocken anfangen...

Ja ist so, da steckt 08/15 Iptables Chains Basiertes rules Set hinter.

Alles anzeigen

Zwischen Unraid Server und UDM steckt noch ein USW-Lite-8-PoE.

Die Kurzfristige Lösung habe ich wie oben erwähnt mal umgesetzt, damit funktioniert es aktuell.

Zitat von Naichbindas

Moin,

Versuche mal folgendes.

In den erlaube "etablierte / verbundene Sitzungen" Regel setze mal den Wert bei Quelle und bei Ziel den Punkt "Adress Group" auf "Any" und neustarten und dann nochmal versuchen. Kannst es ja hinterher wieder ändern wenn du es willst.

Dann noch eine Frage. Wenn ich das richtig sehe hast du zum Schluss eine Regel eingestellt für IOT Geräte das die ins Internet dürfen.

Hast du denen das vorher irgendwie vorher verboten? Denn eine entsprechende Firewallregeln hast du nicht eingerichtet. Wohl eher beim Netzwerk hast vlt internetzugriff erlauben den Haken rausgenommen. Wenn ja muss die Regel aber trotzdem noch vor der Blockregel geschoben werden.

Alles anzeigen

Mit Allow any habe ich es bereits probiert, auch da kein Erfolg.

Internet habe ich für IOT direkt im Netzwerk deaktiviert. Schiebe ich die "Allow to Internet" Regel vor die Block Regel, ist wieder alles offen. Vielleicht gibt es dafür aber auch eine elegantere Lösung als meine.

Hier nochmal alle meine Regeln:

Habe mal zwei Regeln erstell und das häkchen fürs Internet wieder gesetzt. Hiermit haben jetzt nur bestimmte Geräte Zugriff auf das Internet:

Ich denke, vorerst habe ich dann alles am laufen. Hier und da zickt zwar noch was, kann z.B. kein Bild vom 3D Drucker aus dem IoT VLAN empfangen, da muss ich aber erst nochmal weiter forschen.

Vielen Dank an alle!