Bestimmte Apps für VPN Clients (Wireguard) sperren

    Hallo zusammen,

    habe heute erstmals Wireguard auf der UDM SE ausprobiert. Die Integration ist sehr gut gelungen und einfach wie ich finde.

    Allerdings ist mir in der Sektion der Firewallregeln aufgefallen, dass ich für VPN Clients keine expliziten APPs sperren kann, da das VPN Netz nicht zur Auswahl steht, sondern nur die Netzwerke, die im Bereich Netzwerk angelegt sind. Das Netzwerk in Wireguard wird ja unter VPN eingerichtet und taucht wie gesagt für die besagte Firewallregel nicht auf.

    Das Thema hat keine Prio sonder ist rein interessehalber.

    Vielleicht hab ich ja auch nur etwas übersehen.

    UDMPRO, 8Port PoE 150 Watt, AP-ACPro, Flex Mini 5Port Switch

    Hallo Zusammen,

    ich bin nach genau dieser Lösung auf der Suche. Ich möchte gerne einzelnen VPN-Clienten untersagen, gewisse Segmente im LAN-Bereich aufzurufen.

    Ich habe jetzt schon mehrere Varianten ausprobiert, aber irgendwie funktioniert das alles nicht im Bereich "Traffic- und Firewall-Regeln".

    Im vorherigen OpenWRT habe ich Firewall - Traffic Rules pro Client erstellt und LAN-Segmente erlaubt und ganz am Ende eine Drop-Regel.

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

    Ich hatte das gestern Abend genau so auch hinbekommen (mit Hilfe vom UI.com-Chat), man kann die Geräte damit gut im LAN regulieren. Das einzige was man nicht kann, ist die VPN-Clienten von der Internetnutzung zu "befreien", dass liegt aber an der Unifi Software; laut deren Service. Es wurde als Feedback zur Verbesserung aufgenommen.

    Damit der Wireguardserver auf der UDM Pro auf der öffentlichen WAN-IPv6-Adresse erreichbar ist, muss unter "Traffic & Firewallrules" eine Regel hinzugefügt werden:

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

    Das sie über den VPN nicht auf das Internet zugreifen können. Ich möchte beispielsweise nicht, dass die Mitarbeiter über den VPN Ihren gesamten Traffic schicken. Sondern nur die Netze, die im Firmennetz genutzt werden.

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

    Und dazu hat Dir der UI-Support geantwortet, das ginge nicht und man würde einen feature request aufnehmen? Kann ich mir irgendwie kaum vorstellen.

    Ganz trivial: Im Wireguard Client unter "allowed IP" einfach nur die Netze eintragen, auf die Zugriff bestehen soll. Fertig ist das split tunneling.

    Quote from Networker

    Ganz trivial: Im Wireguard Client unter "allowed IP" einfach nur die Netze eintragen, auf die Zugriff bestehen soll. Fertig ist das split tunneling.

    Moment, aber der Client kann doch jederzeit seine Config editieren

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

    Meinst du jetzt im UDM pro Interface?



    Oder bist du wirklich im Desktop-Wireguard-Client? Ersteres ist doch für Remote-Netz beim Client.

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

    Ich rede von einem Computer, den Du einem Mitarbeiter als VPN-Arbeitsplatz zur Verfügung stellst. Dieser Mitarbeiter hat ja hoffentlich keine Admin-Rechte auf dem Gerät und zumindest unter Windows ist es so, dass man dann im Wireguard-Client keine Änderungen vornehmen kann. Daher kann er auch keine Configuration des Tunnels ändern.

    Doch haben sie

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    bislang habe ich da noch keine passende Lösung gefunden. Zumal Linux und MacOS auch wieder seine eigenen Spielregeln hat.

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

    Ok, dann hast Du aber an dieser Stelle ein deutlich höheres Sicherheits-Risiko als dadurch, dass ein Mitarbeiter seine Wireguard-Client-Einstellungen verändern könnte.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ist natürlich eine nicht so schöne Konstellation.

    Quote from git

    Das sie über den VPN nicht auf das Internet zugreifen können. Ich möchte beispielsweise nicht, dass die Mitarbeiter über den VPN Ihren gesamten Traffic schicken. Sondern nur die Netze, die im Firmennetz genutzt werden.

    Quote from Networker

    Und dazu hat Dir der UI-Support geantwortet, das ginge nicht und man würde einen feature request aufnehmen? Kann ich mir irgendwie kaum vorstellen.

    Ganz trivial: Im Wireguard Client unter "allowed IP" einfach nur die Netze eintragen, auf die Zugriff bestehen soll. Fertig ist das split tunneling.

    Quote from git

    Moment, aber der Client kann doch jederzeit seine Config editieren

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Jupp, das habe ich bisher auch nur so lösen können, dass das am Client zu konfigurieren ist.

    Und wenn es sich um keine verwaltete Umgebung handelt - wie bei meinen 3 LAN-2-LAN-Verbindungen und wenigstens eine mRoadWorrior, dann geht das nicht ohne Weiteres am Server zu limitieren.

    Quote from DoPe

    Lese mal hier drüber.

    https://www.andysblog.de/wireguard-client-unter-windows

    Das werde auch ich mir ansehen.

    Also ich nutze erst mal weiter den OpenWRT mit Wireguard-Paket, bis dieses Thema seitens UniFi gelöst wurde

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ist zwar nicht ganz mein Wunschszenario nach Wechsel auf die UDM Pro Max, aber sei es drum.

    UDM Pro Max - UniFi-OS 4.0.21 - Netzwerk 8.6.9

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login