DNS Auflösung trotz über Firewall separierte VLANs

Hallo Leute,

ich habe hier ein kleines Problem und hoffe ihr könnt mir helfen.

Zur gegebenheit: DreamMachine Pro SE, Pro Aggregation, Enterprise XG24 Switche,

Vorhanden sind 3 VLANs: default, Internet, Isoliert,

Ich habe einige Firewall sowie ACL Regeln gesetzt die die 3 VLANS Separieren (in anlehnung auch an das Firewall Wiki hier). Über VLAN "default" darf auf die Unifi Oberfläche zugegriffen werden. Alle Geräte unter "Internet" können auf das Internet zugreifen und alle Geräte im VLAN "Isoliert" haben keinen zugriff auf das Internet und auch nicht auf die VLANS "Internet" und "Default". Dies klappt schon wunderbar.

Jedoch bis auf die DNS Auflösung! Rufe ich zb. im Isoliert VLAN über ein Terminal "ping web.de" auf, wird die IP adresse von web.de aufgelöst und dargestellt. Der Ping selbst schlägt fehl. Dies möchte ich ebenfalls unterbinden.

Ich habe IP Gruppen erstellt die die Gateways umfassen sowie die VLANS selbst. Auch das "Default" VLAN wurde in den Gruppen angelegt. Als erstes wurden die Admin Clients für den Zugriff auf die Unifi Oberfläche berechtigt, anschließend die Netze Separiert und der Zugriff auf die Gateways.

Leider lösen die Clients immer wieder DNS Adressen auf.

Wenn jemand einen Tip hat, würde ich mich über Antworten freuen.

Danke schon mal für die schnellen Antworten.

Also die UDM SE macht bei mir DNS. Sie ist über den WAN Port mit dem Modem Verbunden und löste in den VLANS jeweils die Clients auf. Das ist auch gewollt.

Was ich nicht möchte ist das im "Isoliert" VLAN jegliche Internet Verbindung besteht. Lokaler DNS kann da gerne Funktionieren und ist auch gewollt. Nur halt nicht die Auflösung von Internet IP´s. Zb. zeigt Windows anhand des NetzwerkSymbols in der Taskleiste die Internet Verbindung. Dann ist dort ein kleiner Computer zu erkennen. Gewüscht ist die Welt Kugel die bedeutet: Kein Internet. Und natürlich die Ping oder nslookup funktion. Das darf nicht.

Mir würde auch eine kurze Anleitung helfen in der Firewall Regeln beschrieben werden womit ich ein VLAN komplett vom Internet und anderen VLANs Separiere.

Screenschotd der bestehenden Firewall Regeln kann ich leider nicht bereitstellen. Sry.

Hi,

ich hab die Lösung gefunden!

Ich hab bei folgender Firewall Regel bei Typ "LAN In" anstelle von "LAN Lokal" ausgewählt.

-LAN In (Falsch)

-Block

-All

-Quelle: Netz "Isoliert"

-Ziel: IP Gruppe "Gateways"

Nun klappt alles wie gewünscht. Sogar die DNS Auflösung innerhalb des "Isoliert" VLANs.

Vielen Dank für die hilfe!

Hi,

also das "Isoliert Netz" ist für einen, sagen wir "Kunden". Dieser könnte zb. eine Lokale Brandmeldeanlage mit Zentrale, Sensoren und Signalen haben die nicht mit dem Internet Verbunden werden dürfen oder sollen. Auch Updates werden nicht benötigt. Nur weil einem selbst keine Notwendigkeiten einfallen, heist es nicht, das es sie nicht gibt.

Und zur frage warum hier nicht einfach ein kleiner Switch installiert wird, möchte ich sagen, das ganze könnte ja über mehrere Etagen, Technikräume, Gebäude gehen. Warum dann nicht die vorhandene VLAN Technik nutzen?! Blöd nur wenn die Pauschal alles mit allem Verbindet.

Ich hab nun die Firewall settings weiter angepasst. Richtig zufrieden bin ich jedoch nicht. Ich kann halt nur blocken was ich kenne. Offene schlupflöcher werden hier schnell übersehen. Auch wenn ich ein mega Fan der Unifi Technik bin, sehe ich die umgedrehte Firewall Politik eher kritisch. Man muss schon wissen wie das alles Funktioniert und alles auch richtig einstellt.

PS: Eure Wiki, die ich schon vorher mir zu gemüte führte, ist klasse!

Zitat von Networker

Auch hier kann ich mich nur wiederholen: Du kannst diese Logik mit einer einzigen Regel (Block any/any to any/any) umkehren, wenn Dir whitelisting lieber ist.

Vielen Dank für den Tip! Sowas einfaches hab ich gesucht!

Zitat von swag

Lan in sind Verbindungen aus dem Netzwerk die dann weitergeleitet werden.

Lan local sind die Verbindungen aus dem Netzwerk die auf der Firewall local ankommen. Daher local. Sie gehen nicht ins internet sonder zu port die auf der Firewall laufen. Z.B. DHCP , DNS

Die Firewall ist ja auch Teil des Netzwerkes.

Thema

Firewall für Einsteiger

Hallo,

ich möchte mich nun endlich mal mit dem Thema Firewall auseinander setzen.

Ich hab zwei VLANs - eins für IoT-Gerätschaften und eins für "richtige" Geräte.
Nun haben manche "Smart Home"-Geräte ja eine Weboberfläche oder App zur Konfiguration.

Wie muss ich bei der Firewall vorgehen, wenn ich vom "Haupt-VLAN" aus auf eine IP-Adresse mit Port aus dem IoT-VLAN zugreifen möchte?
Läuft das über Static Routes, Firewall oder Port Forwarding?
Was ist der Unterschied zwischen "LAN IN", "LAN OUT" und "LAN…

Troubadix

22. April 2022

Du kannst aber das VLan auch als 3rd party Netzwerk konfigurieren dann hat das Gateway gar kein Interface zum VLAN. (Das VLan wird dann nur auf den switchen konfiguriert)

Alles anzeigen

Auch Hier Vielen Dank! Ich werde mir das mal anschauen.

Zitat von razor

Hi,

müsste es nicht reichen alles (was zusammen gehört) in ein VLAN zu packen und dann dem gesamten VLAN den Zugriff zu blockieren? Dann kann doch kein neues und noch unbekanntes Gerät aus diesem VLAN dieses verlassen. Dafür müssen aber die VLANs korrekt auf allen Switchen konfiguriert sein, damit das geht - is klar.

So habe ich das natürlich auch gemacht. Hat soweit auch alles geklappt. Nur wurde die DNS Auflösung irgendwie weiter gereicht. Also waren meine Regeln Block to Gateway oder Block to other VLAN irgendwie so das eine nslookup anfrage durch ging. Und WIndows regelt wohl genauso das Netzwerksymbol. Denn dieses zeigte plötlich "Internet" an obwohl alles geblockt wurde. Und ich kann da schlecht Argumentieren: "Da ist kein Internet auch wenn das Angezeigt wird!". Ich bin keiner von den Handwerkern die sagen, Ach, das kuckt sich weg!

Zitat von Tomcat

Das ist ja nicht abwegig - im Gegenteil, sondern eher sogar normal.

Ich würde z.b. auch nicht wollen, das meine Alarmanlage oder Kameras im Haus munter ins Internet sprechen könnten, also kommen die in eine extra VLAN welches abgeschottet ist und nur das freigeschalt wird, was auch notwendig ist.

Und für Updates kann man passende Lösungen finden, z.b. wie es in Firmen gemacht wird, das Proxy's genutzt werden.

Ich machs so:

- eigene VLAN dafür

- alle Geräte darein mit fester IP-Zuweisung über DHCP-Reservierung

- bei mir dann nutze ich Aliase um Geräte-Gruppe ( alle Kameras ) mit ihren IP's zu bündeln

- diese Alias nutze ich dann für Firewall-Regeln. Der Vorteil von Aliases ist, ändert sich mal die Gruppe, z.b. weiter Kamera dazu, braucht man nur den Alias ändern und nicht jede Firewall-Regel einzeln.

- dann eine FW-Regel block any/any

- und was freigeschaltet wird kommt den dazu, z.b.

Alias der Kameras darf sendent ins VLAN-Server auf die IP des Videorecorders
Alias meiner privaten Geräte ( Notebook ) darf ins VLAN der Kameras nur auf die IP's der Kameras zugreifen , z.b. für Konfigurationen

Ich bin nicht sicher, ob Unifi genauso arbeitet aber im Normal ist bei Firewall-Regeln immer die Reihenfolge wichtig, "first match", welche Regel zuerst zutrifft, wird gemacht, alles dahinter ignoriert. Daher gehört eine Block any/any Regel immer ans Ende der Liste.
Unifi hat aber die dumme Eigenart, erst mal allen Traffic zu erlauben und nicht wie jede "normale" Firewall erst mal alle Traffic zu blocken und nur das erlauben, was auch per Regel freigeschaltet wird. Daher ist eine Block any/any am Schluss eigentlich nicht nötig, nur doppelte Sicherheit, falls man vorher was verbockt hat

Alles anzeigen

Ich werde mir am Wochenende mal eine Liste machen mit Regeln wie ich sie mir vorstelle. Genau wie du beschrieben hast, am Ende alles blocken, Am Anfang die Admin Clients alle erlauben und dazwischen VLANs Trennen und co. Das alles natürlich mit Gruppen. Und ich hoffe nächste Woche schaffe ich das mal dies Live zu testen.

Ich werde berichten!

Zitat von DoPe

Was machst Du denn jetzt gerade, wenn nicht live testen?

Und ich hoffe Du bist gar kein Handwerker ... und ich würde mit Sicherheit nicht die Windows Erkennung von Internet oder nicht Internet heranziehen um zu glauben was das anzeigt.

Weil das System aktuell nicht Online ist! Und das mit der Internet Anzeige erklähr mal dem Betreiber der nicht so Technisch versiert ist! Diese Diskussion möchte ich auf jedenfall Vermeiden. Dies war mit dem Handwerkervergleich Ironisch gemeint. Ich wollte damit keine Handwerker schlecht machen.

Aber auch hier scheint es so als könntest du dir so etwas nicht vorstellen. Zum zweiten male gefällt mir dein lesbarer Unterton irgend wie nicht. Auch hilft dein Inhalt erneut nicht weiter. Ich frag hier nach Tips und Hilfe und du Trollst nur rum... Beantworte doch bitte woanders. Danke!