DNS Auflösung trotz über Firewall separierte VLANs

Es gibt 8 Antworten in diesem Thema, welches 250 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    • Neu

    Hallo Leute,


    ich habe hier ein kleines Problem und hoffe ihr könnt mir helfen.

    Zur gegebenheit: DreamMachine Pro SE, Pro Aggregation, Enterprise XG24 Switche,

    Vorhanden sind 3 VLANs: default, Internet, Isoliert,

    Ich habe einige Firewall sowie ACL Regeln gesetzt die die 3 VLANS Separieren (in anlehnung auch an das Firewall Wiki hier). Über VLAN "default" darf auf die Unifi Oberfläche zugegriffen werden. Alle Geräte unter "Internet" können auf das Internet zugreifen und alle Geräte im VLAN "Isoliert" haben keinen zugriff auf das Internet und auch nicht auf die VLANS "Internet" und "Default". Dies klappt schon wunderbar.


    Jedoch bis auf die DNS Auflösung! Rufe ich zb. im Isoliert VLAN über ein Terminal "ping web.de" auf, wird die IP adresse von web.de aufgelöst und dargestellt. Der Ping selbst schlägt fehl. Dies möchte ich ebenfalls unterbinden.


    Ich habe IP Gruppen erstellt die die Gateways umfassen sowie die VLANS selbst. Auch das "Default" VLAN wurde in den Gruppen angelegt. Als erstes wurden die Admin Clients für den Zugriff auf die Unifi Oberfläche berechtigt, anschließend die Netze Separiert und der Zugriff auf die Gateways.


    Leider lösen die Clients immer wieder DNS Adressen auf.


    Wenn jemand einen Tip hat, würde ich mich über Antworten freuen.

    • Neu

    Moin,


    erstmal herzlich willkommen im Forum


    ohne mehr details und aus der Glaskugel sag ich mal deine UDMPSE macht DNS ?

    Da die Clients nicht ins Internet kommen bleibt das ja eigentlich nur übrig

    In dem fall block VLAN isoliert den Zugriff auf das Gateway auf port 53.


    Wie gesagt mal son Schnellschuss


    Wenn du uns die Firewall regeln screenshottest können wir genauer schauen

    Mein Projekt

    • Neu
    Zitat von TopperHarley101

    Jedoch bis auf die DNS Auflösung! Rufe ich zb. im Isoliert VLAN über ein Terminal "ping web.de" auf, wird die IP adresse von web.de aufgelöst und dargestellt. Der Ping selbst schlägt fehl. Dies möchte ich ebenfalls unterbinden.

    Wozu, es reicht doch das die nicht in Internet kommen.


    DNS wird ja von den Geräte auch benötigt, wenn diese interne Adressen auflösen müssen, z.b. IoT-Geräte Daten an einen Server senden wollen im Netz.

    Daher halte ich das für eher semioptimal, DNS ganz zu blocken.


    Es sei den, du baust dir einen extra DNS-Server für dein internes Netz, welcher nur interne Adressen auflöst. Aber ehrlich, mir wäre das zuviel Aufwand auch bei der Pflege.

    • Neu

    Danke schon mal für die schnellen Antworten.

    Also die UDM SE macht bei mir DNS. Sie ist über den WAN Port mit dem Modem Verbunden und löste in den VLANS jeweils die Clients auf. Das ist auch gewollt.

    Was ich nicht möchte ist das im "Isoliert" VLAN jegliche Internet Verbindung besteht. Lokaler DNS kann da gerne Funktionieren und ist auch gewollt. Nur halt nicht die Auflösung von Internet IP´s. Zb. zeigt Windows anhand des NetzwerkSymbols in der Taskleiste die Internet Verbindung. Dann ist dort ein kleiner Computer zu erkennen. Gewüscht ist die Welt Kugel die bedeutet: Kein Internet. Und natürlich die Ping oder nslookup funktion. Das darf nicht.


    Mir würde auch eine kurze Anleitung helfen in der Firewall Regeln beschrieben werden womit ich ein VLAN komplett vom Internet und anderen VLANs Separiere.

    Screenschotd der bestehenden Firewall Regeln kann ich leider nicht bereitstellen. Sry.

    • Neu

    Die DNS Auflösung ist bei der lokal,


    Clients fragt UDMPSE und die dann den vorgelagerten DNS wenn sie die Adresse nicht kennt.

    Die Antwort kommt aber immer von der UDMPSE also Lokal - das heißt nicht das der client die Adresse aus dem internet bekommt


    wie gesagt blocke port 53 aus den internen netzen (die ohne Zugang) zur UDMPSE


    Anleitung für Firewall regeln findest du im Wiki hier auf der Seite

    Mein Projekt

    • Neu

    Hast Du mal versucht, im betreffenden Netzwerk den Haken bei "allow internet access" zu entfernen?


    Ansonsten zu DNS: DNS unterscheidet prinzipiell nicht zwischen der Auflösung interner und externer Adressen. Ein einziger DNS-Server kennt in der Regel aber nur entweder oder.

    • Neu

    Hi,


    ich hab die Lösung gefunden!

    Ich hab bei folgender Firewall Regel bei Typ "LAN In" anstelle von "LAN Lokal" ausgewählt.

    -LAN In (Falsch)

    -Block

    -All

    -Quelle: Netz "Isoliert"

    -Ziel: IP Gruppe "Gateways"


    Nun klappt alles wie gewünscht. Sogar die DNS Auflösung innerhalb des "Isoliert" VLANs.


    Vielen Dank für die hilfe!

    :thumbs_up:

  • TopperHarley101

    Hat das Label von offen auf erledigt geändert.
    • Neu

    Hallo Hot-Shots-Fan und willkommen an Board :ship: ! :grinning_squinting_face:


    Ich habe mich sehr gefreut, als ich Deinen Nick las TopperHarley101 . :red_heart:

    Könntest Du uns mitteilen, warum das so gewünscht ist, auch wenn das Thema für Dich erledigt ist:

    Zitat von TopperHarley101

    Gewüscht ist die Welt Kugel die bedeutet: Kein Internet. Und natürlich die Ping oder nslookup funktion. Das darf nicht.

    Warum soll der Host nichts auflösen können, wenn er der das Ziel doch so oder so nicht erreichen kann? Was ist der Vorteil bei dieser Konfiguration? Ich sehe es so, dass die Sicherheit durch Kenntnis öffentlicher Adressen nicht sinkt oder anderherum nicht steigt durch Unkenntnis der IP-Adresse von z.B. Amazon. Wenn ich nicht hin komme ist der Sicherheit doch genüge getan oder nicht? DNS brauche ich doch meist so oder so.

    Wie bekommen denn die Systeme in dem Netz Updates für z.B. das Betriebssystem - falls es überhaupt Hosts in diesem Netz gibt? Oder hast Du trotz des Labels PRIVAT lokale Spiegelserver für Windows- und Linux-Updates? :thinking_face:


    Fragen über Fragen... :winking_face: