Wer wie was und wie schaut's aus ?
Geräte selber stehen nicht einer Zone. Es sind VLANs die einer Zone Zugeordnet sind und dann alle Geräte in diesem VLAN
Trifft. VLAN kann du entweder in Networks selber in eine andere Zone schieben
oder
bei der Firewall auf die einen Klicken um da die Zuordnung zu ändern.
(bei den ohne Schloss)
In der Zone EXTERNAL dürften eigentlich nur die WAN Verbindungen sein.
Wenn da was anders auftaucht.... denke das du dann gleich nen Ticket aufmachen kannst.
Das währe Verkehrt... aber zeig mal genau was du meinst nicht das ich dich falsch verstehe,
Den Rest must d dir die Reglen anschauen, teilweise je nach dem was du vorher hattest gibt es
ggf für alle Kombinationen Reglen die erstellt wurden . Ich hatte z.B eine Erlaube ICMP von extern
für ALLE extern nach adere Zonen drinnen für IPv6. Da wolle ich aber nur das von Extern nach Internal.
Musste also ein paar "Doppel" selber löschen
Es sieht so aus:
Viele Regeln steh in der Zone Intern und Extern haben beide die gleiche ID.
Wild... Deine ganzen VLAN sind Offensichtlich alle in der gleichen Zone (internal)
Klick oben drauf dann siehst du das. Denke das der "Ich Konventiere nach TBF" hier dann auch
Doppel und dreifach Dinge anlegt.
Das müsste man Reglen für Reglen auseinander Dividieren
Ich denke ich würde Tabulrasa machen alles und abreißen und dann meine VLAN in neue
Zonen packen und dann ein neues Regelwerk Schaffen
Zu beachten dann Natührlich
https://help.ui.com/hc/en-us/artic…-Based-Firewall
da steht eigentlich alles. Und die Readme von dem Release wo auch noch ein paar hinweise stehen.
Zone Gateway gemeint?
Das ist die gateway Selber.. Also die VLAN IP, DHCP Server, DNS (wenn der benutzte wird) oder auch das Webinterface der UDM
Das ist grob das was vorher "Local" war.
Eigentlich JA, ist halt ein leicht anders Konzept mit einer zusätzlichen Schicht der Abstraktion.
Konzept selber ist ja auch nicht neu andere Hersteller machen das Seit Jahrzenten
inklusive UI mit der EDGE Router Reihe was witzig ist den in Theorie könnte das alte USG
das auch da es auf EDGE os bzw. vyatta basiert (weis aber nicht ob die Uralt USG schon neu genug war)
Ohh man das sieht ja erstmal wild aus. Irgendwie hab ich aktuell keine Muse auf den Migrationsknopf zu klickern ...
In den Changelogs stand doch auch irgendwas von doppelt und mehrfach angelegten Regeln nach dem Migirieren ?!?
Hab zum Glück nur zwei Vlans, da ging das. Aber sonst wird das wirklich wild.
Scheine mal mit Faulheit einmal Erfolg zu haben und muss also nichts erst migrieren, sondern gleich von Grund auf aufbauen
Da gibt leider ein Bug bei der ZBF, die Geräte im lokalen Netzwerk sind über IPv6 über Internet erreichbar. Da wird leider nichts geblockt. Habe an dem UI-Support gemeldet. Habe dann IPv6 ausgeschaltet, bis der Bug gefixt ist.
Da gibt leider ein Bug bei der ZBF, die Geräte im lokalen Netzwerk sind über IPv6 über Internet erreichbar. Da wird leider nichts geblockt. Habe an dem UI-Support gemeldet. Habe dann IPv6 ausgeschaltet, bis der Bug gefixt ist.
Kann ich nachvollziehen... hab auch grade meine Meinung ins UI forum gekippt...
Lol gut zu wissen, dann muss ich nachher mal IPv6 deaktivieren... war so geisteskrank und hab doch den Knopf gedrückt. gut das ich noch alte deaktivierte Firewallregeln drin hatte... die sind jetzt etwas öfter vorhanden und ich hab mehr zum löschen
Jetzt habe ich gerade alles neu gemacht inkl. v6 und dann das.
Reicht es nur im WAN IPv6 abzuschalten oder in allen Netzen?
Auf WAN sollte eigentlich reichen.
Ja, einfach IPv6 auf WAN ausmachen...Dann ist erstmal alles gut.
Aber so ist das mit Beta Zeugs.. auch wenn DAS ne sehr heiße Kartoffel ist...
Ja kann man nur auf Device Firewalls hoffen...
Der Adressraum bei v6 ist ja zum Glück gigantisch groß und somit aktuell und vermutlich auch in Zukunft unscannbar.
Trotzdem ist dies natürlich ein übler Fehler, der nie passieren dürfte und der das Vertrauen in die IPv6-Kompetenzen bei Ubiquiti weiter untergräbt.
der nie passieren dürfte und der das Vertrauen in die IPv6-Kompetenzen bei Ubiquiti weiter untergräbt.
Ja das das durchgerutscht ist is wirklich ne Nummer....aber auch nein... Weil EA Version,
nicht für Produktion auch wenn "wir" es immer wieder tun und quasi solange den Reload Button Kloppen bis das
Update angeboten wird.
Stimmt schon, EA ist nur für die Verrückten (also uns) und selbstverständlich sind Bugs nicht nur möglich, sondern höchstwahrscheinlich.
Ich bin kein Entwickler und mir fehlt vermutlich die Phantasie und das Wissen, um den Sachverhalt genau genug einschätzen zu können. In meiner Vorstellung hat da halt einfach jemand eine "deny all" Regel gelöscht und vergessen, sie wieder hinzuzufügen. Dies sollte in meiner Welt auch bei EAs nicht passieren, denn selbst auf Prereleases schauen ja hoffentlich immer mehr als zwei Augen.
Aber wie gesagt, meine Vorstellung von solchen Prozessen ist mit ziemlicher Sicherheit unterkomplex.
Don’t have an account yet? Register yourself now and be a part of our community!
