Zugang zu den Gateways sperren

Moin,

Ich glaube ich sehe gerade den Wald vor lauter Bäume nicht. Vlt kann mir mal jemand auf die Sprünge helfen.

Ich habe mal zum Testen eine IOT Zone errichtet und dort ein VLAN plaziert.

Dieses VLan kommt ins Internet und kann Dhcp und so weiter.

Nur bekomme ich das nicht mehr hin, das ich diesem VLan verbieten kann auf alle anderen GW zu kommen.

Meine Regel dazu siehht folgendermaßen aus:

Ich habe es mit Profile / Network Objeckts probiert sowie mit IP Adressen. Nix hatt geholfen.

Ich meine es kann doch nicht so schwer sein ein VLAN in einer anderen Zone den Zugriff auf die anderen GW´s zu verbieten.

Setze ich aber solch eine Regel im "Internal" ein, dann funktioniert das sofort ohne Probleme.

Danke.

kaetho Danke so hatte ich das früher auch habe aber jetzt die TBF im Gange.

gierig Danke und das ist mir auch bekannt:

Gateway:

Zone, die für das Gateway selbst verwendet wird und standardmäßig auf alle anderen Zonen zugreifen darf.

Verwenden Sie diese Zone, um den Verwaltungsdatenverkehr zum Gateway zu steuern.

Ich habe in Internal das Unifi default Lan drinn, also das MGMT Lan Netzwerk.

Desweiteren hatte ich eine Zone angelegt die ich mal ein IoT genannt hatte , als Singlelzone in dem Fall.

Dort hinein ist mein IoT Vlan reingewandert.

Standard ist das jede neu erstellte Zone nicht mit anderen Zonen sprechen kann. Das ist ja auch so gewollt.

Brauchte dafür also keine extra Blockregel anlegen.

Habe dann für diese Zone eine Regel erstellt für external zum Internetzugang für die Zone zu bekommen und eine Regel für Gateway, damit DHCP funktioniert, weil sonst bekommt ein Client keine IP zugeteilt und zieht nur eine Apipa Adresse und für DNS.

Nach meinem Verständis wird das Blockieren des Unifi Webinterfaces doch ehemalig Lan Lokal, jetzt über Gateway geregelt.

Das funktioniert auch wenn sich die VLAN´s im Internal befinden.

Aber wenn das VLAN in einer anderen Zone ist halt nicht mehr.

Ich kann auch nur wie oben in der Abbildung zu sehen dann diese Zone unter Source wählen um dann das IoT Netzwerk auswählen zu können.

Daher die Regel von Zone IoT zu Zone Gateway.

Also ist das so wie ich gedacht habe falsch?

Du schreibst:

Wenn deine anderen VLAN in der Zone Internal sind.. dann eine reglen von

IOT nach Internal und dann verbieten..

Muss ich dann jetzt extra doch erst eine Regel erstellen als erlauben, von Zone IoT zu Zone Internat und dann eine verbieten von Internal was ja nicht geht, also dann von Zone IoT zu Zone Gateway als verbieten?

Habe ich dich da richtig verstanden?

Danke

gierig Moin, diese Regel ist eigentlich erstmal ganz banal.

Durch diese Regel bekommt das LAN bzw. VLAN überhaupt erst eine IP zugeteilt. Ist diese Regel nicht da zieht der Client keine IP sondern generiert eine Apipa Adresse.

Diese beiden Regeln hier:

Sollten eigentlich den Zugriff auf andere Gateway´s blockieren und mit der zweiten Regel den Zugriff auf das Webinterface des eigenen Gateways verbieten.

Leider erfolgt oder besser gesagt funktioniert das nicht. Ich kann aus diesem Netzwerk munter drauf los auf alle GW´s zugreifen.

Seit der Umstellung auf ZBF von Unifi ist ja automatisch Hotspot erstellt wurden und da drinn ist ja das Gastnetzwerk rein gekommen.

Dort ist es genau das gleiche. Alle GW´s sind ereichbar. Portal bzw Internet gehen garnicht erst im Gastnetzwerk, aber das ist eine andere Baustelle.

Hängt damit zusammen das noch keine Regel da ist, die das erlaubt. Aber seit der Umstellung ist vieles einfach weggefallen oder nicht mehr in Funktion.

Was mir aber aufgefallen ist, alles was im Internal drinn ist, das funktioniert alles weiterhin oder besser gesagt wie es soll.

Hier funktioniert es Problemlos. Ist aber ein VLAN in einer anderen Zone, dann kann ich gezwungendermaßen auch nur die Zone auswählen in der sich dieses VLAN befindent, dann gelten diese Regeln nicht mehr.

mfg

Wenn ich mir das ganze mal genauer ansehe, dann sind für so eine Zone eigentlich nicht viele Regeln.

Von Unifi ist eine etablierte Verbindung vorhanden, so kann ich schonmal auf diese Regel verzichten.

Weiterhin wird der invalid Traffic geblockt und der Rest blockt halt die von Jeder Zone zum IoT und umgekehrt alles ab, was ja auch so sein soll.

Das sind die Standard Regeln die mit dem Schloß davor.

Dazu sind dann nur meine zwei Regeln bisher die nur dazu dienen eine Verbindung zum Gateway herzustellen, sonst bekonnt das Netzwerk erst garkeine IP Adresse und eine damit das Internet erlaubt ist was über External geht.

Dazu kommen dann nur meine zwei Regeln noch wegen dem Gateway die nur im Internal funktionieren aber ansonsten in einer anderen Zone halt nicht.

Ich meine ich habe extra Gruppen angelegt dort sind die GW´s hinterlegt.

Vom logischen sollte doch diese Regel greifen.

Quote from gierig

Da scheint das System noch nicht zu wissen das die IP zum Gatway gehört....

Das kann ich mir nicht vorstellen. Denn das Unifi LAN ist ja der Standard und dazu kann ich mir ja VLAN´s erstellen. Das GW im meinem Fall die UDM Pro weiss ja von dessen Netzwerken und dem wird auch die GW Adressen kennen. Ich meine es wird Regeln geben die das Reden von Zone zu Zone verbieten aber das daß System nicht weiss welche Netze da, glaube ich nicht so ganz, bzw das diese Adressen nicht verfügbar sein sollen.

Oder sollte Unifi das doch so streng trennen können in diesem Fall?

gierig So habe es dank deines Denkanstoßes hinbekommen. Wie oben schon erwähnt habe ich den Wald vor lauter Bäume nicht gesehen.

Schuld war auch das ich nicht ganz bei der Sache war oder zuviel zu kompliziert gedacht haben muss.

Fakt ist as ich immer noch zu sehr dabei auf die alten Firewallregeln eingefuchst war und dieses Wissen irgendwie da in die ZBF mit rein interpretiert habe.

Wie dieses denken das ich etablierte Verbindungen erst erlauben muss dann erstmal grundsächlich etwas erlauben und hinterher einzelnes zu beschneiden oder zu verbieten. All das brauche ich hier in der ZBF ja garnicht mehr so um zu setzen. Das mit dem spezifisch hatte ich so garnicht mehr auf dem Schirm gehabt und wolte dan unbedingt meine Gruppen einsetzen und die alten Firewallregeln irgendwie ins Format ZBF pressen.

Was mir aber auch aufgefallen ist das dieses Konzept noch ausbaufähig ist.

Wenn ich bei Internal schaue dann ist ganz oben allowed all auch bei VPN und DMZ, von vorne herrein schon. Aber legt man selber Zonen an diese sind unter internal aber alle auf Block all. Da fehlen dan zum Beispiel diese Allow All Traffic Regel. So dann dann alle auf grün wären.

So das Internal erstmal zugreifen darf auf die erstellten Zonen wie beim VPN und DMZ.

Na jedenfalls konnte ich schon mal ein paar alte Gruppen entfernen und alte Regeln löschen, was die ganze Sache schon etwas Übersichtlicher macht.

Danke dir nochmal für die Hilfe.

Quote from gierig

Die dan ALLES erlaubt was UNifi Denkt das es Gateway ist damit also auch andere IP...

Un wenn die Oben steht ist alles darunter eh egal...

Diese

erlaubt dan NUR DHCP...

Sollte so auch mit DNS gehen, geht aber nicht. Jedenfalls wenn der gerne AD Blocker an ist

dazu muss aktuell das 203.0.113.0/24 nach external erlaubt sein (IP is internal einer der DNS der a intern läuft)

Da scheint das System noch nicht zu wissen das die IP zum Gatway gehört....

Display More

Na so, wie es hier beschrieben wurde...

GMN2503 Ganz einfach weil Netzwerk isolieren nur das Netzwerk von den anderen Netzwerken abschirmen soll, nicht aber die GW die werden nicht blockiert damit.

Das benötigt wieder Regeln die dieses verhindern oder bestimmte Sachen Regeln sollen. In der neuen ZBF ist das dann noch ein wenig anders. Da musst du dann noch für die Zonen Regeln erstellen damit die überhaupt Internet bekommen oder auch nur DHCP ausführen können. Dazu benötigt es wiederum die IP Adresse des GW und eine Verbindung über das Gateway. Also regelt man es dort dem ensprechend. Gleiches hatt man auch mit der Firewall vor ZBF getan.

Also kurz gesagt Netzwerkisolierung schützt die GW nicht.

Ein GW auch Gateway genannt ist die Adresse eines Routers oder einer UCG oder UDM und so weiter.

Das ist auch die erste Netzwerkadresse eines Netzwerkes. Beispiele sind 192.168.178.1, 192.168.1.1, 192.168.2.1.

Das ist immer die Adresse die auch ein Client brauch um von einem DHCP Server eine IP zu bekommen. (Abweichungen sind möglich)

Das ist auch in der Regel die Adresse für DNS im Netzwerk. (Abweichungen sind möglich)

Und ein Gateway ist eine Schnittstelle zwischen Netzwerken und dem Privaten Bereich und dem bösen Internet.

Die ZBF ist die im Early Access vorhandenen Zonenbasierte Firewall.

Erstmal weil man es machen kann, daher tun wir das hier, zweitens ist eine Netzwerkisolierung lange noch nicht etwas was Safe ist, sondern nur eine einfache Sicherrung als erstes an sich.

Dann kommt noch dazu das man erreichen will das Geräte zwar ein Gateway haben um DNS und DHCP zu machen sonst würden die keine Verbindung zu irgendwas bekommen. Aber diese Geräte sollen halt nicht die Weboberfläche des GW erreichen können.

Wenn du also mehrere Netze aufgespannt hast, hast du auch mehrere Gateways.

Wenn du dann aus jeden Netzwerk die xxx.xxx.xxx.1 aufrufst kommst du immer auf deine Unifioberfläche.

Das ist aber unerwünscht. Selbst die 2FA schützt dich nicht hundert Pro dafor das da keiner drann kommt.

Sagen wir mal so du hast ein IoT Netzwerk und dort deine TV Geräte drinn.

Die sind leicht zu hacken weil die entdweder eine der billigsten eigenen FW´s haben oder erst garkeine.

Die Hersteller legen da erst garkeinen Wert an Sicherhheit als Maßstab,

Wenn also übers Internet einer deinen TV übernimmt, so kommt er dann auch auf dein Webinterface deines Unifisystems.

Und so kannst du die Geschichte weiter erfinden, was alles noch passieren kann.

Deshalb sperren wir sowas gerne ab. Vorsicht geht halt vor Nachsicht.

Du must das ja alles nicht tun wenn du das nicht willst.

Es zwingt dich dazu auch keiner, es dinet ja auch nur als Richtschnur für die jenigen die das aber brauchen können, oder sp ähnlich etwas anwenden wollen.