SMB Freigabe aus Fritzbox Netz zu UDM Pro Subnetz

    Hallo!

    habe mir nach einiger Zeit (und auch als Vorbereitung für mein eigenes zukünftiges Haus) folgende Komponenten zugelegt:

    • UDM Pro Max
    • 2x UAC 7 Pro Max
    • USW Pro Max 16 PoE

    Mein Hauptziel:

    • Gute bis sehr gute WLAN Abdeckung in der Mietwohnung
    • Im Büro sauber arbeiten zu können

    Problem jetzt:

    • Wir teilen uns einen Internetanschluss mit unseren Vermietern (VDSL 250, 1&1) der über eine FritzBox im Keller bereitgestellt wird
    • Port mit UDM Pro verbunden - alles fein, außer:
      • Zugriff auf unser NAS ist von unseren Vermietern aufgrund der Trennung der Netze nicht möglich, Bridge Modus der Fritzbox kann ich nicht einschalten weil sonst bei den Vermietern auch nix mehr geht bzgl. WLAN und/oder sie halt auch nicht auf UI Komponente nwechseln wollen (non-IT affin)

    Nachfolgend mal eine Skizze. Das Ziel sollte sein, dass die Clients aus dem Fritzbox Netz auf die UDM Pro SMB Freigabe des NAS können. Alles andere ist egal / brauche ich nicht freigeben für die Vermieter. Hatte an eine Portfreigabe des SMB Ports in der UDM Pro gedacht und dann weiterleitung auf das NAS - das sollte gehen oder? Hat jemand eine bessere Idee und ob / was das für Einfluss auf die IDS hat?

    Schönes Schaubild, wenn das mal alle hier so vorbildlich direkt mitliefern würden...

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from ap87

    Hatte an eine Portfreigabe des SMB Ports in der UDM Pro gedacht und dann weiterleitung auf das NAS

    Die Verbindungsanfrage Deiner Vermieter muss ja nicht nur durch Deine UDM, sondern auch durch die Fritzbox 7530 AX. Du wirst auf jden Fall mit statischen Routen arbeiten müssen, weil die 7590 Dein Netz hinter der UDM gar nicht kennen kann.

    Ob so eine doppelte Portweiterleitung funktionieren kann, bin ich mir gar nicht sicher und zugegebenermaßen verschafft es mir einen Knotem im Hirn, je mehr ich darüber nachdenke.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Wenn es die Kabelwege hergeben und Dein NAS noch eine freie Netzwerkschnittstelle hat, würde ich es direkt (zusätzlich) mit der 7590 Deiner Vermieter verbinden.

    Quote from ap87

    was das für Einfluss auf die IDS hat?

    Bei Portweiterleitungen wird auf jeden Fall die Firewall übergangen. IDS/IPS sollte es nicht beeinträchtigen, da bin ich mir aber tatsächlich auch nicht ganz sicher.

    Quote from Networker

    Bei Portweiterleitungen wird auf jeden Fall die Firewall übergangen. IDS/IPS sollte es nicht beeinträchtigen, da bin ich mir aber tatsächlich auch nicht ganz sicher.

    Das IDS wird nicht übergangen, das Lauscht an allen interface (/run/ips/config/iface.yaml)

    Portforwarding geht natürlich...

    Die Firewall wird auch nicht übergangen (wie auch). Es wird natürlich eine Regel angelegt, die den Traffic erlaubt. Das ist dann wohl aber auch gewollt.

    Könnte aber mit Mauelen Reglen davor natürlich noch eingeschränkt werden...(was wenig sinn macht, dann kann ich auch gleich

    bei der Portweitelreitung sagen das ich nur von a.b.c.d ne Weiterleitung wünsche)

    Quote from gierig

    Firewall wie auch nicht übergangen (wie auch).

    Ich bin wie immer geneigt, Dir zu glauben, hatte es aber so im Kopf, dass Portforwarding eine Funktion ist, die von der NAT ausgeführt wird und nicht von der Firewall. Du bist aber ganz sicher?

    Oder kann so etwas sogar herstellerabhängig sein, falls diese Funktionalität nicht aus den generellen Funktionsweise der Standards heraus entsteht?

    Ja bin ich.

    1. Die Firewall bei Unifi basiert (wie bei alll den anderen Linux Basierten Router Büchsen) auf den guten alten Netfilter Code des Kernels der bei Unifi immer noch über IPTABLES eingestellt wird (es gibt schon länger NFT den neuen Ansatz der auch im Kernel schon genutzt wird aber iptables als userspace ist noch weit verbreitet).
    2. NAT, gleich welcher Art (Source / Destination / PAT / etc), ist eine Funktion des Netfilter Codes zusammen mit dem Connection Tracking.
    3. Alles was NAT ist wir in der Netfilter Tabelle "NAT" gehandelt.
    4. Umgeschriebene Pakete für ein Port-Basiertes DNAT (Port forwarding) durchlaufen damit ganz automatisch auch die normalen Chain wo das "normale" Regelwerk abgehandelt wird.
    5. Das diagram ist eigentlich "zu komplex" aber zeigt wenigstens alles :

    Und weil es UniFi ist:

    Wenn du 'ne Portweiterleitung anlegst, legt Unifi auch die passende Regeln dazu an. (siehe mein Screen oben)

    Die Regeln NAT und Return Traffic und erlaube diesen, also das was man auch will.

    Das "FROM" in den Portforward erlaubt 'ne IP oder 'nen Netz, Multiple Einträge lassen dann die gleichen Ports auch von

    unterschiedlichen IP erlauben wenns nötig ist.

    Reicht Dir das

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login