Zonen basierte Firewall Regeln

    Guten Morgen zusammen,

    ich habe gestern auch auf die ZBF umgestellt und war am Anfang erstmals erschlagen da ich die Funktionsweise nicht verstanden habe. Ich muss dazu sagen, ich bin kein IT-ler und habe nur Grundkenntnisse im Bereich Netzwerke, alles hier im Forum angelesen. Ausserdem gehöre ich der älteren Generation an und benötige mittlerweile für das ein- oder andere ein wenig länger.

    Ich hatte bisher meine Regeln nach defcon‘s Anleitung erstellt und soweit war alles gut. Ich habe vor der Umstellung alle Regeln gelöscht um blank zu starten.

    Mein Netzwerk sieht folgendermaßen aus.

    VLAN 1: UniFi MGM LAN (UDM Pro, Switch 24 Pro Poe, 5 UniFi Kameras kabelgebunden, 2 AP)

    VLAN 20: Privat (Unsere Mobilgeräte, IPads und iPhones) PC haben wir nicht mehr

    VLAN 40: IoT (Sonos, Apple-TV‘s, LG-TV‘s, Roborock Staubsauger, Philips Hue, Tado, Shellys usw.)

    VLAN 90: Gäste und Notebooks vom Arbeitgeber (welche per VPN Verbindung zum Server des AG herstellen)

    Vorher hatte ich noch mehr unterteilt, VLAN für die Kameras, sind ja wie oben geschrieben jetzt im MGMT LAN, VLAN für Drucker (habe ich in LAN IoT gepackt), VLAN VoIP (abgeschafft, habe kein Festnetz mehr), und hatte IoT unterteilt in reines IoT und Multimedia (TV, Sonos). Das habe ich nun alles auf das Nötigste reduziert um es mir nicht schwieriger zu machen als es ist. 😀

    In der neuen ZBF habe ich nun in der Zone Internal das MGMT LAN und LAN Privat mit unseren Mobilgeräten. Extern wurde ordnungsgemäß in Hotspot verschoben und zusätzlich habe ich noch eine Single Zone erstellt mit VLAN IoT die standardmäßig ja mal komplett geblockt wird was ich sehr gut finde.

    Nach meinem bescheidenen Verständnis habe in Internal keine Regeln, kann auch den Sinn nicht verstehen da wir ja mit unseren Mobilgeräten auf MGMT zugreifen möchten.

    Im VLAN IoT ist Home Assistant als Zentrale der dadurch Zugriff auf alle IoT Geräte hat und auch auf den Drucker. Diese VLAN hat Zugriff auf rein gar nichts, habe im Moment auch keinen Bedarf dies zu ändern.

    Die einzige Regel die aktuell erstellt ist, ist das wir mit unseren Mobilgeräten ins IoT VLAN zugreifen können mit „Allow Return Traffic“. Funktioniert auch alles, haben Zugriff auf Home Assistant, können Sonos steuern, AirPlay funktioniert, und die Hersteller Apps wie Philips Hue ebenfalls obwohl wir die bedingt durch den Einsatz von Home Assistant gar nicht nutzen. Drucken geht ebenfalls von unseren Mobilgeräten aus, im Prinzip vermisse ich aktuell nichts.

    Habe ich einen Denkfehler in meiner Konfiguration bzw. übersehe ich Sicherheitslücken? Fühlt sich gerade zu einfach an.

    Das Einzige was ich noch regeln möchte, ist per WireGuard VPN auf Home Assistant zuzugreifen und auch nur darauf, NAS oder ähnliches haben wir im Moment nicht. Kann mir hier jemand erklären wie ich vorgehen muss, in der ZBF hat aktuell WireGuard Zugriff auf alles wenn ich es richtig interpretiere?

    LG und vorab schon mal Danke für das Lesen und Hilfestellung und Rückmeldung zu meiner Konfiguration.

    Marco

    Wenn ich VPN auf Gateway blocke komme ich nicht mehr auf die Oberfläche von der UDM Pro. Zusätzlich eine Regel die VPN auf Zone IOT mit der IP von Home Assistant zulässt und es funktioniert.

    Ist das korrekt so? Also alles zu außer Home Assistant.

    Gruß

    Marco

    Hallo Moss,

    bin ebenfalls eher Laie, aber beschäftige mich auch gerade mit der Einrichtung der ZBF.

    Eine Sache, die mich gerade umtreibt und über die Du vielleicht auch nachdenken kannst (und vielleicht hat jemand einen Tipp, wie man es machen sollte): So wie Du habe ich auch den Zugriff auf mein VLAN IoT erlaubt und von IoT dann lediglich Allow Return Traffic. Was mir dabei aber fehlt: Auf diese Weise kann ich keine Push-Notifications der IoT-Geräte bekommen, oder? Also, wenn die Kamera eine Bewegung meldet, der Ofen fertig ist etc. Weil dann würde das Gerät ja nicht antworten, sondern von sich aus etwas senden wollen, was es nicht darf...

    Wie kann man das am sichersten gestalten? Will ja nicht genau hier wieder eine Lücke aufmachen, dass Angreifer, die ins IoT-VLAN gelangen, dann doch wieder auf mein Hauptnetzwerk gelangen können...

    Bzgl. VPN: Ich habe es ähnlich gemacht und die Zone VPN hat lediglich Zugriff auf die Geräte IPs, auf die ich von außen zugreifen können möchte. Auch Zugriff VPN -> External ist gesperrt (kein Internetzugriff über die aufgebaute VPN-Verbindung). Dann muss man in Wireguard Split-Tunneling einstellen. Das macht man (nach meinem Verständnis) darüber, dass man den Standardgateway 0.0.0.0 aus dem Wireguard-Configfile (bei AllowedIPs) rausnimmt - wie gesagt: keine Garantie, bin selbst Laie.

    Viele Grüße, Sebastian

    Hallo

    Die meisten IoT geräte wie einige Lampen, Waschmaschienen und Herde und so weiter gehen meistens über eine Cloud des Anbieters.

    Einmal eingerichtet bedarf es keiner weiteren Regeln per Firewall um Zugriff per App mit dem Mobil gerät zu bekommen. Das kann man sich sparen und sind dadurch ein paar Regeln weniger. Letztendlich würden diese Regeln eh nix bringen.

    Zum Thema mit dem VPN. Dazu brauchst du erstmal einen Wiregard Server und dort richtest du dir dann deine Geräte ein die per VPN zugreifen sollen.

    Wenn das schon geschehen, dann unter Profile - Network Objekts eine Gruppe erstellen, die kannst du VPN Users nennen.

    Dort hinnein kommt dann dein IP Netzwerk von dem Wiregard, zum Beispiel 192.168.2.0/24, oder so. Das musst du dir dann auf deines anpassen.

    Erstelle noch eine Gruppe und dort kommt aber diesmal der Port vom HAS rein, ich glaube das müsste 8123 oder so sein.

    Als nächstes brauchst du eine Regel die VPN Usern erlaubt den Zugang zu deinem HAS bekommt.

    Die ist dann von Quelle-VPN, dort auf IP gehen und da auf Objekt und wählst deine erstellte Gruppe VPN Users aus.

    Anschluss beliebig und auf zulassen.

    Das Ziel wäre dann Internal oder eine andere von dir erstellte Zone, Auch dort wieder auf IP gehen, diesmal auf Spezifisch und dort trägst du die IP deines HAS ein und unter Anschluss diesmal auf Objekt gehen und dort die Gruppe mit dem HAS Ports auswählen.

    Das ganze stellst du auf IPv4 ein und eine Beschreibung einfügen.

    Zum Schluss gibts du dem Kind noch einen Namen und speichern.

    Dann erstellst du nur noch auf die gleiche weise Regeln was die VPN Users nicht erreichen dürfen, unf fertig. Das sollte dann so funktionieren.

    Also das die nicht auf Hotspot, DMZ und so weiter dürfen.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    viel erfolg beim einrichten

    Ich habe das so ähnlich mit meinem Plex Server hier am laufen.

    PS: Solltest du dann noch irgendwann einen VPN Admin User brauchen dann erstelle dir einen weiteren Wiregard und damit verfährst du dann genaus was der darf und was nicht. So kannst du Freunden und Familien den VPN Zugang gestatten mit Einschränkungen und VPN für Admin nutzt du dann extra.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Hallo zusammen,

    ich wollte nochmal nachfragen bzgl. Zugriff von VLAN IoT auf das Hauptnetzwerk:

    Aktuell habe ich den Zugriff Hauptnetzwerk -> IoT erlaubt und von IoT dann lediglich Allow Return Traffic. Was mir dabei aber fehlt: Auf diese Weise kann ich keine Push-Notifications der IoT-Geräte bekommen, oder? Also, wenn die Kamera eine Bewegung meldet, der Ofen fertig ist etc. Weil dann würde das Gerät ja nicht antworten, sondern von sich aus etwas senden wollen, was es nicht darf...

    Wenn ich aber auch den Zugriff IoT -> Hauptnetzwerk komplett erlaube, mache ich ja wieder eine Lücke auf, dass Angreifer, die ins IoT-VLAN gelangen (wegen schlechter Iot-Software z-B.), dann doch wieder auf mein Hauptnetzwerk gelangen können...

    Wie könnte man das sicher gestalten? Evtl. nur die nötigen Ports freigeben? Wisst Ihr welche das sind für die HomeConnect-Geräte von BSH bzw. Shellys bzw. Reolink-Kameras?

    Vielen Dank und viele Grüße, Sebastian

    Das Allow return sollte reichen. Dieses erlaubt dir mit dem iot Gerät zureden und Antworten kommen auch zurück. Die Apps sollten damit kein Problem haben. Zum Thema Herd, ich glaube da geht eh alles per cloud an deine handyapp. Waschmaschine und so weiter auch.

    Der Rest was sehr wenig ist redet per LAN auch per Allow return regel.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Danke für Eure Antworten. Man kann bei HomeConnect (App der BSH-Geräte) die Verbindung zwischen Gerät und Server kappen und wirklich Zugriff lediglich bei Netzwerk haben. Das funktioniert auch. Per Allow return halt aktuell bei mir allerdings nur, wenn man sie direkt per App anspricht. Push-Notifications können sie dann nicht ans Handy senden. das geht lediglich wenn Allow all an ist. Aber mittelfristig will ich das sowieso an HomeAssistant anbinden und dann ändert sich vermutlich eh wieder was und ich muss nochmal neu denken.

    Habe es auch gerade auf die Zone Based Firewall umgestellt.

    Auch hier das Thema der Steuerung via Controller Software von mehreren Sonos Devices im IoT VLAN Network.

    Fazit: Kann gar nicht glauben, dass das so einfach geht. Baut man sich hier nicht irgendwelche Lücken ein?

    Was für Lücken? Wenn man das notwendigste frei gibt, dann kann genau nur noch das (freigeschaltete Source/Destination IPs und Ports) von einem Angreifer benutzt werden. Die Alternative ist gar nichts auf lassen ... ich wette aber das möchte niemand wirklich.

    An Sonos wird sich vermutlich nichts geändert haben. Handy App und Sonos Hardware müssen im gleichen VLAN sein.

    Quote from Nordstern

    Ist hier tatsächlich nicht mehr so. Habe die Controller-App im Normalen VLAN und das Sonos IoT VLAN mit der ZBF zum laufen bekommen.

    Hi Nordstern!

    Kannst du kurz erklären wie?

    Ich hab das Vlan wo Sonos drin ist in eine Zone gepackt und das zur Zone wo der Controller (Handy) drin ist alles frei gegeben. Aber leider funktioniert das nicht.

    Vodafone Kabel 100Mbits - Vodafone Station (Bridge) - UDMP - US-8 - US-8-150W - UAP-AC-M-Pro - AP-AC-Pro - UAP-AC-M

    Edited once, last by MacLitze (June 8, 2025 at 1:55 PM).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login