Firewall Verständnisfrage

Germatta · January 15, 2025 at 4:30 PM

Ich habe ein "IoT" VLAN wo unter anderem meine Homeassistant drin ist. Meine Rechner befinden sich im VLAN "Home Lan"

Für meine Admin Devices habe ich ein Profil erstellt und alle IP's dort eingetragen.

Jetzt 2 Firewall Regeln:

1. ALLOW Admin Devices to IoT ( Auto Allow return Traffik ist aktiviert )

2. BLOCK IoT to Home Lan

Nach meinen Verständnis bedeutet das jetzt:

1. Meine Admin Devices dürfen auf das IoT Netzwerk zugreifen und die IoT Geräte dürfen auch antworten.

2. Alle Verbindungen aus dem IoT Netzwerk zum Home Lan werden blockiert.

Ist das so richtig gedacht?

So kann ich meine Homeassistant nicht anpingen bzw aufrufen.

Wenn ich in der ersten Regel jetzt Quelle und Ziel tausche funktioniert es. Ich versuche aber doch vom Home Lan auf das IoT Netzwerkwerk zuzugreifen bzw zu pingen. Warum ist dann in der Regel IoT die Quelle?

Beide VLANS sind in der ZONE "Internal"

**Naichbindas** · January 15, 2025 at 6:34 PM

Hallo

Wo genau hast du deine Regeln eigesetzt? Mach mal einen Screenshot von deiner Firewallregel damit wir uns das mal ansehen können.

Germatta · January 15, 2025 at 6:55 PM

Quote from Naichbindas

Wo genau hast du deine Regeln eigesetzt?

Source= Internal / Destination=Internal

So wie auf dem Screenshot zu sehen funktionert der Zugriff, ist aber für mein Verständnis verkehrt herum.

Die Geräte sind übrigens auch am gleichen Switch ( USW Flex 2.5G ) angeschloßen falls das eine Rolle spielt?

Moss · January 15, 2025 at 6:58 PM

Ist verkehrt herum. So gibst Du dem IoT LAN Zugriff auf deine Admin Geräte und diese dürfen Antworten.

Gruß Marco

**Naichbindas** · January 15, 2025 at 7:00 PM

genau das ist falsch so

Germatta · January 15, 2025 at 7:06 PM

für mein Verständnis ja auch, tausche ich aber Source und Destination komme ich nicht mehr auf meine Homeassistant und kann diese auch nicht mehr anpingen

**Naichbindas** · January 15, 2025 at 7:10 PM

ja du hast noch eine Regel die Blockt IOT Lan auf Home LAN richtig?

Germatta · January 15, 2025 at 7:16 PM

korrekt. Diese liegt in der Liste aber unter der Allow Regel

**Naichbindas** · January 15, 2025 at 7:18 PM

setzt die mal für einen Moment auf Anhalten und dann teste nochmal ob die Regel funktioniert die wir als erstes be

sprochen haben.

Germatta · January 15, 2025 at 7:20 PM

Dann funktioniert es

**Naichbindas** · January 15, 2025 at 7:21 PM

dachte ich mir es doch

die lässt du weg

Denn diese Regel hebt wieder die erste auf deswegen ging das nicht.

Germatta · January 15, 2025 at 7:22 PM

Verwirrend.

Wenn ich nichts blocke brauche ich die Allow Regel ja gar nicht.

Und wie blocke ich IoT dann?

**Naichbindas** · January 15, 2025 at 7:24 PM

Ja das kann schon verwirrend sein.

Machen wir einen Test. Du hast ja ein VLAN für deine Heimgeräte richtig?

Ein weiteres VLAN für IOT?

Ist in deinem Heim VLAN ein PC der keine Admin Rechte inne hatt dabei?

Germatta · January 15, 2025 at 7:29 PM

Quote from Naichbindas

Du hast ja ein VLAN für deine Heimgeräte richtig?
Ein weiteres VLAN für IOT?

genau.

Quote from Naichbindas

Ist in deinem Heim VLAN ein PC der keine Admin Rechte inne hatt dabei?

Was genau meinst du mit Admin Rechte?

Ich habe ja unter Profiles Meine "Admin Devices" per IP definiert

**Naichbindas** · January 15, 2025 at 7:32 PM

Quote from Germatta

Für meine Admin Devices habe ich ein Profil erstellt und alle IP's dort eingetragen.

Ich meine hast du einen PC der nicht da drinn ist? Das ist für den Test wichtig

Germatta · January 15, 2025 at 7:35 PM

Es sind alle drin aber kann ja ein entfernen eben

**Naichbindas** · January 15, 2025 at 7:37 PM

Ja du brauchst mal einen PC der da nicht drinn ist so das der nur im Home VLAN sein darf.

Wenn du so einen PC hast, öffne ein Browserfenster und gib mal die IP deines HAS:8123 ein und berichte ob du dann auf das Webinterface drauf kommst?

Germatta · January 15, 2025 at 7:40 PM

Wenn die "Block IoT to HomeLan" Regel inaktiv ist ja

Germatta · January 15, 2025 at 7:49 PM

Normalerweise bräuchte ich ja eigentlich gar keine Allow Regel wenn ich nur eine Block -Regel habe ( Screenshot )??

Damit blocke ich doch nur Verbindungen VOM IoT Nach Home Lan und nicht umgekehrt

**Naichbindas** · January 15, 2025 at 7:52 PM

ok, dann brauchst du noch Regeln um das zu unterbinden aber die sehen dann anders aus.

Dazu brauchst du eine Gruppe die du erstellen must. Da kommen alle Gateway Adressen rein von deinen Netzwerken ausser das von Home VLAN.

Dan eine weitere Gruppe da kommt nur das Gateway rein von deinem Home VLAN und eine letzte Gruppe da kommen die Port´s 80,443 und 22 rein.

Dann erstellst du eine Regel mit Namen "blockiere Home-VLAN für alle anderen lokalen Gateway´s", Source nimmst du Internal dort auf Netzwerk und wählst dort dein Home VLAN aus. Bei Aktion gehst du auf blockieren und Destination Gateway, dort dann IP und da wieder rum Objekt und nimmst deine Gruppe wo alle Gateway ausser das von Home drinn ist aus.

IP Version nimmst du IPv4 und speichern.

Dann noch eine Regel die nennst du dann "blockiere Home-VLAN für das eigene UDM Pro-Interface Gateway".

Source nimmst du Internal dort auf Netzwerk und wählst dort dein Home VLAN aus.

Bei Aktion gehst du auf blockieren und Destination Gateway, dort dann IP und da wieder rum Objekt und nimmst deine Gruppe wo dieses Home Gatway drinn ist.

Bei Anschluss trägst du Objekt ein und nimmst dort die Gruppe mit den Ports.

Wieder IPv4 wählen und speichern.

Dann teste nochmal ob der PC auf das HAS kommt.

Participate now!