New Zone Based Firwall - Unterstützungsfragen

Quote from Tomcat

hattest du im Proxmox voher keine VLAN konfiguriert ?

Nein, ich habe bei dem Ugreen NAS ja zwei Netzwerkkarten, da habe ich dann eine fürs das default Netzwerk (PVE, die meisten LXCs) und eine für das IoT Netz (HomeAssistant) genutzt.

Jetzt habe ich halt die 10 Gbit nur für NAS (Open Media Vault) und die 2,5 Gbit für alle andere und dann in die VLANs aufgeteilt.

Ich habe per NFS freigaben zu den LXCs eingerichtet vom NAS aus. Jetzt, wo die auf getrennten Interfaces liegen, ist die Datenrate ja begrenzt auf die 2,5 gbit (bei sabnzbd kann man ja die Geschwindigkeit der Laufwerke testen, das war vorher, wo der PVE auf dem 10 Gbit NIC wie auch OMV war, bei über 400 MB/s, jetzt sind es nur noch knapp über 200.

Ich hatte dann versucht, den PVE über die VMBr 1 zu konfigurieren, damit dieser auch über die 10 Gbit Schnittstelle läuft, aber als ich dass an dem Abend umgestellt hatte ging auf einmal nichts mehr. HAbe mich damit jetzt auch noch nicht auseindandergesetzt und werde das irgendwann Mal machen...

Quote from berndott

Hier zwei wie ich finde gute Videos zu dem Thema ZBF.

External Content www.youtube.com

Content embedded from external sources will not be displayed without your consent.

Click here to display external content.

External Content www.youtube.com

Content embedded from external sources will not be displayed without your consent.

Click here to display external content.

Danke, die werde ich mir dann auch Mal zu Gemüte führen.

Im Moment läuft alles, optimieren kann ich ja dann immer noch...

Hi Blebbens

Ich habe mich die Letzten tage auch viel mit der ZBF usw. beschäftigt weil ich auch mein Ganzes Netz aufgeräumt und endlich mal Strukturiert habe.

Jeder macht es anders. Und viele wegen führen nach Rom. Es gibt kein richtig und falsch, solange du mit deinem weg an dein Ziel kommst. Ich habe mir aus vielen Anleitungen und Videos MEINEN weg rausgesucht und alles so aufgeteilt wie ich der Meinung bin das es für mich das richtig ist.

Ob du zb. IoT in eine eigene Zone Packst oder mit allem anderen in die Internal und dann Per Regel'n alles Sperrst ist egal wenn das Ergebnis ist das IoT mit nichts außer den Geräten im IoT Netz reden kann.

Nimm den Weg der für dich Logischer ist. Ich bin keine Experte, aber wird sicherlich auch Dinge geben die man nur auf eine Spezielle Art und weise Lösen kann. Aber solche Fälle habe bei mir nicht.

Ich habe alle in eine Zone Gepackt und dann die Kommunikation per Regeln unterbunden bzw. erlaubt.

Blebbens Ich versuche es dir mal zu erklären was meine Beweggründe waren im Wiki.

Quote from Blebbens

Habe nun mehrere ZBF-Videos auf YT geschaut

Ja da gibt es noch nicht viele Videos zu und dort wird mal eine oder zwei Regeln im allgemeinen erklärt aber kein Konzept. Ansosnten ist mir noch kein Video bekannt was ein ganzens Paket liefert, oder eine Lösung.

Zugegeben meine Lösung ist auch nicht das Non plus Ultra aber ein Versuch was zu erreichen und zu helfen, wobei ich mir Gedanken gemacht hatte mehr zu tun.

Quote from Blebbens

Bei letzerer Anleitung fehlt mir einfach die für das How-To als Beispiel genutzte Aufteilung, welche Zone welche Netzwerke enthalten. Kann das nicht alles nachvollziehen. Außerdem werden wichtigen Schritte nicht immer erklärt.

Doch das habe ich. Schau hier:

Da steht es drinn, weil ich dachte ich fange erst garnicht damit an andere Regeln zu zeigen weil ich davon ausgegangen bin, das erstmal für Quereinsteiger in die ZBF standardmäßig die Aufteilung haben alle ihre Netzwerke im Internal zu haben bis auf Gast das in der Hotspotzone sein sollte.

So wurde es von Unifi adoptiert wenn man die ZBF aktiviert. Ich denke das sollte klar sein, was ich damit sagen wollte.

Hier steht das wir dort die Regeln eintragen, also wie schon gesagt in Internal zu Internal, soll ich dazu extra noch ein Foto machen?

Ausserdem sind die Regeln als Foto drinn.

Dort habe ich alles drin was wichtig ist. Wen du dir das angesehen hast, dann sollte klar sein was damit beweirkt wird.

Dort steht das Quelle (Source) und Ziel (Destination) die Zone Internal sind.

Ich denke noch einacher geht es nicht.

Quote from Blebbens

Auf YT unterscheiden sich die Lösungen voneinander erheblich. Beginnt schon damit, dass manche alles in der Internal Zone belassen ind voneinander abgrenzen, während andere meist Netzwerke in verschiedene Zonen packen.

Ja da gebe Sunshinemaker recht.

Quote from Sunshinemaker

Jeder macht es anders. Und viele wegen führen nach Rom. Es gibt kein richtig und falsch, solange du mit deinem weg an dein Ziel kommst.

Genauso ist es. Alles was du hier siehst im Forum oder Wiki oder Youtube, sind nur Empfehlungen, Erklärungen oder Hilfen. Die können aber nicht für alles und jeden die aller Welt´s Lösung sein, weil nicht alle haben die gleiche Konfiguration. Da wird trotzdem noch ein wenig eigene Arbeit und Kreation mit einfliessen müssen.

Quote from Blebbens

Die Lösung hier im Forum grenzt nach IP-ranges RFC1918 ab und sperrt auch die jeweils anderen Gateways. Das macht wiederum auf Youtube die Minderheit. Dort werden VLANs in selber Zone blockiert und dann der Zugriff des Management-Netzes auf ausgewählte VLANs eingerichtet… kein RFC, keine Gateway-Sperren über Objects, sondern alles über Policies. Die Kommunikation innerhalb eines VLANs wird über Isolation oder ACL gelöst, meine ich. Was ist daran falsch?

Mit RFC1918 ist ein Standard gemeint der alle privaten IP Adressen enthält die dir zu Verfügung stehen und nicht ins Internet dürfen.

Danach wird nach Klassen Unterschieden, die da sind A,B und C.

Das Klasse C Netzwerk ist das 192.168.0.0 - 192.168.255.255 (Präfix 192.168/16).

Genaus so ist es bei den anderen beiden Klassen. Das alles kann man googeln und lesen.

Mit dieser Gruppe die dann in Regeln eingebunden wird, kannst du dann deine Netze alle mit abdecken.

Solltest du mal weitere Netzwerke anlegen wenn du dich weiter entwickelst in der Unifi Materie und ausbaust also erweiterst.

Dann fallen die da mit rein und nicht wie bei anderen Regeln wo du dann für jedes einzelne Netz eine Regel einstellen musst.

Soll heissen eine kleine Erleichterung. Denn sonst must du viel mehr Regeln erstellen.

Dafür sind die Gruppen da und die Gruppe RFC1918 beinhaltet die Netzwerkklassen A,B und C und deckt somit alle Netzerke ab,

von 10.0.0.0 - 192.168.255.255. Und glaube mir das sind viele Netzwerke.

Wollte es damit ein wenig algemeiner halten.

Die Gatewaysperren die du hier ansprichst, glaube ich zu ahnen was du meinst.

Es gibt einmal das Gateway an sich, das für DNS und DHCP und so weiter zu ständig ist.

Die kannst du aber nicht einfach so sperren bloß um deine Netzwerke aus zu grenzen, weil dort die Dienste drüber laufen und essentiell für die Funktion deiner Netzwerke sind.

Was ich oder wir hier im Forum meinen sind die Gateway Adressen des Unifi selbst.

Für jedes Netzwerk, was du hast gibt es ein eigene Gateway.

Nehmen wir mal an du hast 192.168.1.0/24, 192.168.10.0/24 und 192.168.20.0/24 als Netzwerke, somit hast du dann drei Gateway Adressen,

und zwar 192.168.1.1 welches du ja schon kennst zum Einrichten deines Unifisystems und dann sind noch 192.168.10.1 und 192.168.20.1 mit denen du dann genau wieder auf dein Unifi kommst, genauso als wenn du 192.168.1.1 gehen würdest, was wir aber nicht wollen das alle unsere Endgeräten in all unseren Netzwerken das dürfen.

Das ist damit gemeint

Ich hoffe das ich das damit klären konnte.

Quote from Blebbens

Mir würde bei letzterer Lösung nur eine Möglichkeit fehlen, speziellen Geräten Zugriff auf spezielle IoT-Geräte in dessen VLAN zu gewähren. Oder einige IoT-Devices für andere VLANs in anderen Zonen freizugeben.

Dazu soltest du aber erst mal die Grundfunktionen am laufen haben mit der ZBF den wir haben schon feststellen können das wenn man zum Beispiel eine Blckregel eingerichtet hat, schnell aber auch der Rückweg dann nicht mehr geht, nur weil ein Haken fehlt oder eine Option. Dann kann es vorkommen das danach weitere Regeln garnicht und nicht zufriedenstellend funktionieren, und es kommt schnell Frust auf.

Wenn du aber Probleme hast und nicht weist welche Regeln du brauchst um eine Freigabe wie auch immer ein zurichten dann frag doch einfach im Forum nach.

Das sind dann aber schon weitere Regeln die aber nicht mehr in die Wiki Erklärung mit eingeflossen sind um keine Verwirrung zu schaffen sondern erst mal eine Grundidee um zu setzen.

Das habe ich hier aber erklärt:

Zitat:

Ich zeige hier auch nur wieder die Regeln die erstmal für den Betrieb geeignet sind. Auf Regeln wie DNS und Admin Geräte und so weiter verzichte ich hier ganz bewusst, weil das weiterführende Regeln sind, die dann aber auch vlt für einige die neu in der Materie sind und oder sich vlt. das erste mal in der "ZBF" vortasten wollen, zur Verwirrung führen könnten.

Jeder hatt eine andere Konfiguration und andere Endgeräte und dadurch ergeben sich immer andere Regeln die für weitere Funktionen zuständig sind.

Der eine hatt ein Pihole, der andere eine HAS, wieder andere ein NAS mit einer gehostetet Hompage oder man will für Gäste den Drucker freigeben im Heimnetzwerk. Wo soll das hinühren wenn wir das alles mit im Wiki in eine Sache alles rein packen. Wer soll da noch durch steigen.

Von meiner Seite aus versuche ich daher ein paar Regeln noch zu Erklärung in Firewall-Regeln erweitert, unter zu bringen. (ist aber noch in Arbeit und nicht fertig)

Aber das ist noch in Aufbau, denn es gibt auch noch ein Leben ausserhalb von Unifi.

Ich denke aber auch andere werden evtl. noch an Lösungen und an einem Regelwerk arbeiten, die uns dann hier als Wiki zur Verügung gestellt werden.

Zu deiner Frage,

Dann würde letztlich nur noch die Info fehlen, wann man jeweils einzelne Zones erschafft oder wann man alles abgegrenzt in Internal packt.

Das hängt von deinen Vorlieben ab, denn dazu gibt es keinen Leitfaden.

Wann du eine Zone erschaffen willst bleibt dir selbst überlassen, du kannst es machen musst es aber nicht. Wenn du eine zum Beispiel KIDS Zone machen willst, dann erstell dir einfach eine und dort kommt das Netzwerk deiner Kids rein. Dadurch ergeben sich dann wieder weitere andere Regeln um das Netzwerk ab zu schotten oder erreichbar zu machen. Aber wenn du das alles machen willst geht das über die Grundidee hinaus und hatt nix mit dem Grundgerüst zu tun um erstmal in die ZBF rein zu kommen.

Darum habe ich dazu nur ein Beispiel reingenommen mit dem IOT Netzwerk in eine andere Zone. Aber auch hier gibt es wieder unendliche Möglichkeiten die zuviel wären im Wiki.

Zum Schluss sei noch gesagt, das Wiki ist nur eine Richtschnur aber keine Lösung fffür alle Problem für jeden. Da bleibt immer noch ein wenig eigene Arbeit übrig und das muss man dann selber für seine Zwecke umbauen, denn wir können nicht wissen wie ist dein Unifisystem eingerichtet, welche Netzwerke hast du und was willst du erreichen.

Ein kleiner Tipp noch. Schau dir erst die Regeln an die seitens Unifi schon drinn sind und dann entscheiode welche weiteren Regeln du wirklich brauchst.

Denn schnell kann sich was gegeneinander aufheben oder stören oder was doppellt sein, und dann geht nix mehr.

Blebbens Habe noch ein Video für dich

UniFi Zone based Firewall einfach erklärt | Für Einsteiger

Sichern Sie Ihr Smart Home: Unifi IoT VLAN-Firewall-Regeln für Apple HomeKit-Benutzer!

Das sind weitere Lösungsvorschläge. Du siehst da geht viel.

Blebbens Kein Ding wir verstehen das ja auch.

Also folgendes. Bei defcon meinst du dieses:

00 | all local IP-Ranges

IPv4 Address/Subnet

Hier hinterlegt ihr alle lokalen IP-Adressen eurer Subnetze – in diesem Beispiel:

10.0.1.0/24

10.9.9.0/24

10.0.10.0/24

10.0.20.0/24

10.0.50.0/24

Das gleiche habe ich auch gemacht nur halt wie schon erwähnt alle privaten Netzwerke. Bei defcon seinem Beipiel sind nur die Klasse A Netzwerke drinn und ich vereine in meiner Regel halt alle. Aber die Gruppe besagt dann halt das selbe.

Da sind halt die Netzwerke drinn:

192.168.0.0 - 192.168.255.255 (Präfix 192.168/16)

172.16.0.0 - 172.31.255.255 (Präfix 172.16/12)

und

10.0.0.0 - 10.255.255.255 (Präfix 10/8)

Letzteres fallen auch defcon seine,

10.0.1.0/24

10.9.9.0/24

10.0.10.0/24

10.0.20.0/24

10.0.50.0/24

mit rein.

Also habe ich nur eine allgemeine Gruppe erstellt die sich schon sehr lange bei Unifisystemem bewährt hatt und auch immer noch bestand hatt, auch in der neune ZBF.

Ausserdem kann ich nicht wissen welche Netzwerke du angelegt hast oder in Zukunft noch anlegen wirst.

Daher habe ich für mich den Weg gewählt um mir auch in Zukunft keine Sorgen machen zu müssen dann für neue Netze alles neu ein zu richten weil vorhandene Regeln dort dan nicht greifen.

Quote from Blebbens

Ich persönlich konnte nicht mehr folgen, als die Gateways kamen… einfach, weil Du Gruppen baust, in denen eines der vier (nie genannten) VLANs jeweils fehlt, in späteren Gruppen dann wird nur noch ein GW genannt. Die Gruppen heißen dann auch identisch. Solange ich nicht weiß, welches VLAN wofür ist, kann ich es nicht auf mein Netz adaptieren. Dieser Part der Anleitung ist (für mich) nicht nachvollz9ehbar.

Ich hatte das ebend ja schon versucht zuvor zu erklären und habe das im Wiki ergänzt. Ich denke das sollte ausreichend sein.

Die Gruppen heißen nicht identisch sondern das.... sollte dir sagen das da der Name des entsprechenden Netzwerkes reinkommt.

Werde das aber abändern im Wiki.

Quote from Blebbens

Man könnte insbesondere anfangs erwähnen, welche Beweggründe es für die Struktur geben könnte. Wann packt man alles in internal, wann erschafft man allgemein neue Zonen. Der Vorteil von Zonen an sich kommt nicht rüber.

Ok verstehe, aber das denke ich ist eher ein Fall in dieser Wiki die ich dann mal demnächst überarbeiten könnte.

Firewall von Unifi (Zonenbasiert) - Die Funktionsweise

Da passt das schon eher mit rein.

Aber wie ich schon sagte wer neu anfängt, da ist eigentlich eh erstmal alles in der Internal Zone.

Neu erstelllte Netzwerke würden dan wahrscheinlich eh erstmal in Internal landen.

Wann man neue Zonen erschafft ist nicht wichtig. Diese legst du nur nach deinen Vorlieben an und oder es kommt auf dem Anwendungfall drauf an, was den Rahmen im dem Wiki für Neulinge gesprengt hätte.

Wer neuer Zonen und neue Netzwerke dan dort drinn platziert, der ist dan baer schon weiter in der der Materie ZBF drinn bewandert und versteht auch was er möchte, daher habe ich das in der Wiki nicht vertieft.

Quote from Blebbens

Konkret in meinem Fall möchte ich separieren: Management, Kids, IoT, Server… stecke ich alles in eine internal zone, können alle miteinander sprechen. Das kann ich aber mit einer Policy „Block“ unterbinden. Stecke ich sie in verschiedene Zonen, können die VLANs nicht aus den Zonen heraus oder innerhalb der Zone mit anderen VLANs außerhalb kommunizieren. Den Zugriff des Management-LANs kann ich auf andere Zonen oder konkrete VLANs auch per Policy gewähren. Dann fehlt mir halt nur der Weg, einzelne IoT-Geräte (wie Drucker) für Kids und Management freizugeben.

Der Grund in der Internal Zone darf alles mit jedem ungehindert reden.

Das habe ich verhindert und folgendermaßen beschrieben:

und hier wegend er neuen Zonen:

Weitere Regeln die über das Wiki hinaus gehen, also aus einem Netzwerk aus einer von dir erstellten Zone mit einem VLAN da drinn, sind nicht bestandteil des Wikis weil das weitere Regeln sind. Diese kannst du aber gerne hier erfragen in dem Tread hier da werden wir bestimmt alle helfen können eine Lösung zu finden.

Was ich auch schon sagte das ich an einer weiteren Wiki dabei bin die solche Regeln beinnhaltet als Beispiel.

Dort habe ich extra Platzhalter reingeschrieben.

Quote from Blebbens

Nach meinem Verständnis benötige ich bis hier keine Gruppe/Object IP-Range RFC und keine GW-Abschottung.

Die Gateway Abschottung ist die Weboberfläche von deinem Unifisystem gemeint.

Geh doch mal mit einem PC zum Beispiel in dein KIDS VLAN rein.

Öffnen den Browser und tippe die IP des Gateways ein von dem VLAN.

Wichtig ist das am Ende dann xxx.xxx.xxx.1 steht.

Was geht dann auf das Unifi Webinterface. Dann gib mal aus diesem Netzwerk herraus die Adresse 192.168.1.1 ein.

Dann kommst du auch auf dein Unifi Webinterface.

Ich denke damit ist das gesagt um was es geht.

Das betrifft auch jedes neu erstellte Netzwerk. Da muss dann auch immer der Zugriff auf das Gateway extra gesperrt werden.

Quote from Blebbens

Die defcon-Anleitung ist auf ZBF nicht anwendbar, hat einen aber für die alte Firewall an die Hand genommen, erläuert und den Weg zur Basis gezeigt.

Doch na klar sind ie Regeln weiterhin anwendbar und die funktionieren auch noch weiterhin.

Der einzige Haken an der Sache ist, bei der adaption auf die neue ZBF die Regeln mehrmals vorhanden sind.

Dieses hatt Unifi unter der Vorraussicht so eingerichtet um auch nach der Umstellung uf ZBF die Funktionien die vorher waren zu gewährleisten und nicht zu beeinträchtigen. Es wird sogar drauf hingewiesen das du dann selber rausfinden sollst, welche Regeln du dann davon tatsächlich behalten willst und die dan noch Anwendung finden.

Das hatte ich in der Wiki aber damit erklärt:

Eine Umstellung von der alten Firewall auf die neue ZBF sieht Unifi dann folgendermaßen vor:

Werd da noch einen dreizeiler zu schreiben im Wiki.

Aber danke das du Vorschläge mit einbringst um das Wiki besser zu machen.

PS: Blebbens Habe noch etwas überarbeitet im Wiki.

Quote from Blebbens

Möchte ja nur verstehen, warum im Forum hier die Anleitung Objects mit IP-range einbindet und die Gateways blockiert, während 95% der Youtuber schlicht Policies für absolut nutzen. Am Ende soll das Netzwerk möglichst sicher sein.

Hast Du denn besondere Videos oder Anleitungen gefunden ? Würde das sonst exakt so machen, wie „777 or 404“ in seinem oben geposteten Video, der eben auch keine GW-Sperren oder IP-ranges nutzt.

Dann bräuchte ich nur noch einen Weg, nach dem ich einzelne IoT-Geräte für andere Netze freigeben kann…

Also ich nutze die Objects mit IP-Ranges nach RFC weil es für mich einfach und logische Regeln in der Firewall bedeuten. Ich muss damit nicht für jedes Netz eigene Object anlegen sondern kann "gleiche/ähnliche" Regeln in den jeweiligen Zonen verwenden.

Den Zugriff auf die Gateways (UDM-SE bei mir) blockiere ich aus jedem "unsicheren" Netz da diese erst garnicht die möglichkeit haben sollen eine ggf. vorhanden Sicherheitslücke im Gateway auszunutzen.

Um einzelne Geräte in andere zu lassen kannst du einfach dafür passende Regeln in der Firewall hinterlegen. Dabei auch die Checkbox für die Anlage der Regeln für dei Rückrichtung aktiveren.

Hallo zusammen,

ich habe auch Mal wieder ein Problem, weiß nicht ob es mit den ZBF zu tun hat, aber erst danach ist es mir aufgefallen:

Mein Proxmox Server (Ugreen DXP 4800+) ist per 10 Gbit SFP Modul von Unifi an mein USW Pro Max 16 angeschlossen und per 2,5 Gbit.

PVE und Open Mediavault sind beide über den 10 Gbit Port verbunden.

Vor einem halben Jahr, als ich das eingerichtet hatte, bekam ich Transferraten von über 400 Mb/s.

Jetzt ist mir aufgefallen, dass ich über den NFS Mount per Fstab und weiterreichung an den LXC-Container nur noch maximal 150 Mb/s bekomme.

Habe viel Probiert und mit den NFS Einstellungen gespielt, aber kommt einfach nicht mehr raus. Iperf liefert auch nur 1,32 Gbit/s, was ja den 150 Mb/s entspricht.

Kann das mit den ZVF zu tun haben? Oder gibt es evtl. noch andere Punkte wo ich ansetzen kann?

Die NVME habe ich auch schon geprüft mit dd und hdparm, da kommen werte jenseit der 600 Mb/s raus, als würde ich das als Flaschenhals ausschließen.

Bin für Tips dankbar!

Viele Grüße

Ich bin es noch einmal.

Habe jetzt nach langem testen herausgefunden, dass wenn ich zwischen VLANs kopiere, die 1,4 Gbit/s als Beschränkung sind, wenn ich im selben selben Vlan bin, dann kann ich die Leistung voll ausreizen.

Kann das an den ZVF liegen? Hat das schon einmal jemand gehabt?

Viele Grüße

Nachtrag:

ich habe Mal IDS/IPS ausgemacht und die Werte gingen hoch auf ca. 2 Gbit, zwar immer noch nicht die maximal möglichen 2,35 Gbit, aber immerhin. Muss man IPS/IDS für alle Netwerke aktiv haben, oder macht das nur Sinn, wenn man die Netzwerke auswählt, die von außen erreichbar sind (DMS, Gast, Iot, default)? Oder reicht sonst auch nur das Netwerk, wo das Gateway drin ist?

Und schon wieder ich,

ich habe jetzt folgendes als "Fehlerquelle" ausgemacht:

Ich habe die VLANs bei der UDM-Pro eingetragen, obwohl alles in USW-Pro-Max eingesteckt ist.

Ich habe dann mal die L3 Migration auf 2 VLANS gemacht und siehe da, ich habe auch mit IDS/IPS die 2,35 Gbit:

jetzt meine Frage, sollte ich dann alle Vlans auf dem USW als Router anwenden? Was genau hat das für Vor/Nachteile?

Danke und Grüße

Ein Layer 3 Switch kann auch die Routing Aufgaben Übernehmen. Somit kannst du Vlans und Routing und das ganze Zeugs den Switch erledigen lassen. Das entlastet das Netzwerk.

Das betrift aber dann nur die an den Switch angeschlossenen Endgeräte.

Also Vlans sperren, zulassen und umleiten und so weiter wird dann im Switch alles abgearbeitet und nicht erst noch über die UDM oder UCG und so weiter.

Das heist er ist oder besser gesagt übernimmt Aufgaben des Routers. Dafür hatt er kein WAN.

Weil halt alles intern im Switch geregelt wird ist auch das abarbeiten schneller und das gesamte Netzwerk also der Traffic wird entlastet.

Wenn ich die VLANs auf den Switch migriere, habe ich die bei der ZBF nicht mehr zum auswählen, oder muss ich erst alle VLANs da migrieren?

Aber ist es denn normal, dass von Vlan zu Vlan die Geschwindigkeit so begrenzt ist, bzw. Stark vom IDS/IPS abhängig ist?

Nicht verwechseln mit einem Router.

Der hatt noch zusätzlich WAN Anschluss. Das hatt oder macht der Layer 3 Switch nicht.

Daher fällt dem Router auch das IDS / IPS zu.

Dem Layer 3 Switch nicht dem fehlt diese Option sowieso.

Der Layer 3 Switch übernimmt Routing Aufgaben innerhalb seines Dahseins.

Wenn du deine VLan's dem Layer 3 Switch gibt's, dann fällt dieses aus der ZBF raus. Du kannst dann innerhalb des Layer 3 Switches das alles mit ACL regeln. Weil es findet ja alles innerhalb des Switches statt. Da dann die UDM und oder UCG nix davon mitbekommen kann auch nix mit der ZBF laufen. Diese greift erst wieder beim Teaffic vom Layer 3 Switch zum Router ins Internet und zurück.

Oh Mann, jetzt habe ich halbwegs die ZBF eingerichtet und kapiert und dann sowas...

Aber ist es definitiv normal, dass man nicht mehr als 1,4 Gbit nutzen kann, wenn man IDS/IPS an hat und VLANs hat? Dann könnte man ja 2,5 Gbit nie ausreiten in der Konstellation...

Das sowas dann nirgendwo steht?

Gäbe es denn eine Anleitung, wie man das nach der L3 Migration mit den ACL regeln macht?

sagen wir mal so, wieviele Switches hast du in deinem System im Betrieb? Sind das alles Layer 3 tauglich wenn du mehrere hast? Sonst würden die dann ACL Regeln nicht unterstützen.

Und wenn du die ZBF soweit auf dem Schirm hast solltest du überlegen ob ein Umbau auf ACL lohnen würde.

Also ich habe nur den einen Switch, da ist alles eingesteckt was ich habe.

Das meiste läuft sowieso über Wlan, Am Switch hängt nur:

3x Unifi Kameras

3x Unifi APs

1x Fernseher

1x Homematic CCU3

2x Ugreen NAS

1x Dock fürs Surface

Das war es dann auch schon.

Eigentlich kann nur das Surface Dock die 2.5 Gbit, Den PVE-Host habe ich jetzt zusammen mit der VM von Open Media Vault in einem VLAN, damit habe ich noch die besten übertragungsraten da die dann auch auf einer LinuxBridge zusammen sind und das dann wohl intern beim Zugriff (NFS Mount zur Weitergabe an die LXCs).

Ob der Aufwand sich dann lohnt, damit ich vom Surface Dock die vollen 2.5 Gbit bekomme?