Einrichten von VLANs - bitte um Hilfe

    Hallo zusammen,

    hier zuerst mal mein Hardware-Setup:

    Ich wohne in der Einliegerwohnung im Haus meines Sohnes. Wior haben einen gemeinsame DSL-Anschluss sowie eine gemeinsame Netzwerkinfrastruktur.

    Ziel ist:

    • Trennung der beiden Netzwerke Haus und Wohnung. Gegenseitige Beeinflussung verhindern (z.B. versehentliches Streamen auf Chromecast des anderen Haushaltes). Isolierung von Hardware, die nur einmal im Netz vorhanden sein darf (z.B. SONOS darf es nur ein System im Netz geben).
    • Gemeinsamer Zugriff auf bestimmte Geräte. Z.B. KNX Gateway, Home Assistant.
    • Isolation von potenziell unsicheren Geräten. Z.B. China-Gadgets.

    Bis vor einigen Tagen war ich absoluter Noob bzgl. VLANs.

    Ich habe mich durch viele Anleitungen und Videos gekämpft und glaube das Prinzip von VLANs verstanden zu haben (Unterschied von Native zu Tagged bzw. in der 802.1Q-Terminologie Untag/PVID). Alle Ports sind entsprechend konfiguriert und die Endgeräte residieren im zugedachten VLAN:

    1. Infrastruktur
    2. Trusted Common
    3. Haus
    4. Wohnung
    5. IOT
    6. -
    7. Kameras
    8. -
    9. Gast

    Beispiel: Ein Endgerät, soll ins VLAN 2 und hängt an Port 1 des USW Pro Max. Der Port ist so konfiguriert:

    Ports mit Infrastruktur haben native VLAN 1 und "Allow All".

    Mein Gedanke zur Vorgehensweise: erst mal alle Netze voneinander isolieren und dann gegenseitige Zugriffsregeln nach Bedarf konfigurieren.

    Das Isolieren der Netze gelingt mir schon nicht. Mein PC in VLAN 4 kann z.B. Geräte in VLAN 2 anpingen und auch (z.B. Programmieren des KNX) mit ihnen Kommunizieren.

    Könnt ihr mir auf die Sprünge helfen?

    Hallo AlterSack

    wie sind den Deine Firewallregeln? Meines Wissens ist per Default erstmal alles erlaubt. Also alle VLANs haben gegenseitig Zugriff.

    Ich habe über die ZoneBasedFirewall die Zugriffe geregelt. Das funktioniert bei mir auch mit HomeAssistant und KNX-Zugriffen wo sie erlaubt sind - z.B. nicht aus dem IoT-VLAN, aber aus dem "Home" VLAN. Teils auf einzelne IP-Adressen beschränkt.

    Viele Grüße

    Badener

    Du musst Regeln erstellen, wo Du defnierst, welches wer nach wo telefonieren darf. Oder wer überhaupt nach draussen darf. Das kann man für ganze Netze, IP Bereiche, Ports einstellen wie man möchte.

    Schau mal hier ins Wiki:
    https://ubiquiti-networks-forum.de/wiki/index.php…0-by-defcon%2F=

    Nachtrag: es wäre sinnvoll, Switche von Fremdfabrikaten (ich sehe da 2x Netgear) gegen Unifi's auszutauschen. Das schafft mehr überblick, und wenn Du vLAN configs über Profile machst, hast Du mit der Profiländerung alle beteiligten Geräte direkt richtig konfiguriert. Das vermeidet auch Fehler.

    Edited once, last by razor: Ein Beitrag von Supaman mit diesem Beitrag zusammengefügt. (February 11, 2025 at 7:43 PM).

    Quote from Supaman

    Du musst Regeln erstellen, wo Du defnierst, welches wer nach wo telefonieren darf. Oder wer überhaupt nach draussen darf. Das kann man für ganze Netze, IP Bereiche, Ports einstellen wie man möchte.

    Dass ich das machen muss, ist mir klar. Die erste Frage, die ich mir jedoch stelle:

    Warum kann ich bereits im aktuellen Setup zwischen allen Netzen kommunizieren? Wo muss ich genau suchen, damkt ich herausfinde was das regelt?

    Zum WIKI:

    Zitat:

    "00 | all local Gateways

    IPv4 Address/Subnet

    Hier hinterlegt ihr alle Gateway Adressen eurer LANs/VLANs"

    Wo in meiner UDM Pro SE finde ich genau diesen Menüpunkt?

    Und: in der Definition der Subnetze sind doch die Gateways bereits mitdefiniert?!

    Gegenfrage: Welche Art der Firewall-Konfiguration nutzt du? Die noch Standard-Anordnung/Darstellung oder schon die neue Oberfläche, die Zonen-basiert arbeitet. Ich würde empfehlen, dass du gleich mit der neuen Oberfläche beginnst.

    Dies sollte so aus sehen, vielleicht noch nicht so voll.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Das war doch schon mal ein prima Tipp.

    Bei mir stand ganz oben "Upgrade to the New Zone-Based Firewall". Ich habe den Upgrade gemacht. Dann sieht es bei mir so aus:

    Die untere Regel besagt wohl, dass der Verkehr zwischen allen Netzen erlaubt ist?

    Die geht aber gar nicht zu bearbeiten / löschen.

    Frage zum oben verlinkten WIKI:

    Die Erklärungen / Screenshots sind noch ohne die Zonenbasierte Firewall gemacht, oder?

    Wenn ich jetzt mit Zonen arbeite, ist das doch ein ganz anderer Ansatz.

    Edited once, last by razor: Ein Beitrag von AlterSack mit diesem Beitrag zusammengefügt. (February 11, 2025 at 7:45 PM).

    Quote from AlterSack

    Das war doch schon mal ein prima Tipp.

    Bei mir stand ganz oben "Upgrade to the New Zone-Based Firewall". Ich habe den Upgrade gemacht. Dann sieht es bei mir so aus:

    Die untere Regel besagt wohl, dass der Verkehr zwischen allen Netzen erlaubt ist?

    Die geht aber gar nicht zu bearbeiten / löschen.

    Nein die geht nicht zu Löschen, da per Default alle Netze der Zone internal miteinander kommunizieren dürfen. Da es die letzte Regel für internal - internal ist, ist es ja kein Problem, seine Wünsche davor zu reglementieren, inkl. einem Verbot der Kommunikation zwischen den Netzen der Zone internal.

    Die eigentlichen Regeln zu erstellen, ist kaum anders als vorher - außer, dass es manchmal etwas bequemer gestaltet werden kann. Ansonsten ist der Zonen Zoo keine Hexerei ... links die Zeile ist die Quell Zone und oben die Spalte ist die Ziel Zone. Genau für diese Kombination der Zonen (mit den darin enthaltenen Netzen) gelten dann die angezeigten Regeln.

    Quote from AlterSack

    Wie werden denn dann Regeln berücksichtigt, die sich gegenseitig widersprechen?

    Wenn die Firewall richtig arbeitet, werden die Regel von oben nach unten abgearbeitet und der erste Treffer gilt, was danach kommt für die Anfrage ist dann nicht relevant.

    Also wenn als erste "Allow all" steht und als zweite "Block all" wird die "Block all" Regel vermutlich nicht greifen.

    Ich habe jetzt mal ein wenig getestet. Schaut euch bitte mal folgenden Screenshot an:

    Die ersten beiden Regeln sollen die beiden Netze Haus und Wohnung voneinander isolieren. Das scheint auch zu funktionieren.

    Mit der dritte Regel will ich verhindern, dass das VLAN IOT auf die anderen VLANS zugreifen kann, umgekehrt soll aber erlaubt sein. Wenn diese Regel aktiv ist, kann aber auch ein Client von z.B. Wohnung kein Device in IOT anpingen.

    Was habe ich falsch gemacht/verstanden?

    Danke, der Link ist sehr aufschlussreich.

    Nun habe ich aber ein Problem identifiziert, bei dem ich gar nicht weiss, wo ich ansetzen soll:

    Die Tests, ob die Firewallregeln greifen mache ich meist, indem ich ein Device im anderen Netz anpinge. Dabei habe ich folgendes seltsame Verhalten festgestellt:

    2 Devices, ein Windows-PC und ein SONY TV sind an zwei identisch konfigurierten Ports des USW Pro May 16 angeschlossen (VLAN 3). Von einem PC im VLAN 3 (woanders im Netz) pinge ich beide an. Nur der TV antwortet. Beim PC kommt "Zeitüberschreitung der Anforderung".

    Quote from swag

    Läuft auf dem PC eine Firewall der den Ping verhindert? Evt zum Vergleich von einem device in vlan3 probieren.

    Daran liegt es offensichtlich nicht. Folgende Resultate ergaben meine Tests:

    Beide PCs im selben VLAN:

    Ping geht in beide Richtungen

    Beide PCs in verschiedenen VLANs der gleichen Zone. Die (unlöschbare) Default-Policy steht auf "Allow All":

    Ping geht in beide Richtungen nicht.

    Remote Desktop Verbindung z.B. geht aber.

    Noch eine Frage zu meinem Verständnis:

    Ich habe das VLAN meiner Wohnung (analog dem obigen Vorschlag von swag) zur eigenen Zone gemacht.

    Dort habe ich eine Policy erstellt "Allow all von Wohnung zu Internal".

    In der Gegenrichtung wurde automatisch eine Policy angelegt "Allow all von Internal zu Wohnung, Connection state return traffic".

    Erwartungsgemäß konnte ich dann eine Remote Desktop Verbindung von Wohnung zu Internal aufbauen umgekehrt aber nicht.

    Auch wenn die Frage jetzt für einen alten Hasen banal klingt. Für die Lernkurve eines Noob ist sie aber essenziell:

    Mit der manuell erstellten Policiy wird ein Verbindungsaufbau in eine Richtung freigegeben. Ohne dass dann der Gegenrichtung durch die zweite Policy der Kanal für die Antwort(en) aufgemacht wird, ist sie aber nichts wert?

    Edited once, last by razor: Ein Beitrag von AlterSack mit diesem Beitrag zusammengefügt. (February 11, 2025 at 7:47 PM).

    Für Firewall oder iptables regeln gibt es 4 Arten von traffic (NEW, ESTABLISHED, RELATED, INVALID)

    Ganz Oberflächlich: New sind neue Verbindungen, established bestehende , related neue verbindungen die in Bezug zu einer bestehenden Verbindung stehen. Z.B. ICMP)

    Für eine Verbindung von Wohnung zu internal sollte
    * new,established und related von Wohnung nach internal und

    * established und related von internal nach Wohnung erlaubt sein.

    Ein Verbindungsaufbau ist dann nur von Wohnung nach internal möglich die Antworten kommen aber zurück.

    Ping ist ICMP traffic. Normaler TCP. Die default Route beinhaltet aber "any" und daher wundert es mich das der related traffic bei Dir nicht zurück kommt.

    Zwischen Zone und Zone kümmert sich unifi beim Häcken "allow return traffic" angeblich selbständig um die Antwortpakete. In der letzten Firmware ist aber dazu noch ein Bug behoben worden.

    Quote from AlterSack

    Daran liegt es offensichtlich nicht.

    Doch.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.


    Quote from AlterSack

    Beide PCs im selben VLAN:

    Ping geht in beide Richtungen


    Beide PCs in verschiedenen VLANs der gleichen Zone. Die (unlöschbare) Default-Policy steht auf "Allow All":

    Ping geht in beide Richtungen nicht.

    Windows-Standardverhalten. Die Firewall blockiert ICMP (Ping) aus anderen Subnetzen. Ob diese Subnetze (VLANs) dabei in derselben Zone in der Hardware-Firewall sind, spielt keine Rolle und kann auch von Windows gar nicht erkannt werden.


    Quote from AlterSack

    Mit der manuell erstellten Policiy wird ein Verbindungsaufbau in eine Richtung freigegeben. Ohne dass dann der Gegenrichtung durch die zweite Policy der Kanal für die Antwort(en) aufgemacht wird, ist sie aber nichts wert?

    Nicht ganz präzise, ich versuche es mit einem Beispiel: Du hast Geräte 1 und 2, diese sind in Subnetz A bzw. B und Du hast eingestellt, dass Deine Subnetze grundsätzlich voneinander getrennt sind (was ja im Unifi-Standard nicht so wäre).

    Wenn du nun ausschließlich eine Verbindung A nach B erlaubst, wird Gerät 1 trotzdem nicht wirklich mit Gerät 2 reden können. Gerät 1 schickt zwar eine Anfrage an Gerät 2, aber da Gerät 2 nicht antworten darf, spielt die Erlaubnis-Firewallregel für Gerät 1 eigentlich keine Rolle. Es braucht demnach bei jeder "Freigabe" immer auch die Erlaubnis für das angefragte Gerät, zu antworten. Dafür legt Unifi jetzt mit der ZBF eine entsprechende Regel an, wenn Du den Haken bei "Auto Allow Return Traffic" setzt.

    "Return Traffic" ist aber dabei eine spezielle Art von Datenpaket. Wenn Du nun von Gerät 2 auf Gerät 1 zugreifen willst, wird die Verbindung von Gerät 2 initiiert, was eben keinem Return Traffic entspricht.

    In diesem Beispiel, wenn es also eine pauschale Erlaubnis für Anfragen von A nach B gibt, bräuchtest Du bei einer Erlaubnisregel "Gerät 2 nach Gerät 1" den Haken für "Auto Allow Return Traffic" im Prinzip nicht zu setzen. Schadet auf der anderen Seite aber auch nicht.

    Quote from swag

    Ping ist ICMP traffic. Normaler TCP. Die default Route beinhaltet aber "any" und daher wundert es mich das der related traffic bei Dir nicht zurück kommt.

    Danke erstmal für deine Ausführungen.

    Zum seltsamen Problem mit dem Ping:

    Auffallend ist, dass beim anpingen des anderen Win10-Pcs in der gleichen Zone nicht "Antwort von 192.168.40.114: Zielhost nicht erreichbar." sondern "Zeitüberschreitung der Anforderung.".

    Daraus lässt sich imo schließen, dass der anzupingende Host identifiziert ist und angepingt ist, von diesem aber keine Antwort kommt.

    Noch seltsamer ist: jeder andere Device-Typ (Android-Handy, Iphone, Android-TV) lässt sich anpingen. Der Android-TV am gleichen Switch mit identisch konfigurietem Port.

    Quote from AlterSack

    Zum seltsamen Problem mit dem Ping:

    Auffallend ist, dass beim anpingen des anderen Win10-Pcs in der gleichen Zone nicht "Antwort von 192.168.40.114: Zielhost nicht erreichbar." sondern "Zeitüberschreitung der Anforderung.".

    Daraus lässt sich imo schließen, dass der anzupingende Host identifiziert ist und angepingt ist, von diesem aber keine Antwort kommt.

    Noch seltsamer ist: jeder andere Device-Typ (Android-Handy, Iphone, Android-TV) lässt sich anpingen. Der Android-TV am gleichen Switch mit identisch konfigurietem Port.

    Lies dazu auch meine Antwort. Absolut normales Verhalten der Windows-Firewall.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login