Netzwerkport vor unbefugtem Zugriff durch Ferienwohnung absichern

UbiTim · March 7, 2025 at 4:08 PM

HI zusammen,

ich baue mir grade ein neues Netzwerk auf und benötige Hilfe beim Absichern des Netzwerkes gegen Zugriffe aus der Ferienwohnung.

Zur Hardware:

UDM SE
Pro Max 24 PoE
diverse APs

Mein eigentliches Netzwerk habe ich soweit segmentiert:

Default (privates Netz) (1) | Internal Zone
IoT (getrenntes VLAN mit z.T. eingeschränktem Internetzugang) (20) | IoT-Zone (selbst angelegt)
FeWo (Netzwerk Ferienwohnung) (50) | Hotspot-Zone
Access (Doorhub) | Isolated Networks (eigene Zone, alle Netzwerke als "isolate network) angelegt)
Access-Fewo (Doorhub-Fewo) | Isolated Networks
Guest (Gästenetzwerk für Freunde/Verwandte) (30)| Isolated Networks

Soweit funktioniert das alles super und ich bin sehr zufrieden. Allerdings habe ich Probleme bei der Umsetzung des Netzwerkes der Ferienwohnung.

Die Ferienwohnung hat neben einem eigenen AccessPoint noch 2 RJ-45 Buchsen für TV o.ä.

Alle Verbindungen der Ferienwohnung sind auf meiner UDM angeschlossen. Von der Ferienwohnung aus sollen keine Verbindungen in meine anderen Netzwerke möglich sein, die Geräte innerhalb des Netzwerks (50) sollen kommunizieren können. Das alles ist ja relativ einfach umzusetzen, indem man das Netzwerk der Hotspot-Zone zuordnet und im Port-Manager die Ports entsprechend dem nativen VLAN der Ferienwohnung (50) zuordnet und alle "Tagged Vlan Management" auf Block-All stellt.

Leider funktioniert das mit dem angeschlossenen Accesspoint nicht. Stelle ich dessen Port auf das Fewo Netzwerk VLAN (50) aus der Hotspot-Zone entsprechend um, verschwindet der AP und ist nicht mehr online. Auch ein Neustart des APs hilft nicht. Die SSID ist sichtbar, verbinden kann ich mich nicht, da mein Rechner keine IP bekommt.

Weiße ich dem Port ein anderes VLAN zu z.B. Guest (30) (isoliertes Netzwerk außerhalb der Hotspot-Zone), zieht sich der AP per DHCP eine IP und ist online. Der AP ist nun also an einem Port mit nativem VLAN Guest (30) und hostet das Wifi FeWo (50) aus der Hotspot-Zone. Das funktioniert dann fehlerfrei.

Soll er ein Wifi hosten, was in das gleiche VLAN Guest (30) zeigt, sehe ich die SSID erneut, erhalte aber wie zuvor keine IP.

Wo ist mein Denkfehler? Haut mir irgendwo die Firewall dazwischen?

Gibts möglicherweise eine einfachere Lösung? MAC-Adress-Restriction geht an der UDM leider nicht und kann auch recht einfach umgangen werden.

Ich bin für alle Tips offen, falls ihr weitere Infos/Screenshots braucht, einfach melden, ich bin heute Abend wieder verfügbar.

Danke vorab!

warp760 · March 7, 2025 at 7:10 PM

Ist in meinen Augen ein Riesen Bug, scheint aber halt so zu sein. Hab das auch mit den Aussen Ap´s. MAC bringt auch nix, dann geht nur der AP aber halt kein Client mehr.

Nutzer666 · March 7, 2025 at 7:43 PM

Schaut euch mal die Einstellung hier an:

AP-Settings:

UbiTim · March 7, 2025 at 8:41 PM

Was genau bewirkt die Funktion?

Nutzer666 · March 7, 2025 at 8:47 PM

Lies dir mal das durch:

Virtual Network (VLAN) Troubleshooting – Ubiquiti Help Center

Du kannst einen Port mit keinem nativen netzwerk belegen. Oder ein anderes natives Netzerk drauflegen (z.B. gast). Der AP zieht sich dann trotzdem die IP aus dem "managemant" VLAN, obwohl das nichtals natives Netz auf dem Port konfiguriert ist.

UbiTim · March 7, 2025 at 8:56 PM

Ok, entweder die Override-Funktion testen oder einfach ein dediziertes, isoliertes (isolate network aktivieren)VLAN für die APs anlegen (und da die APs mit verschiedenen SSIDs in anderen VLANs anlegen. Richtig?

Edit:

Danke für den Artikel, der is onpoint. Man erfährt zwar den Grund nicht so richtig, warum das nicht geht, aber man erfährt wenigstens, dass es nicht geht. Lösung mit anbei. Wird gleich zuhause getestet.

**gierig** · March 7, 2025 at 11:55 PM

Quote from warp760

Ist in meinen Augen ein Riesen Bug,

Wie bei ALLEN anderen Herstellern, wer Port Sicherheit will muss TIEF in die Tasche greifen

und sich AP mit 802.1X besorgen + Surrogate Mac Handling weil sonst die Clients in die Röhre kucken. Gibt bei Cisco, da zahlst du dann die Unifi Anschaffungskosten einmal im Jahr für den

Software Support um überhaupt Updates zu erhalten

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Das ist ist so per Design in der NetzwerkWelt. WLAN is nur Ethernet über Luft.

Kabel <-> Luft ist nur eine Bridge. Sonst hätten es Broadcast wie ARP / DHCP

keine Change oder alleine ethernet von A nach B. Mac Filter nur für den AP kann

daher nicht gehen, weil die Clients ja ihre eigne MAC haben

Mit den verschieben des AP MGMT Netzwerkes in ein VLAN kann man sich das NATIVE

VLAN sparen, wenn du aber schon Angst das jemand seine MAC fälscht.. die meisten

aktuellen Netzwerkkarten können VLAN Tagging noch einfacher als man die MAC verbiegt.

Wobei man über die FW ja dafür Sorgen kann das das VLAN nur den Controller und

Internet erreicht.

Sonst halt mechanisch. Unerreichbar machen, Käfig drum bauen,

Festkleben, In die abgehängte Decke verstecken. EIGNE Infrastruktur hinstellen.

UbiTim · March 8, 2025 at 12:01 AM

N'Abend,

danke für die Antwort.

Es muss dennoch eine Lösung geben, ich bin nur noch nicht lange genug im Unifi-System, um das umzusetzen.
So einfach wie von mir beschrieben war es nicht bzw hat noch nicht funktioniert.

Der Plan ist eine Art "Blackhole"-VLAN id(99) anzulegen. Dazu muss ich eine Zone bauen, die wirklich nichts darf, außer ins Internet und mit dem Gateway DNS und DHCP zu sprechen... VLAN 99 hänge ich an den Port, an dem der AP angeschlossen ist. Durchleiten darf der Port das VLAN der Ferienwohnung (50). Die SSID der Ferienwohnung landet ebenfalls im VLAN 50. Zieht man dann das Kabel aus dem AP und möchte "einbrechen" landet man im VLAN 99 und darf quasi gar nichts.

Edit:
Ich habe mir jetzt nochmal mit einem Port-Scanner angeschaut, was alles auf dem Gateway "exposed" ist.

80,443,8080 und 8443. Die habe ich jetzt dicht gemacht. D.h. man kann sich im Wifi jetzt im Guest-Hotspot (Hotspot-Zone) aufhalten, Internetdienste nutzen und mit anderen Clients im gleichen Hotspot kommunizieren. Zieht man das Kabel des APs kommt man ins Internet, mehr nicht.

Ich mach morgen noch ein paar Tests, aber so scheints zu funktionieren.

UbiTim · March 8, 2025 at 12:51 AM

So das funktioniert tatsächlich so wie ich mir das vorgestellt habe.

Kleines Manko welches noch gefixt werden muss:

Port 7 (VLAN Blackhole id 99) <- AP hostet SSID FeWo in VLAN 50 <- Wifi-Clients landen im FeWo-Netz (50)

Port 8 (VLAN FeWo id 50) <- Rechner angeschlossen -> landet wie erwartet auch im FeWo-Netz (50)

Clients im Wifi der FeWo, können Sie sich sehen und pingen (icmp). Der Client an Port 8 (gleiches VLAN) wird nicht gesehen und kann auch nicht gepingt werden... Wie bekomme ich das noch hin? Zwischen Wifi-Clients und Ethernet- Wo gehen meine Pakete verloren, wo hab ich einen Denkfehler?

Feriengäste sollen mit dem Smartphone auf TV und co zugreifen können, streamen usw.

b_s101 · March 8, 2025 at 8:06 AM

Hi,

wenn du die Ports absichern willst, wäre 802.1x der richtige Weg. gierig hat's ja schon beschrieben. Allerdings kann Ubiquiti durchaus 802.11x. RADIUS auf der UDM aktivieren, 802.11x aktivieren und dann den einzelnen Ports zuweisesen. Ich hab das nicht getestet, sondern nur in die Einstellungen geschaut. Vielleicht ist der integrierte RADIUS Server nicht so flexbiel, sodass du man da besser was externes einsetzt. Aber grundsätzlich scheint das so zu funktionieren.

Gruß

UbiTim · March 8, 2025 at 1:12 PM

Welche Authentisierung setzt Unifi hier ein? MAC-Adresse ist ja nicht so wirklich sicher. Und was beherrschen die APs?

Nutzer666 · March 8, 2025 at 1:14 PM

Du kannst über wpa enterprise alles mögliche umsetzen. Zertifikate, Nutzername+Passwort etc. Ist alles möglich.

Teilweise halt aber externe Dienste nötig

Participate now!