Unifi Zone Based Firewall - Hilfe

    Hi zusammen, das ist mein erster Post und ich gebe frei zu, ich bin Newby, allerhöchstens hobby sys admin. Daher meine Bitte um Hilfe.

    Bin damals von Unitymedia zu Vodafone übergegangen unter der Bedingung meinen 1Gbit/s Tarif noch um IPV4 FullStack zu erweitern. Das wurde mir dann auch freundlicherweise dazu geschenkt und seitdem habe ich meinen Lokalen Server auch übers Web erreichbar gemacht. Seit einiger Zeit ist der Server nicht mehr über das Web erreichbar. Ich nehme an, dass es durch ein Update der UDM Pro und meinem ungestümen umschalten auf die Zone Based Firewall zu diesem Problem gekommen ist.

    Zum Setup:

    Kabelanschluss: COAX 1 Gbit/s DOWN - 50 Mbit/s UP

    Router: FritzBox Cable 6690 mit UDM Pro dahinter geschaltet als *exposed host*. Bridge Mode habe ich auf der FritzBox leider nicht hingekriegt.

    Überlege da noch in ein Kabelmodem von ARRIS, das CM3500 B CE zu holen und die FritzBox einzustellen. Ist aber aktuell keine Prio, es sei den jemand ist hier ganz anderer Meinung ;)

    Gateway: UDM Pro v4.1.13 mit Network v9.0.114 & der Zone-Based Firewall.

    Auf der UDM Pro:

    Zwei VLANs
    1. default und unter Security als Internal in der Zone Matrix hinterlegt (hier soweit alles default)
    2. zweites VLAN habe ich Web Accessible genannt und unter Security in die DMZ gesetzt. Soweit ich verstehe sollte die DMZ Traffic Zone nach außen kommunizieren dürfen.

    Port 6 der UDM Pro habe ich also dem neuen VLAN 2 - Web Accessible zugewiesen.

    An Port 6 der UDM Pro hängt mein lokaler Server mit einen Reverse Proxy drauf unter dem diverse Services laufen.

    Routing

    Unter Routing habe ich Portweiterleitungen für Port 80 & 443 eingerichtet (da die FritzBox die UDM als exposed Host führt ist dort doch keine Freigabe mehr notwendig).

    WANWAN PORTFROMFORWARD IPFORWARD PORTPROTOCOL
    WAN 180AnyLokale Server IP in VLAN 280TCP/UDP
    WAN 2443AnyLokale Server IP in VLAN 2443TCP/UDP



    Der Server hat eine IP die im VLAN 2 liegt und meine Services sind im lokalen Netzwerk verfügbar wenn ich auf der UDM Pro manuell meine DNS Einträge einrichte.

    Das Problem liegt jetzt darin das meine Domain in Connection Timeout Errors läuft beim Aufruf aus dem Web. Die Domain wird an meine public IPv4 weitergeleitet (die IPv4 beginnt mit 84.118. und sollte nicht das Problem sein).

    Wenn ich einen Port scan der public IPv4 auf Port 80 mache, ist dieser Offen solange ich die oben gelistete Routing Rule aktiv habe auf der UDM Pro. Sobald ich die deaktiviere ist auch der Port 80 geschlossen auf meiner öffentlichen IP. Das ist soweit nachvollziehbar und ich würde das gerne als Bestätigung sehen, dass das Setup soweit funktioniert.

    Witziger weise ist Port 443 laut Scan immer geschlossen, egal ob die Routing Rule in der UDM auf aktiv setze oder nicht. Und ich habe leider keine Ahnung wie ich dem Problem jetzt auf die Spur kommen kann und wäre um jede Hilfe dankbar.

    Edited once, last by JakeKydd (March 21, 2025 at 4:43 PM).

    Deine Liste ist kein Routing ... das sind Portweiterleitungen und unter der Habe gehört das zu den iptables, also eher zum Firewallteil. mal so als Korrektur.

    Also der Reverse Proxy ist in der Zone DMZ, darauf kannst Du vom Internet Zugreifen. Der Reverse Proxy versucht daraufhin dann die Webseiten vom eigentlichen Server ( Zone internal) zu holen. Jetzt schauen wir uns mal die ZBF Matrix an. Links in die Zeile DMZ (das ist die Quelle des Paketes) und dann nach rechts zur Spalte internal (das Ziel des Paketes) ... Da mal schauen was es da so an Regeln gibt. Default ist das Feld blau und es ist in diese Richtung nur Antwort Traffic erlaubt. Das führt dazu, dass der Proxy den Webserver nicht erreicht. Hier musst Du dann eine Regel einfügen die den gewünschten Traffic durch lässt.

    Die Gegenrichtung von Internal nach DMZ sollte per Default alles durch lassen.

    Danke Dir für deine Korrektur und deine Hilfe! Ich bezog mich mit Routing auf den Menüpunkt Routing -> Port Forwarding im UDM Network Dashboard, weil ich dachte das der Traffic noch aus dem WAN an den lokalen Server geroutet werden muss, auch wenn er in der DMZ liegt. Also habe ich hier 2 Einträge mit der lokalen Server IP in VLAN2 (liegt in der DMZ) eingetragen. Ist das nicht notwendig?

    Hier mal ein aktueller Screenshot.


    In der Zone Matrix war das Feld bei DMZ (Quelle) Internal (Target) tatsächlich blau und auf default, also Allow Return Traffic, Block All Traffic.

    Ich habe da jetzt einmal eine neue Policy für den Port 443 hinterlegt. Hier kann man das einmal betrachten:


    Funktionieren tut es danke deiner Hilfe nun im internen LAN auch ohne DNS Einträge auf der UDM, herzlichen Dank!
    Allerdings funktioniert es für Geräte im internen WLAN oder über das Web weiterhin nicht. Ich denke ich habe hier etwas grundlegendes noch nicht verstanden.

    Falls es hilft, hier seht ihr die Policies von DMZ zu External die ich mir seit 10 Minuten ratlos anschaue.

    Ich werde dieses Issue jetzt schließen weil sich das Problem für Wifi und Web nun erledigt hat.
    Leider kann ich euch nicht mit sicherheit mitteilen woran es letztendlich gelegen hat.

    An den UDM Einstellungen habe ich seit meines letzten Posts nichts mehr verändert.

    Lediglich die FritzBox die der UDM Pro vorgeschaltet ist habe ich noch einmal Neugestartet, also auch keine Einstellungen verändert, sondern nur Neugestartet und siehe da... es läuft.

  • JakeKydd March 22, 2025 at 2:10 PM

    Set the label from offen to erledigt

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login