Nach Umstellung auf zone based firewall gibt es Probleme

Hallo,

habe auf die zone based firewall umgestellt. Seither habe ich einige Probleme, die ich nun der Reihe nach abarbeiten will und idealerweise verstehe!

Hier mein erstes Problem:

Der WLAN-Drucker ist im Gästenetz (Zone Hotspot) und soll natürlich von allen Geräten des normalen Netzwerks (Teil der Zone Internal) erreichbar sein. Leider bekomme ich nicht mal einen Ping

Mit den gesetzten Policies (siehe unten) würde ich aber erwarten, dass ich den Drucker ansprechen kann.

Policies Zone Internal -> Zone Hotspot

• Da steht einfach nur Allow All (da habe ich noch gar nichts eingeschränkt)

Policies Zone Hotspot (Gaste) -> Zone Internal (normal)

Hierin befinden sich nur voreingestellte Regeln, also Regeln von Unifi:

• Allow: Public DNS
• Block: Post-Authorization Restrictions (Was ist denn das?)
• Allow: Return Traffic (Damit Geräte aus dem Gastnetz was zurücksenden können brauche ich das oder?)
• Block: All Traffic

Ah, Ok! Macht Sinn! Danke

Wollte den Drucker testweise schnell mal per WLAN anbinden -> einzig öffentliche SSID ist Gastnetz, sollte aber nicht so bleiben => Umzug steht bevor

Neuerdings habe ich wieder ein Problem, dass ich mit der Zone-Based-firewall nicht verstehe.

Ich habe dem ganzen Überwachungskram ein Netz (VLAN) Sicherheit spendiert, dieses in die Zone "untrusted" (selbst angelegt) gepackt, und die Kamera in dieses Netz mit einer DHCP-festen IP-Adresse eingetragen.

Meine Server liegen natürlich in einem anderen Netz, so auch der NVR. Das VLAN der Server befindet sich wie zu erwarten in der Zone "intern"

Ich habe also eine Regel erstellt, Um von intern auf "untrusted" zugreifen zu können:

Quellzone: "intern" beliebig

Aktion: Zulassen (und "rückkehrendem Verkehr automatisch zulassen" angeklickt)

Zielzone: "untrusted" (mit der Option Netzwerk und dort alle VLANs gewählt, die es dort gibt)

Sonst keine weiteren Einschränkungen

Setze ich nun von einem der Server im Servernetz einen Ping auf die Kamera ab, erhalte ich ne Antwort - so wie erwartet, da ja rückkehrender Verkehr gesetzt ist.

Setze ich nun aber vom Server des NVR den gleichen Ping-Befehl ab, gib diesem sogar die Netzwerkschnittstelle mit (Option -I), um ganz sicher eine Netzwerkschnittstelle des Servernetzes zu nutzen, dann antwortet die Kamera nicht. Der Ping bleibt stumm. Ehrlich gesagt das verstehe ich überhaupt nicht.

Irgend jemand ne Idee?

Quote from DoPe

Ist auf dem Interface der Standardgateway drauf oder wo ist das? Ich vermute nicht. Warum gibst Du überhaupt das Interface beim Ping an, der DVR benutzt doch so oder so entweder ein Interface, welches direkt im Zielnetz ist oder das Interface mit dem Standardgateway.

Weil der Server mehrere Netzwerkkarten hat und nur eine hängt im angegebenen Netz. Aber das bringt mich auf eine Idee: Ist es eigentlich sichergestellt, dass die Ping-Antwort (Pong) auf dem gleichen Interface landet?

Dann kann es daran nicht liegen, denn sowohl das verwendete Netzwerkinterface, als auch das Netz der Kamera haben ein Gateway hinterlegt.

OK, deinen Gedanken zur Sicherheit zum Anlass habe ich das nun geändert. Die NICs des NVR hängen nun alle im selben Netz, die Firewall regelt alle Kommunikationskanäle - und was soll ich sagen, die Kamera kann wieder angesprochen werden.

Danke