Verständnisfrage Firewall

Hallo zusammen,

vorab erstmal sorry, dass ich euch hier jeden Tag mit einer Frage bombardiere. Aber das System ist neu und ich bastel im Moment jeden Tag dran rum und so kommt eben jeden Tag auch irgendwas, was nicht klappt, wie ich es will, bzw. verstehe ich das ein oder andere Verhalten meines Systems auch nicht so ganz. Wie auch immer: Natürlich habe ich die Suchfunktion bemüht, aber auf die Schnelle keine befriedigenden Antworten gefunden. Daher stelle ich sie jetzt hier.

Ich war heute dabei, die VLANs voneinander zu isolieren. Das hat soweit geklappt. Ich konnte danach keine Geräte in anderen VLANs mehr über die IP aufrufen und auf deren Oberfläche zugreifen. Soweit so gut. Ich konnte sie aber weiterhin anpingen. Warum geht das? Und wie kann ich es verhindern? Anschließend habe ich versucht mir als Admin anhand der MAC-Adresse meines Rechners Zugriff zu einzelnen VLANs aus anderen VLANs heraus zu verschaffen. Das sollte doch eigentlich klappen. Die Erlauben-Regel habe ich dann natürlich in der Rangfolge nach oben gezogen. Leider hat der Zugriff so nicht funktioniert. Was habe ich falsch gemacht?

Vielleicht hat ja jemand eine Idee.

Euch allen eine schönen Abend!

Hi, hab gerade den falschen Screenshot hochgeladen. Deshalb jetzt nochmal ;-). Erstmal danke für die Antwort und den Link. Die Gruppenregel werde ich mir mal merken. Ich hatte eigentlich vor, die VLANs einzeln voneinander zu trennen. Das ist natürlich deutlich aufwändiger. Zum Anfang hatte ich es heute nur mit Office und Privat probiert. Oberflächen aufrufen im jeweils anderen VLAN ging nicht mehr. Pingen ging immer noch und anhand der MAC-Adresse konnte ich nicht ins andere LAN. Hier ist der richtige Screenshot.

Hi,
schieb das Thema nochmal an. Keiner eine Idee? Komme da leider nicht weiter. Theoretisch sollte es ja funktionieren. Irgendwo werde ich aber wohl einen Fehler gemacht haben. Nur wo?

Hallo BlackSpy,

danke für den Tipp mit den Gruppen. Das wird mich wohl auch zum Ziel führen. Und vielleicht werde ich es am Ende auch genau so machen. Trotzdem frage ich mich, warum mir die Firewall nicht den Zugang anhand der MAC-Adresse gestattet, obwohl ich dem System an erster Stelle gesagt habe, dass es genau das tun soll. Möchte das halt einfach verstehen.

Also verbuche ich das einfach mal unter bug. Danke für die Hilfestellung!

JS86 Der Admin-Rechner steht in allen möglichen VLAN's. Ich bin nämlich der Einzige hier, der je nach Aufgabe durch die VLAN's wandert und deshalb möchte ich in der Lage sein, von jedem VLAN auf ein anderes zugreifen zu müssen ohne das LAN wechseln zu müssen. Abends bin ich z.B. im Privat-VLAN unterwegs und tagsüber im Office-VLAN oder auch im Techniker-VLAN, dass wir für Veranstaltungen brauchen, wo ein reiner Gastzugang nicht ausreicht, aber doch vom Rest des Netzwerkes separiert werden soll. Wie gesagt, hab das ganze jetzt erstmal mit Privat und Office probiert. Zum Test wollte ich von Office auf meinen Privat-Drucker zugreifen. Ging nicht. Die Einstellungen wie oben unter Option 3 beschrieben habe ich natürlich schon so übernommen. Zum Aufbau: Es gibt folgende LANs: Management-LAN (default), VLAN-Privat, VLAN-Office, VLAN-VoIP, VLAN-Technik und VLAN-Gast und natürlich WAN und WAN2, aber das ist ja jetzt eigentlich auch egal. Reicht das erstmal als Info?

Hi, ich habe gestern auch noch ein bisschen rumgespielt und es ist bei mir, so wie du JS86 es beschreibst. Sobald man den Zugang in beide Richtungen blockt, muss man auch in beide Richtungen Ausnahmen festlegen. In meinem Fall habe ich erstmal die Block Office zu Privat rausgenommen. Ergebnis: Funktioniert. Dann habe ich die wieder reingenommen und zusätzlich dem (privaten) Drucker erlaubt ins Office zu funken. Ergebnis: Funktioniert. Im Grunde würde mir dieses Wissen schon reichen, um das zu verwirklichen, was ich haben möchte. So viele Clients gibt es jetzt auch nicht, auf die ich aus anderen Netzbereichen zwingend zugreifen möchte. Trotzdem frage ich mich, ob man dem Teil nicht irgendwie erklären kann, dass wenn eine erlaubte Verbindung aus einem ansonsten Geblockten VLAN entsteht, der entsprechende Client auch antworten darf, ohne für diesen eine spezifische Regel gesetzt zu haben.

BlackSpy Das ist im Grunde genommen ja auch logisch. Ich bin nur irgendwie davon ausgegangen, dass die Firewall weiß, dass die Antwort zu einer Verbindung gehört, die ja erlaubt ist und somit die Antwort auch erlaubt. Das ist nicht so. Die letzte Firewall, dich ich eingerichtet habe, war eine Software-Firewall auf einem Windows-Rechner vor fast 20 Jahren. Da muss ich mich erstmal wieder in die ganze Materie einfinden. Unifi ist ohnehin etwas speziell.

Zitat von Lucifor

Hallo, darf ich fragen wie die Regeln für den Drucker aussehen, ich bekomms nicht hin. Mein Netzwerkdrucker soll im Managemet Netz bleiben, aber aus den anderen Netzen erreichbar sein (Air Print und LAN).

Ich habe zwei Regeln "Erlauben" erstellt. In meinem Fall dann mit fester IP (weil ich dachte, dass meine Probleme von der MAC-Adresse herkommen). Admin darf in das Netz, in dem der Drucker steht (für jedes Netz dann eine Regel) und Drucker darf in das Netz, in dem der Admin ist (für jedes Netz eine Regel). Ich musste allerdings den Drucker nochmals manuell mit der IP neu hinzufügen. Das klapp eigentlich soweit.

Zitat von BlackSpy

cosmos

Bei mir ist das aber so, habe nix anderes gemacht und meinem Admin Rechner für alle VLAN freigegeben, nix anderes. Kann mit dem Rechner auf alle IP's in allen VLAN zugreifen und zB unsere beiden Server bedienen.

Wenn ich natürlich direkt Versuche von einem der Server auf meinen Admin Rechner zuzugreifen, geht nicht da nicht erlaubt

Ich glaube dir das auch. Ich frage mich halt noch, was muss ich einstellen, damit es genau so klappt, dass der Client auf eine erlaubte eingehende Verbindung antwortet, ohne dass für diesen Client eine spezielle Erlaubt-Regel definiert wird?