[gelöst] Firewall rules für Fronius gen 24

    Hallo liebe Unifi Freunde,

    ich habe eine UDM-Pro, OS = 4.2.12, Network = 9.1.120 mit diversen VLAN's. Eines davon ist ein IoT VLAN (bei mir die VLAN ID 50). Geräte in diesem VLAN haben keinen Zugriff auf das Internet. Realisiert habe ich das über folgende Regel:


    Nun bekomme ich meinen Wechselrichter (Fronius Gen24) und auch dieser wird im IoT VLAN landen. Folglich darf auch dieser nicht nach Hause telefonieren, was erst einmal richtig ist.

    Jedoch möchte ich die Fronius App Solar.web nutzen und habe auf den Fronius Internetseiten Informationen gefunden, was alles geöffnet sein muß, damit die Datenkommunikation funktioniert.

    Diese wären:

    Code
        Tcp fronius-se-iot.azure-devices.net:8883
    Tcp fronius-se-iot-telemetry.azure-devices.net:8883
    Tcp fronius-se-iot-telemetry.azure-devices.net:443
    Udp sera-gen24.fronius.com:1194 (213.33.117.120:1194)
    Tcp froniusseiot.blob.core.windows.net:443
    Tcp provisioning.solarweb.com:443
    Tcp cure-se.fronius.com:443


    Um ehrlich zu sein weiss ich nicht, wo und wie ich diese Informationen in der Unifi Umgebung hinterlegen soll. Kann mich hierbei bitte jemand unterstützen?

    Danke im voraus

    Gruß Wolfgang

    Hallo phino,

    vielen Dank für Deine schnelle Hilfe. Ich habe die Regel mal angelegt, testen kann ich das erst, wenn das Gerät da ist. Vielleicht kannst Du ja mal über meine Regel schauen, ob du das so gemeint hast (bei mir gibt es kein intern/extern).

    Und noch eine Frage: In den Anleitungen von Fronius steht weiterhin:

    Code
     0.time.fronius.com 123 TCP & UDP

reco.fronius.com 44000,44999 UDP

reco.fronius.com 443 TCP

    Kannst Du mir sagen, wofür noch die 123,44000 sowie 44999 benötigt werden?

    Schon mal Danke im voraus,

    Gruß Wolfgang

    Quote from wolfgangatwspiess.eu

    Kannst Du mir sagen, wofür noch die 123,44000 sowie 44999 benötigt werden?

    123 ist Network Time Protocol (NTP)

    Die anderen sind nicht definiert. Sieht man nur, wenn du den Traffic mitschneidest.

    Bei Destination steht Objekt? sollte da nicht WAN oder Internet stehen.

    Es sieht bei dir alles etwas anders aus. Ich nutze das zonenbasierte Firewall-Management und habe schon 9.2.x als Version.

    Quote from wolfgangatwspiess.eu

    vielen Dank für Deine schnelle Hilfe. Ich habe die Regel mal angelegt, testen kann ich das erst, wenn das Gerät da ist. Vielleicht kannst Du ja mal über meine Regel schauen, ob du das so gemeint hast (bei mir gibt es kein intern/extern).

    ....

    Kannst Du mir sagen, wofür noch die 123,44000 sowie 44999 benötigt werden?

    Du benutzt das alte Firewallsystem ... das kannst Du migrieren und anschliessend bereinigen um auf das zonenbasierte Firewall Modell umzustellen.

    Die Regel ist mit Sicherheit unfug :) die Ports gehören auf jeden Fall zur Destination ...


    Port 123 ist für einen Zeitserver, was man auch am hostnamen erahnen kann. Die hohen Ports wie 44000 oder 44999 sind nix was standardisiert ist. Das kann jeder für alles mögliche Benutzen. Da musst Du also mal den Hersteller befragen für was das benutzt wird ...

    Hallo phino, hallo DoPe,

    danke für eure Hilfestellungen.

    phino ich habe in diesem Feld nur die Auswahlmöglichbkeiten: Object, Network oder IP-Address

    DoPe ich habe die Regel nach Deinem Rat verändert. Ist das so nun in Ordnung? Sorry, das ist für mich allles ziemlich Neuland ...


    Die Port-Gruppe Fronius Solar.web hat nun 4 Ports: 8883,443,1194 und 123

    Danke und Gruß

    Wolfgang

    Du hast alles aus IoT Richtung Internet gesperrt.
    Jetzt benötigst du doch eine Regel, bei der der WR mit seiner IP-Adresse trotzdem zu fronius.com kommt.
    Somit muss doch in deiner Regel als Ziel (Destination) das Internet stehen oder noch besser direkt *.fronius.com.
    Dies ist so in der Regel nicht abgebildet.

    Source Port auf Any. Eine IP Verbindung wird in den seltensten Fällen vom Initiator auf dem selben Port ausgehend geöffnet, wie der Zielport ist. Der Quellport wird in der Regel ausgewürfelt. Wäre dem nicht so, dann könnte man nicht via ssh auf einen Server und dann von dort via ssh auf einen anderen Server zugreifen ... Oder ein Webserver wäre nicht in der Lage mittels http oder https irgendwohin zu verbinden.

    Du solltest allerdings auch bei Source das ganze auf den Wechselrichter beschränken. ansonsten gilt das ja für alle Geräte/Netze weil da Any steht. Entweder ein Object (wie für die Ports nur mit IPs) anlegen mit der IP des Wechselrichters und das dann bei Source Adress Group auswählen oder auf IP stellen und die IP vom Wechselrichter direkt dort angeben. Gleiches gilt auch für die Destination, sonst sind die Ports ausgehend für jede IP im Internet offen. Dafür müsstest Du aber eine Object mit IPs anlegen und die IPs ermitteln, die zu den ganzen hostnamen gehören ... und die könnten sich auch jederzeit ändern :)

    INTERNET_OUT sollte gehen ... außer das NAT hat bereits die Source Adresse der Pakete umgeschrieben.

    DoPe

    Hallo und guten Morgen,

    vielen Dank für die ausführliche Antwort. Erster Absatz habe ich verstanden. Der zweite Absatz ist mir nur in Teilen klar: Der fehlende Eintrag in der Source war mir auch schon aufgefallen, habe ich abgeändert.

    Ab "Dafür müsstest ..." habe ich es nicht mehr verstanden, aber das benötige ich doch nicht mit diesen Einträgen: Ist das jetzt alles richtig umgesetzt?

    Danke und Gruß

    Wolfgang

    Wenn 8883,443,1194 und 123 im Profile "Fronius Solar.web Ports" steht, sind Source und Destination Ports soweit korrekt.

    Das Profile "Fronius Solar.web IP" wird aber bei Source und Destination verwendet. Was ist da drin? Zu 99,9% ist das nicht korrekt. Ich vermute mal da steht alleine die LAN IP vom Wechselrichter drin - dann gehört es nur bei Source rein. Die würde ich dann eher "Fronius Solar.lan IP" nennen. Bei Destination sollte ANY oder aber ein anderes Profile mit den Internetadressen drin sein, zu dem der Wechselrichter im Internet connecten will/soll/möchte. Da passt "Fronius Solar.web IP" als Name fürs Profil.

    Du musst dann einfach mal die ganzen Adressen die Du oben erwähnt hast, in IPs auflösen und in das Profil für die Internet IPs für Destination eintragen. Kannst Du z.B. für jeden host einmal so machen.

    Aber wie gesagt, das kann sich jederzeit ändern und ggf. wird da wild rumgetrickst mit DNS ... sieht ja ziemlich stark nach Microsoft Cloud aus und da ist ständig Bewegung drin. Selbst wenn Du es so machst, ist es immer noch nicht 100% eingegrenzt, da die Firewallregel eine Menge x von IPs und eine Menge Y von Ports kombiniert und somit immernoch Kombinationen existieren, die nicht erforderlich wären ... Beispiel: Es ist ein Zeitserver angegeben, daher auch der Port für Zeitserver erlaubt ... es läuft aber nicht auf allen hosts (IPS) der Liste ein Zeitserver ... bedeutet also für völlig sauber müsste man für jede Zeile der auf der Fronius Webseite angegeben zu öffnenden Adressen, Dienste wie immer das als Sammelbegriff benannt werden kann, eine eigene Regel erstellen ....

    Aber man sollte wohl die Kirche im Dorf lassen ... jeder Regel macht die Verarbeitung von Paketen aufwendiger und somit langsamer ... gerade bei einer betagteren USG.

  • wolfgangatwspiess.eu June 6, 2025 at 1:21 PM

    Changed the title of the thread from “Firewall rules für Fronius gen 24” to “[gelöst] Firewall rules für Fronius gen 24”.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login