Gerätefreigabe für Gastnetzwerk

    Hallo zusammen,

    zwar habe ich etliche Firewall Regeln, vor einigen Jahren, angelegt, nun komme ich aber nicht weiter.

    Kürzlich habe ich auf zonenbasierte Freigabe umgestellt und muss zugeben jetzt blick ich gar nichts mehr, muss mich mal in Ruhe damit beschäftigen.


    Ich habe folgendes Problem. An unserer PV Anlage (Fronius) muss demnächst einiges verändert werden, dazu kommt ein Techniker, mehrfach. Ungern möchte ich diesem einen Zugang zu unserem WLAN/Default Netzwerk geben sondern ihn in das Gastnetzwerk lassen. Da er aber zugriff auf den Wechselrichter und die Wallbox benötigt müsste ich beide Geräte für das Gastnetzwerk (Hotspot) freigeben. Versucht habe ich es aber komme nicht weiter. Entweder ist es zu lange her und ich übersehe etwas oder es gibt hier eine Besonderheit die ich nicht kenne.

    Beide Varianten gehen nicht, aktiv ist die Regel. Was muss ich anpassen das man vom Gäste-Netzwerk zum normalen Netzwerk, an 1-2 Adressen, kommt und sonst an nichts?

    Die Linke sieht schon mal gut aus. Die rechte Regel ist Unsinn ...

    Die Frage ist dann aber noch was für Regeln noch existieren und in welcher Reihenfolge ... Bei Internal - Hotspot und bei Hotspot - Internal in der Zonen Matrix.


    Das die "Zielgeräte" überhaupt auf Anfragen aus einem anderen IP Netz antworten ist sicher? Wäre nicht die erste eigenwillige PV-Kiste.

    Ja war auch bei der Linken, aber aus Verzweiflung habe ich mal beide Richtungen getestet.

    Zielgerät erreiche ich aus allen VLAN's (2), nur nicht aus dem Gast-Netzwerk, was vor Jahren mal mit der UDM erstellt wurde (irgend eine Standard Config für Hotspots).

    Ich habe eine Regel die dafür sorgt das die VLAN's nicht miteinander kommunizieren können, was auch so gewollt ist. Einige wenige Geräte habe ich zugelassen. Vermutlich liegt es auch genau an der Regel aber ich habe keine Ahnung, seit es die Zonen gibt, wie ich die Regel für den Wechselrichter "hoch schiebe". Sie ist geblockt um die Reihenfolge zu ändern.

    Ja sieht so aus als ob, es daran liegt. Da wird erst alles weggeblockt und der Rest interessiert dann nicht mehr.

    Die Originalregeln bei der Zonenbasierten Firewall sorgen übrigens dafür, das Gäste aus der Zone Hotspot nicht in die VLANs der Zone internal kommen, da ist nur Antworten erlaubt. Andersrum aus internal auf Hotspot wäre erlaubt, was meiner Meinung nach auch relativ sinnvoll sein kann.

    Die Regel bei dir mit dem Schloss ist automatisch erstellt, da Du "Rückkehrenden Verkehr automatisch zulassen" ausgewählt hast in der obigen Regel. Die sind nicht verschiebbar und ohne die Blockregel wäre auch alles schick. Man könnte jetzt an deiner Block Regel rumfrickeln. Da wird vermutlich jeder Connection state geblockt. Auf Custom stellen und nur New und Invalid blocken. Dann kann man keine neue Verbindung aufbauen aus Internal nach Hotspot, aber Antworten gehen durch. Sollte auch seinen Zweck erfüllen.

    ODER einfach Händisch davor eine Regel erstellen, welche das Antworten von 192.168.1.137 mit Port ANY in der Zone internal an die Zone Hotspot und das IP Netz 192.168.30.0/24 erlaubt. Also die mit Schloss nochmal händisch erstellen und über die Blockierregel packen.

    Das "Rückkehrenden Verkehr automatisch zulassen" könntest Du dann auch in der anderen Firewallregel aus machen, überflüssige Regeln sind nie gut.

    Danke schön!

    Ich stehe total auf dem Schlauch, früher konnte man Regeln einfach hoch oder runter setzen. Bei den Zonen geht das nun nicht mehr. Wo verändere ich die Priorität, bzw. wo schiebe ich Regeln nach oben oder unten?


    Gibt es eine gute Übersicht zu der zonenbasierenden Firewall, was bei YouTube das besonders zu empfehlen ist?
    Die Übersetzungen von Unifi sind oft "mangelhaft".

    Hat auch nicht funktioniert, nochmal für mich Doofi.

    • Quellzone ist Intern mit der IP des Wechselrichters
    • Anschluss Beliebig
    • Aktion Zulassen
    • Zielzone Hotspot - Beliebig
    • Anschluss Beliebig
    • IP Version Beide
    • Protokoll Alle
    • Connection State Alle
    • Zeitplan Immer

    Sollte passen?

    Und die Regel ganz nach oben geschoben.

    Es ist nur ein Versuch.

    Ich würde die Regel zum sperren so einrichten:

    Diese macht aber nur Sinn wenn du mehrere VLANs in der Internen Zone hast.

    Akternativ knnst du auch sagen welche Netzwerke in der Internen Zone nicht auf die Hotspotzone dürfen dann kannst du auch die Freigabe für das MGMT Lan weglassen.

    Ich mache das ganze lieber so um es später einfacher zumachen. Richte ich später weiter VLAN´s in der internen Zone mit ein, dann sind die automatisch da mit drinn.

    Danach noch eine Regel die dem MGMT LAN erlaubt auf die Zone Hotspot zuzugreifen und diese vor der Blockieren Regel setzen.

    Dann unter Hotspot zu intern eine Regel erstellen die den Zugriff auf den Wechselrichter erlauben soll und dann sollte es hoffentlich funktionieren.

    Bedenke aber auch solltest du im Gastnetzwerk das Portal aktiv haben müssen sich die Gäste aber erst im gastnetzwerk anmelden bevor du dann weiter kommst.

    Vlt alles einmal durchstarten und mal probieren.

    Ich vermute das sich da irgendwas beist bei deiner Regel alle IPv4 Adressen sperren.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Was hast Du denn jetzt gemacht? Eine neue Regel angelegt oder was? Steht doch oben was da rein muss. Und natürlich hoffe ich Du hast die Regel von Hotspot zu internal noch drin und da ist nichts davor oder so.

    Du kannst übrigens deine Blockierregel auch mal kurz pausieren, dann siehst Du ob es nur an dieser klemmt.

    Schon Jahre her da hatte ich mit 2-3 Anleitungen die VLAN's voneinander getrennt.

    Alle gleich aufgebaut

    Dazu noch eine Regel die einem PC erleubt sich über alle VLAN's zu bewegen, zur Verwaltung.
    1 VLAN für reguläre Geräte, 1 VLAN für alles was zum SmartHome gehört und das von UDM eigenständig erstellte Gastnetzwerk-VLAN.

    Portal im Gästenetzwerk ist aus.

    Quote from DoPe

    Eine neue Regel angelegt oder was?

    Ja weil ich mal aufräumen wollte und daher eine mit deinen Infos neu angelegt hatte.
    Leider kam ich aus dem Gastnetzwerk nicht auf die IP des Wechselrichters.

    Ich hab auch schon alle Regeln die blockieren deaktiviert und trotzdem komme ich aus dem Gastnetzwerk nicht in ein anderes VLAN. Kann es sein das Unifi für die Gastnetzwerke eine besondere, interne, Config nutzt?


    Gibt es eigentlich die Möglichkeit von meinen Firewall-Regeln ein Backup zu machen, nicht vom kompletten System?
    Es wird vermutlich mal Zeit die Firewall aufzuräumen und vernünftig auf die neue Variante mit den Zonen einzustellen. Zur Not müsste ich aber wieder zurück können falls etwas falsch ist und ich mich ggf. aussperre...

    Richtig, ich hatte in meinem Urlaub umgestellt und wollte mich damit mehr beschäftigen, da kam eben etwas dazwischen.
    Wie das so ist, nach dem Urlaub, im Alltag lief es ja generell ohne das ich etwas gemerkt hätte und dann schiebt man es vor sich her.

    Jetzt muss ich mal aufräumen.
    Hast du einen Tipp bzgl. eine Anleitung, Video,...?
    Unifi macht das ganz gut aber teilweise seltsam übersetzt, z.B. ist mir aufgefallen das "IP-Area" in "Straße" übersetzt wurde... kann schon mal verwirren.
    Mein Englisch ist ja, berufsbedingt, nicht schlecht aber "IT-Fachenglisch" ist es eben nicht, dazu noch die seltsamen Übersetzungen, nicht das etwas daneben geht.

    Jetzt habe ich mal komplett aufgeräumt
    Alle alten Regeln, die vor dem Wechsel auf die Zonen existiert hatte, sind angehalten. Wenn ich in 2-4 Wochen keine Probleme feststelle lösche ich sie komplett. So könnte ich aber wieder zurück.

    Teilweise habe ich neue Regeln erstellt bzw. an die Zonen angepasst. Läuft bisher ohne das mit etwas auffallen würde.

    An den Wechselrichter komme ich noch immer nicht. Testweise habe ich dem Hotspot / Gäste-WLAN kompletten Zugang zum LAN gegeben. Nicht das es am Ende am Wechselrichter liegt, ich komme auf nichts im Netzwerk Zugang wenn mein Gerät im Hotspot ist. Es gibt keine aktiven Regeln an der Stelle, abgesehen von denen die Unifi automatisch erstellt. Die Regel für den Wechselrichter steht natürlich darüber.

    Jetzt habe ich keine Idee mehr, was kann ich noch machen?
    Kann es sein das die Hotspot Funktion von Unifi Regeln ignoriert,...?

    Okay,

    ich habe ein bisschen recherchiert und die Ursache ist das Captive Portal bzw. die daraus resultierenden Post-Authorization-Restrictions, die offenbar vor den eigenen Firewall-Regel Anwendung finden.

    Wenn Du also zur Konfiguration des Captive Portals gehst (unter "Insights", s. Screenshot), dann gibt es dort die Pre-Authorization-Rules und Post-Authorization-Rules (im Reiter Einstellungen/Settings). Die Post-Authorization-Rules unterbinden jeden Traffic in private Netzwerke.

    Du kannst die benötigten Hosts (Gleichrichter, etc.) in die Pre-Authorization-Rules eintragen (in meinem Beispiel 192.168.20.234/24) - dann geht es. Es wird auch ein entsprechender Eintrag in den Firewall-Regeln angelegt. Möglicherweise kann man dann via ZBF das ganze noch auf einzelne Netzwerke in der Zone limitieren, aber das überlasse ich Dir.

    Ahh da hat der maxim.webster ja die richtige Ecke gefunden :) an die DInger hab ich gar nicht gedacht. Liegt vermutlich daran, dass wir quasi nirgends mehr die Hotspot Funktion nutzen.

    Naja der Sinn eines Hotspots ist es eigentlich auch nur Internet zur Verfügung zu stellen und die Hotspot Nutzer aus allem raus zu halten. Finde ich eigentlich ganz ok, dass Ubiquiti da die Sache strikter handhabt und man nicht mit unbedarften Firewallregeln unwissentlich alles aushebeln kann.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login