Moin hast du nach der Umstellung einfach mal alles neugestartet, auch Switche und Ap's?
Moin hast du nach der Umstellung einfach mal alles neugestartet, auch Switche und Ap's?
ne, nur das Gateway habe ich neugestartet.
Ein Versuch war es wert. Hatte bei mir einige Male feststellen müssen das dann auch erst nach dem Neustart der Switche das umgesetzt wurde was in der udm eingestellt wurde.
Wenn Du nur ein WLAN mit einem normalen WLAN-Schlüssel für Gäste haben willst, dann kannst auch einfach ein VLAN mit entsprechendem WLAN konfigurieren und in die Zone internal packen und isolieren. Alternativ kannst Du auch eine extra Zone dafür erstellen.
Wenn Du nur ein WLAN mit einem normalen WLAN-Schlüssel für Gäste haben willst, dann kannst auch einfach ein VLAN mit entsprechendem WLAN konfigurieren und in die Zone internal packen und isolieren. Alternativ kannst Du auch eine extra Zone dafür erstellen.
das war auch meine Idee, also mit Isolate Network ist dann alles getan? Zone habe ich internal gelassen.
naja die router gui, also 80,443 und 22 würde ich noch für Gastnetz zu machen. Und halt aufpassen beim erstellen von Firewallregeln, dass Du das isolieren nicht aushebelst.
naja die router gui, also 80,443 und 22 würde ich noch für Gastnetz zu machen. Und halt aufpassen beim erstellen von Firewallregeln, dass Du das isolieren nicht aushebelst.
dachte der isoloiert die von den anderen Netzen automatisch, wohl falsch gedacht..
Der Router gehört aber zu keinem Netz, aus Sicht der Firewall ist das Gateway eine eigenständige Zone. Netzwerk Isolierung sorgt nur dafür, dass Du mit anderen VLANs nicht kommunizieren kannst, ausgenommen sind dann hier auch die IPs des Gateways in den anderen VLANs, denn die gehören zum Gateway.
Der Router gehört aber zu keinem Netz, aus Sicht der Firewall ist das Gateway eine eigenständige Zone. Netzwerk Isolierung sorgt nur dafür, dass Du mit anderen VLANs nicht kommunizieren kannst, ausgenommen sind dann hier auch die IPs des Gateways in den anderen VLANs, denn die gehören zum Gateway.
wie ist denn die einfachste lösung hierfür? Ich hatte eine eigene Zone für z.B. gast. Habe dann eine richtlinie block zu Gateway gemacht und eine Allow zu Extern. Funzt so leider nicht.
Wenn du eine neue zone erstellt hast ist erstmal alles blockiert was in die zone geht und raus geht. Ausser extern und gateway. Danach das Netzwerk rein und in der Firewall noch einstellen das diese Netzwerk nicht auf die anderen Gateways darf und im eigenen gateway nur den Zugriff auf die Weboberfläche sperren.
Wenn du eine neue zone erstellt hast ist erstmal alles blockiert was in die zone geht und raus geht. Ausser extern und gateway. Danach das Netzwerk rein und in der Firewall noch einstellen das diese Netzwerk nicht auf die anderen Gateways darf und im eigenen gateway nur den Zugriff auf die Weboberfläche sperren.
ich bekommst nicht hin, hast du mir evtl ein Beispiel oder eine Anleitung?
Na klar doch.
Hier habe ich das so gelöst. Ein Gruppe erstellt die andere GW genannt ausser...
Darein kommen die alle GW Adressen rein die du hast. Also zum Beispiel 192.168.1.1, 192.168.10.1 und 192.168.20.1 und so weiter.
Die GW Adresse deines GASTNETZWERKES lässt du aber raus, sonst sperrst du es komplett aus, denn das muss mit dem eigenen GW reden können wegen DNS, DHCP und so weiter.
Nehmen wir an dein GASTNETZWERK ist das 192.168.30.0/24 dan wäre die GW Adresse 192.168.30.1, diese trägst du dann nicht mit in die Gruppe rein.
Dann erstellst du eine Firewallregel ähnlich meiner hier:
Oben in der Quellzone nimmst du dann deine Zone und da drinn nimmst du dein Gastnetzwerk.
Zielzone machst du genauso wie bei mir mit deiner ebend erstellten Gruppe.
Abspeichern dann ist der erste Schritt erledigt.
Dann erstellst du noch eine Regel die dann für das eigene Gateway HTTP, HTTPS und SSH sperrt.
Dazu erstellst du eine neue Gruppe diesmal mit den Port´s 80,443,22, und dann wie die neue Firewallregel.
In der Quellzone wieder deine Zone und dein Netzwerk nehmen.
In der Zielzone genauso wie bei mir nur bei dir trägst du dann unter IP - da unter spezifisch und dort trägst du dann die IP deines GW vom Gastnetzwerk ein, als Beispiel 192.168.3.01, aber unter Anschluss die Portgruppe nicht vergessen.
Speichern und fertig. So können alle Geräte aus diesem Netzwerk die anderen GW erst garnicht erreichen und bekommen so auch nix mit von den Geräten da drinn und im eigenen GW kommen die Geräte dann nur nicht auf das Webinterface vom Unifi.
Don’t have an account yet? Register yourself now and be a part of our community!
