UDM Pro, L2TP Verbindung, Firewall Zugriff auf Gateways blocken

Es gibt 8 Antworten in diesem Thema, welches 4.567 mal aufgerufen wurde. Der letzte Beitrag () ist von BlackSavi0r.

    Hallo Leute,


    nachdem ich, auch dank eure Tipps, mit meinem Netzwerk super zufrieden bin hat sich bei mir ein Problem ergeben auf dessen Lösung ich nicht komme.

    Und zwar geht es um VPN Verbindungen und das Blocken des Zugriffs auf die Gateway Adressen.


    Ich habe insgesamt 3 VLANs. Das Haupt-VLAN hat natürlich ganz normal Zugriff auf die Gateways. Alle anderen VLANs haben keinen Zugriff auf die Gateways. Eingestellt über die Firewall. Soweit so gut.

    Meine VPN-Verbindung kommt über ein eigenes VLAN ins Netzwerk. Soweit ich das verstanden habe geht das auch gar nicht anders. Eigentlich wäre mir sympathischer, wenn die VPN Verbindung eine IP aus dem Haupt-VLAN bekommt, aber das wäre wohl auch nicht so klug. Aber das nur am Rande.


    Mein eigentliches Problem ist, dass die Regeln, die ich für die normalen VLANs aufgestellt habe, damit sie keinen Zugriff auf die Gateways haben, beim VPN-"VLAN" nicht funktionieren. Ich habe genau die selbe Regel erstellt, aber über VPN habe ich dennoch Zugriff auf die Gateways. Hier ein Screenshot zu den bestehenden Regeln:




    Die Gruppe "Block Users to Gateways" beinhaltet einfach nur die jeweiligen Gateway-IPs. Bei mir: 192.168.10.1, 192.168.20.1, etc. Die bestehenden Regeln funktionieren auch wie gesagt. Ich bräuchte nur eine Regel mit der ich das selbe für eine VPN Verbindung erreiche. VPN Verbindungen erhalten 192.168.111.xxx


    Hoffe es kann mir da jemand einen Tipp geben :smiling_face:


    Danke!

    Ich habe leider ein ähnliches Problem und konnte es bisher auch nicht korrekt lösen.

    Denke das unsere Problem aber den gleichen Hintergrund haben.

    Komme ich vom VPN bekomme ich eine IP aus dem vorgegebenen Netzwerk der L2TP Verbindung allerdings mit dem Subnetz 255.255.255.255 komme aber in ALLE meine VLAN und kann es auch nicht blocken.

    Beim User ist ein entsprechendes VLAN bei VPN angegeben, er geht aber nicht dorthin.

    Nehme ich aber den selben User und komme über WPA Enterprise rein bekommen ich vom zugewiesenen VLAN IP, Gateway und DNS.

    Kann zwar damit leben, korrektes VLAN Routing bei VPN fände ich aber besser.

    falls ich dich richtig verstanden habe kannst du über die L2TP VPN Verbindung ungehindert in andere VLANS? Also nicht nur auf die Gateways? Das konnte ich nämlich blocken. Ich zeig dir mal meine Regel dafür vielleicht hilf sie dir zumindest bei diesem Problem:


    Eine LAN out Regel


    und hier noch zur Sicherheit die entsprechende RFC1918 Gruppe:



    mit der Regel habe ich zu den VLANs über VPN keinen Zugriff. Für den Zugriff auf mein NAS habe ich die IP dann zusätzlich freigegeben.

    lg

    Teste ich Mal danke.

    Das Nonplusultra für mich wäre das ich gleich ins richtige VLAN geroutet werde.

    Gefällt mir 1

    tjk


    Hi!


    Bitte mal versuchen.

    Ist nur ein Gedanke!


    Deine Firewall-Rules sind im LAN IN definiert.


    Die VPN-Verbindung kommt über die Schnittstelle WAN IN.


    Hier würde ich die Firewall-Rules definieren.

    Ich habe es nicht getestet.


    Gruß!

    Hallo Zusammen,


    habe das gleiche Problem, bei mir funktioniert es unter WAN In leider auch nicht.

    Sehr ärgerlich, da will man die Netzwerke abschotten aber auf das wichtigste Gerät kommt man über VPN immer.


    VG

    • Offizieller Beitrag

    Vielleicht hast Du ja ein Update tjk . Ist ja schon ein paar Tage her. :winking_face:

    Hallo,

    den Zugriff des VPN Lans konnte ich per LAN Out blockieren:





    Grundsätzlich bin ich aber bei Euch und finde hier fehlt eine angenehmere Lösung durch das große U. Die machen an sich einen Super Job und haben den markt mal richtig durchgerührt. Bin somit demutsvoll zuversichtlich.


    Ich habe an anderer Stelle gelesen (Quelle unbekannt... habs mir nicht gemerkt)... dass die VPN-Zuordnung bei Unifi nur bei PPTP greifen soll. Konnte es noch nicht verifizieren. Finde PPTP nicht mehr zeitgemäß.


    Mein Wunschszenoario wäre, wenn die User gar keine IP vom VPN Netz bekommen würden, sondern direkt ins VLan meiner Wahl rutschen könnten.



    Gruß Oliver

    PS: Bin der Neue. Interessiert in Unifi aus purem Eigennutz: 2016er Eigenheim. Background: Anwendungsprogrammierer