Hallo zusammen,
nachdem ich mehr als zufrieden war mit meiner UDM-SE die ganze Zeit habe ich vor einer Weile die (im Nachgang dämliche, könnte mich ohrfeigen) Option genutzt auf CyberSecure umzustellen, klang schliesslich sinnvoll.
Versionen:
UDM-SE 4.4.6
Network 9.5.2.1
Nun bin ich, trotz dass ich seit mittlerweile 3 Jahrzehnten grosse Netzwerke auf Cisco-Basis und anderen Herstellern konfiguriere und betreibe, offensichtlich zu dämlich in der Klickibunti-Oberfläche der UDM einzelne Clients (DHCP-Reservierungen sind vorhanden) von Inspections (Content-Filter, DNS usw) ganz einfach auszuschliessen.
Als Test (ja, wirklich nur Test :D, aber das klappt zuverlässig und reproduzierbar NICHT) habe ich AdultContent versucht freizuschalten...keine Chance, das klappt nicht.
In den Insights sieht man dann die Blocks. Ich habe bewusst NICHT vor einzelne Domains auszuklammern, bei wechselnden IPs und Domains hilft mir das wenig, auch keine separaten VLANs anzulegen, dies wäre Blödsinn, da die Kisten im normalen VLAN stehen und auch dort bleiben sollen...es geht hier um einzelne Server. Es geht mir um die klassische permit any<->any rule für einzelne Hosts. Der Grund warum ich das gerne hätte sind Linux-Büchsen welche immer wieder mal bei Updates auf gewissen Repos zicken. Vorher war das überhaupt kein Problem, ich konnte im Ruleset einfach temporär eine Regel vorschalten, Durchzug, Update, done. Blockieren geht, aber ich möchte das Gegenteil erzielen, temporär.
Das scheint nun alles nicht mehr so einfach zu sein. Zumindest der DNS-Blocker hat mir den Riegel vor. Wenn ich versuche im Contentfilter einzelne Hosts einfach durchzulassen, egal was diese "von draussen" wollen, kann ich keine "alles-Regel" definieren ohne nicht zumindest den AdBlock zu aktivieren:
"Filtering must be enabled when Ad Block is disabled"
Dies ist Humbug...es muss doch eine einfache Möglichkeit geben einzelnen (oder auch mehrere Hosts) einen Passierschein zu geben, ich kann mir nicht vorstellen dass dies nicht funktioniert.
Gefunden habe ich bereits das hier:
Problem: Wo stelle ich dann ein dass ebendiese Hosts in der Liste unter Networks (da habe ich die entsprechende Testkiste drinstehen, DHCP-Reservierung ist aktiv) alles dürfen und ausgeklammert werden?
Ein weiterer Ansatz wäre den DNS-Server für einen einzelnen Host in DHCP zu ändern, von der UDM-SE IP auf Google...zwar ebenso dämlich, aber selbst dazu finde ich keine Möglichkeit. Komme mir gerade ein wenig blöd vor. Hat jemand eine Idee wie das funktioniert?
Oder renne ich in dieses Problem rein?
https://community.ui.com/questions/New-CyberSecure-Content-Filter-ignoring-exceptions/be97f389-2db9-4d40-9bf6-e61f1e4627ed
Dort wird auf ein Video verwiesen welches einen offensichtlichen Fehler in der SecurityEngine beschreibt, bei 34:53 ...
Habt ihr Ideen wie man da rum kommt, ohne am Client selbst rumzubasteln? Ich könnte selbstverständlich auf den Clients den DNS-Server direkt ändern, aber auch das wäre: Blödsinn, ich habe in der Mitte des Netzwerks ein Gateway stehen was Ausnahmen erlauben sollte, sofern konfiguriert.
Scheinbar konnte man mal vorher nach Klick auf den Client in der Clientliste (wo ich auch eine "statische" IP für den DHCP-Client reserviere) den DNS-Server zuweisen, das wäre auch eine Option gewesen, aber auch dies scheint in der neuen Version nicht mehr zu funktionieren. Security in allen Ehren, aber das ist für mich eher enshittification. Sofern es das gab, hab es bis dato noch nie gebraucht. Oder gibt es eventuell noch eine andere Ecke in der Weboberfläche wo man Client-spezische DHCP-Optionen schalten kann, basierend auf der MAC-Adresse? Also wie bei Cisco-Routern, beispielsweise?
Falls das alles nicht geht:
Kann man IRGENDWIE den CyberSecure-Kram runterschmeissen von der UDM-SE, und das alte Setting aktivieren? Denn so taugt das nichts...
Vielen Dank für Input!
Andreas
