Anfängerfrage: Kann ich aus jedem VLAN auf die UDM zugreifen?

    Hallo,

    bitte nicht lachen.

    Ich habe auf meiner UDM mehrere VLAN's teilweise als isoliert eingerichtet. In den Zuweisungen der Anschlüsse habe ich VLAN's teilweise blockiert.

    Ich habe bspw. ein VLAN GAST, isoliert keine VLAN Berechtigungen der einzelnen Anschlüsse. Wenn ich nun versuche per IP auf Geräte in anderen VLAN's zugreifen möchte, klappt dies nicht. Soweit, so gut.

    Gebe ich nun aber aus einem - soferon ich das überblicken kann - aus einem beliebigen VLAN die IP der UDM ein, kann ich trotz Isolierung oder Blockierung auf dem Anschluss auf die UDM zugreifen. Getestet habe ich dies mit LAN gebundenen Anschlüssen.

    Ist das normal?

    Ich bin deshalb verwundert, denn dann könnte ja jeder, der die IP der UDM kennt, auf diese zugreifen.

    Freue mich auf Eure Antworten.

    Viele Grüße

    Jörg

    Quote from Bigdog71

    Generell ist es möglich, defcon hat es bei seinen Firewall Regeln gut beschrieben (ich habe diese so umgesetzt).

    Theoretisch kannst du aus jedem Vlan aufs Gateway, brauchst halt die Zugangsdaten.

    Danke! Die Anleitung ist ja sehr gut! Allerdings 3 Jahre alt; ist nicht abwertend gemeint.

    Bei der aktuellen Version kann man ja vieles über die Zonen regeln.

    Gibt es dazu eine aktualisierte Anleitung? (Ja es gibt viele Videos; aber ich habe kein aktuelles gefunden, um das Gateway zu blocken!)

    Zwar braucht man die Zugangsdaten, aber ich fände es super, wenn man die UDM als Gateway nicht erkennen kann.

    Quote from gierig

    JA, dadurch das die UDM IP = gateway ist weis das eh jeder :-)

    Wenn nicht erwünscht, Zusatz Regel die den Zugriff aufs die Gateway Zone Unterbindet von den Netzen

    Danke! Das Gateway ist aktuell bei mir in der internen Zone. Nur mit meinem Produktionsnetz, also PC, das NAS mit dem Datengrab und das WLAN mit den vertrauenswüridgen WLAN Clients (über die MAC gefiltert).

    Ich fände es halt super, wenn man die UDM als Gateway nicht erkennen kann.

    Quote from JW1972

    Das Gateway ist aktuell bei mir in der internen Zone

    Nö, das Gateway ist in der Zone Gateway.

    Selber Denken...

    Das einfachste... Ne neue Zone anlegen z.B "DUNicht" deine Isolierten VLAN in die Zone.
    Eine neue Reglen anlegen. Source "DUNicht", Destination "Gatway".

    Rest steht eigentlich schon richtig auf "Block"

    Fertig...

    Eigne Zone, weil dann ist jedes VLAN das du in die Zone schiebst mit den gleichen
    regeln schon fix und fertig...

    Quote from gierig

    Nö, das Gateway ist in der Zone Gateway.

    Selber Denken...

    Das einfachste... Ne neue Zone anlegen z.B "DUNicht" deine Isolierten VLAN in die Zone.
    Eine neue Reglen anlegen. Source "DUNicht", Destination "Gatway".

    Danke! Das sagt sich so leicht. Bzw. ich hatte einen Denkfehler. Erst mal kam gerade ein Update dazwischen. Aber zur Sache:

    Die Zone mit den nicht vertrauenswürdigen VLANS habe ich ja schon lange.

    Für mich war es naheliegend in der internen Zone die IP das Gateway zu blockieren. Das hat nicht geklappt.

    Der Trick war, der für die alten Hasen vielleicht selbsterverständlich ist, die Zone Gateway auszuwhälen. Für mich erschien das zunächst nicht logisch, denn in der Zone gibt es bei mir keinen Eintrag, weil die UDM in meine Produktions LAN hängt.

    Aber so hat es nun geklappt.

    Quote from gierig

    Mus dazu sagen das selber nachdenken auch mich betrifft. Damit oben dürfte DNS nicht mehr funktionieren. Aber hey kein Zugriff ist kein zugriff :-)
    echt willst noch ne reglen das DNS erlaubt ist... oder das nur ports wie 22, 80, 443, 8080, 8443 gesperrt sind..

    Danke! Läuft alles!

    Edit: Zu früh gefreut!

    DNS ist weg in den VLAN's!

    Wäre super, wenn Du noch ne Regel hast!

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login