Zonenbasierte Firewall Regeln greifen nicht mehr

    Hallo,

    ich habe eine UDM Pro, Unifi OS 4.4.6, Network 10.0.162.

    Vorne weg, ich habe nur wenig Ahnung von Firewalls, gerade os Grundkenntnisse.

    Auf der UDM Pro habe ich eingerichtet:

    interne Zone: LAN (192.168.200.0/24), Besucher (192.168.100.0/24) und IOT (192.168.15.0/24).

    Zone VPN: Wireguard und ein L2TP VPN.

    Und Extern ein standart M-Net Zugang

    2x US860W Switche, 1x USW Ultra, 1 AC Pro, 1x U6 Mesh Pro an dem 1x AC Pro und 2x AC Mesh APs per Mesh dran hängen

    Es gibt eine Regel, in der vom Besucher Netzwerk man sich seinen Drucker einrichten kann, der im LAN ist, das funktioniert auch.

    Und eine Regel, ursprünglich auf 3 MAC Adressen begrenzt, jetzt darf (theoretisch) das Netzwerk LAN auf das Netzwerk IOT zugreifen.

    Funktioniert aber nicht. Ein Ping auf Adressen des Netzwerks klappen nicht

    ping schreibtisch.iot.room

    PING schreibtisch.iot.room (192.168.15.198): 56 data bytes

    Request timeout for icmp_seq 0

    Request timeout for icmp_seq 1

    ^C

    Wenn ich aber vom Handy ein VPN mit Wireguard starte, kann ich auf das IOT Netzwerk Zugreifen.

    Mache ich das Gleiche mit meinem Macbook mit seinem eigenen VPN Zugang, klappt es nicht.

    Wenn ich einen ping auf das Besuchernetzwerk absetze, klappt es, ohne eine weitere Regel

    ping 192.168.100.51

    PING 192.168.100.51 (192.168.100.51): 56 data bytes

    64 bytes from 192.168.100.51: icmp_seq=0 ttl=63 time=28.205 ms

    64 bytes from 192.168.100.51: icmp_seq=1 ttl=63 time=5.408 ms


    Achso, ich habe überall die Protokollierung eingeschaltet, sehe aber nichts, d.h. ich sehe z.B. Beispiel das ein iPhone von Besucher Zugriff auf Lan machen möchte, das aber geblockt wird, ich Habe gerade Besuch, die sind im Besucher Netzwerk eingeloggt, welches seinen Dienst tut.

    Ich sehe nichts, heisst, wenn ich z.B. auf IOT zugreifen will, es aber nicht funktioniert, schliesse ich daraus, das es geblockt wird, ich sehe aber keine Einträge.


    Und egal was ich an Firewall Einträgen anlege, von LAN nach IOT, da tut sich nichts.

    Was kann ich jetzt noch tun ohne ein Factory Reset (das dritte mal dieses Jahr) zu machen. das habe ich vor ich glaube 6 Wochen gemacht und alles neu von Hand eingerichtet, ohne Restore von irgendwas.

    Ich bin echt verzweifelt, es ist nicht das erste mal, das die Kiste spinnt, wenn ich das nicht gelöst bekomme.... brauch ich eine neue Lösung.

    Hab ich was vergessen, was ihr wissen müsst?

    Gruß

    Ralf

    Rückweg vergessen. Der Ping vom Besucher kommt beim Drucker an, aber der Drucker darf nicht antworten. Dasselbe analog bei IOT.

    Entweder setzt Du den entsprechenden Haken zum Erlauben von Antwort-Traffic in der einzelnen Regel, dann wird automatisch jeweils eine zusätzliche Regel erzeugt. Eleganter ist es, wenn man eine Regel in der "Intern"-Zone erstellt, die Pakete mit den Stati established&related zulässt. Das ist dann die "Rückweg-Regel" für sämtliche anderen Regeln und es wird weniger unübersichtlich.

    Zusätzlich: Es gibt eigentlich keinen Grund, Regeln auf IPv4 zu beschränken. Nimm immer beide Protokolle, selbst wenn IPv6 derzeit vielleicht noch keine Rolle bei Dir spielt.

    Moin,

    Als erstes wenn du nix anderes eingerichtet hast, das Netzwerke innerhalb der internen Zone sich nicht sehen oder erreichen dürffen, dann kannst du dir die Regel LAn darf IoT, sparen.

    Solltest du aber vorher andere Regln noch am laufen haben kann es sein das dort irgendwas dazwischen funkt und eine deiner andren Regeln zu nichte macht.

    Welche Regeln hast du drinnen wenn du von Intern zu Intern gehst?

    Da sin drinnen in der Regel, Allow all, dann deine Besucher darf Regel und die Lan darf IoT.
    Laut deinem Screenshot sind dort aber 6 Regeln hinterlegt.
    Liste mal bitte die anderen mit auf.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ok, die Besucher Regel für den Drucker funktioniert einwandfrei, die Rückregel hatte ich nicht aufgelistet, hier mal die komplette Liste

    IOT meldet auch per mqtt Daten an den mqtt Server 192.168.200.56

    und per VPN vom Handy komme ich auch auf das IOT Netzwerk.

    ich bin jetzt mal auf die UdmPro und habe mit die iptables Regeln vom IOT auflisten lassen:

    root@UDMPro:~# iptables -L |grep IOT

    NFLOG tcp -- anywhere anywhere match-set UBIOS_692bf5faa93934317538ace7 dst match-set UBIOS_692d2437a939343175390e22 dst state NEW limit: avg 50/sec burst 100 nflog-prefix "[CUSTOM1_LAN-A-10000] DESCR=\"MQTT von IOT nach Intern\"" nflog-threshold 16

    NFLOG tcp -- anywhere anywhere match-set UBIOS_692d49aea939343175391aea dst match-set UBIOS_692d4966a939343175391ae7 dst state NEW limit: avg 50/sec burst 100 nflog-prefix "[CUSTOM1_LOCAL-D-10000] DESCR=\"Verbiete IOT auf UDMPro\"" nflog-threshold 16

    NFLOG udp -- anywhere anywhere match-set UBIOS_692d49aea939343175391aea dst match-set UBIOS_692d4966a939343175391ae7 dst state NEW limit: avg 50/sec burst 100 nflog-prefix "[CUSTOM1_LOCAL-D-10000] DESCR=\"Verbiete IOT auf UDMPro\"" nflog-threshold 16

    NFLOG all -- anywhere anywhere match-set UBIOS_policy_src_clients_1 src state NEW limit: avg 50/sec burst 100 nflog-prefix "[LAN_CUSTOM1-A-10000] DESCR=\"Admins erhalten Zugriff auf IOT\"" nflog-threshold 16

    NFLOG tcp -- anywhere anywhere match-set UBIOS_policy_src_ip_8 src state NEW limit: avg 50/sec burst 100 nflog-prefix "[VPN_CUSTOM1-A-10000] DESCR=\"VPN darf IOT\"" nflog-threshold 16

    NFLOG udp -- anywhere anywhere match-set UBIOS_policy_src_ip_8 src state NEW limit: avg 50/sec burst 100 nflog-prefix "[VPN_CUSTOM1-A-10000] DESCR=\"VPN darf IOT\"" nflog-threshold 16

    die zwei Regeln waren mal drin, habe ich aber wieder rausgelöscht und hier die Screenshots





    Ich hab mich noch mal auf die UDMPro eingeloggt und wollte mit tcpdump schauen, ob Verkehr von meinem client ankommt, dazu habe ich über ifconfig mir die Schnittstellen auflisten lassen und mir ist folgendes aufgefallen:
    br50: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

    inet 192.168.50.1 netmask 255.255.255.0 broadcast 0.0.0.0

    inet6 fe80::d221:f9ff:fe8b:392f prefixlen 64 scopeid 0x20<link>

    ether d0:21:f9:8b:39:2f txqueuelen 1000 (Ethernet)

    RX packets 0 bytes 0 (0.0 B)

    RX errors 0 dropped 0 overruns 0 frame 0

    TX packets 71309 bytes 10135249 (9.6 MiB)

    TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0


    das war eine Schnittstelle, bzw. Netzwerk, was ich zum test angelegt hatte, um zu schauen, ob es am IOT Netzwerk liegt, das ich nicht draufkommen. Diese Schnittstelle habe ich aber gelöscht!!!





    Was ist hier los? Wie kann ich das korrigieren?

    Kann man die ZBF resetten?

    Factory Reset ist aktuell nicht möglich, da ich Besuch habe....


    achso, nicht nur das die Schnittstelle existiert, ich kann sie auch ansingen

    coolcat@MacBookPro ~ % ping 192.168.50.1

    PING 192.168.50.1 (192.168.50.1): 56 data bytes

    64 bytes from 192.168.50.1: icmp_seq=0 ttl=64 time=37.557 ms

    64 bytes from 192.168.50.1: icmp_seq=1 ttl=64 time=2.506 ms

    64 bytes from 192.168.50.1: icmp_seq=2 ttl=64 time=2.314 ms

    ^C


    und ja, neu gestartet habe ich

    Gruß

    Ralf

    Moin, du kannst in dei ZBF gehen und dort alle Richtlinien gehen, dort dann die Intregrierten ausblenden.

    Weiterhin ist dan unten der Button, Verwalten dort drauf gehen und alle auswählen und entffernen.

    Neustart machen und dnan sollte alles raus sein, so das du von vorne anfangen kannst.

    Kleiner Tipp, wen du die geforderten ZBF Regeln postest, dann nimm vorher die Integrierten raus dann wird die Seite deutlich kleiner.

    Oder du wählst in der Zonenmatrix nur die Entsprechende Zone aus, von Links die Quelle nach Rechts oben das Ziel, dann hast du auch nur noch die Regeln die du dann bearbeiten musst um es für deine Zenarien anzupassen.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Gude,

    Regeln gelöscht, Neustart: Alles beim alten, es gibt immer noch die 192.168.50.0 als Netzwerkschnittstelle, es gibt wieder Undefinierte Firewall Regeln, die immer noch aktiv sind... ich hör mal lieber auf.

    Ich habe jetzt einen Factory Reset mit komplettem Neuaufbau gemacht. Aber diesmal aktiviere ich nicht die ZBF, sonder bleibe bei der alten.

    Das habe ich jetzt genau so gemacht. Es gibt keine Schnittstellen mehr, die ich nciht definiert habe, es gibt keine undefinierten Firewall Regeln mehr. Ich werde auch nicht mehr auf die ZBF gehen.

    Aktuell läuft alles, so wie ich es wünsche. Hoffentlich bleibt das auch so, ansonsten müsste ich mich für andere Hardware entscheiden, was für mich teuer und arbeitsaufwendig wäre. Die Hoffnung stirbt zuletzt, jetzt nach dem 4. Factory Reset innerhalb der letzten drei Monate.


    Schaun mer mal und danke erst mal so weit für den Gedankenaustausch


    Gruß

    Ralf

    Quote from zweisonnen

    Aber diesmal aktiviere ich nicht die ZBF, sonder bleibe bei der alten.

    Das würde ich nicht empfehlen, denn diese Option fällt in der Zukunft möglicherweise irgendwann weg. Auch wirst Du hier deutlich bessere Unterstützung zu ZBF als zur klassischen Firewallverwaltung erhalten.
    Wenn du die ZBF bei einem frisch resetteten Router aktivierst, ist es nahezu ausgeschlossen, dass irgendwelche Geisterregeln entstehen.

    Quote from Networker

    Das würde ich nicht empfehlen, denn diese Option fällt in der Zukunft möglicherweise irgendwann weg. Auch wirst Du hier deutlich bessere Unterstützung zu ZBF als zur klassischen Firewallverwaltung erhalten.
    Wenn du die ZBF bei einem frisch resetteten Router aktivierst, ist es nahezu ausgeschlossen, dass irgendwelche Geisterregeln entstehen.

    Leider muß ich widersprechen, da ich es ja selber miterlebt habe!

    Ich hatte wegen den Geisterregeln vor dem ersten Factory Reset sogar den Support kontaktiert, der das Problem analysieren wollte und zu dem Schluß kam, das nur ein Factory Reset hilft. Failed. Nach dem ist es wieder aufgetreten.

    Erst hatte ich Regeln auf gestellt und dann auf ZBF umgestellt, nach dem zweite FR bin ich direkt auf die ZBF und es ist wieder aufgetreten, ebenso nach dem dritten, deswegen habe ich Eure Hilfe gesucht.

    Leider kennt von Euch auch keiner das Problem und ich stehe wieder alleine da. die alte Firewall läuft hingegen Problemlos.

    Sollte es nur noch die neue geben werde ich vermutlich wechseln müssen, zumindest die Firewall, der Rest läuft überwiegend problemlos.

    Gruß

    Ralf

    Frage, hattes du nach dem Factoryreset noch vor dem neuen Einrichten deines Unifi, in deinem Account alles was bisher da war, ich rede von Backups und so weiter, notfalls auch das Gerät selber mal gelöscht und dann alles als ganz neues Gerät eingerichtet, nicht das da sich irgendwas eingeschlichen hat. Muss aber nicht sein nur eine Vermutung, wenn das was du beschrieben hast alles nicht gefruchtet hat.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ich verstehe schon Deine Bedenken und Dein Gerät verhält sich anscheinend total merkwürdig. Du hattest offenbar viel Ärger damit und das sollte definitiv nicht sein.

    Wie Du richtig sagst, ist dieses spezielle Problem hier im Forum unbekannt und auch im offiziellen Forum habe ich davon noch nie gehört. Erklärlich ist dies fast nur noch mit Bitflips im RAM, wenn Du es sogar mit unterschiedlichen Firmwares beobachtet hast und auch der Support nicht helfen konnte. Aber selbst dies ist extrem unwahrscheinlich.

    Ich drücke Dir die Daumen, dass es nun stabil läuft und Du eines Tages wirst problemlos migrieren können.

    Quote from Naichbindas

    Frage, hattes du nach dem Factoryreset noch vor dem neuen Einrichten deines Unifi, in deinem Account alles was bisher da war, ich rede von Backups und so weiter, notfalls auch das Gerät selber mal gelöscht und dann alles als ganz neues Gerät eingerichtet, nicht das da sich irgendwas eingeschlichen hat. Muss aber nicht sein nur eine Vermutung, wenn das was du beschrieben hast alles nicht gefruchtet hat.

    ich wollte beim ersten Reset ein Backup einspielen, das hatte auch nicht funktioniert. Da bei mir alles überschaubar ist, habe ich dann eine komplette Neueinrichtung, Jungfräulich, durchgeführt, wie auch die anderen male.

    Gefühlt habe ich ein Montagsgerät, ein Freund hatte vorher die UDMPro und jetzt die UDMPro Max, der versteht es auch nicht. Er sagte, er habe schon einige, auch in Firmenumgebungen, eingerichtet, aber Probleme kennt er nicht...

    ich werde sehen, wo es hinführt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login