Ubiquiti UniFi UXG-Max soll ab sofort die Fritzbox als DHCP-Server ersetzen

Die Einstellung im welchen VLAN die Kameras sind nimmst du am Port vom Switch vor.

Durch das Einrichten eines Exposed Hosts können Sie ein Gerät komplett für den Internetzugriff freigeben, ohne für alle benötigten Ports einzelne Freigaben einrichten zu müssen. Möchtest du aber Dienste deines Netzes erreichbar machen, musst du die Ports im Unifi System freigeben.

LG

Quote from Grossmeister_L

Die Einstellung im welchen VLAN die Kameras sind nimmst du am Port vom Switch vor.

Durch das Einrichten eines Exposed Hosts können Sie ein Gerät komplett für den Internetzugriff freigeben, ohne für alle benötigten Ports einzelne Freigaben einrichten zu müssen. Möchtest du aber Dienste deines Netzes erreichbar machen, musst du die Ports im Unifi System freigeben.

LG

Das ist aber echt schwammig ausgedrückt. Unter Internetzugriff verstehen die meisten Personen vermutlich den Zugriff des Gerätes auf das Internet, wie z.B. Surfen können. Es geht aber beim Exposed Host (wie auch bei einzelnen Portweiterleitungen) um den Zugriff aus dem Internet auf ein Gerät im lokalen Netzwerk. Hat man eine Routerkaskade (Fritzbox, dann Unifi ... und man könnte noch weitere Router hintereinander haben), dann benötigt man um vom Internet bis zu einem konkreten Netzwerkgerät zu kommen, auf allen Routern die dazwischen liegen eine entsprechende Portweiterleitung.

Daraus ergibt sich, dass man natürlich in der Fritzbox die Ports einzeln oder alle in Form des exposed Hosts an die WAN IP des Unifi Gateways weiterleiten muss. Anschließend wird noch im Unifi Gateway die Weiterleitungen zu den entsprechenden Geräte benötigt. Fehlt eins von beiden läuft nichts.

Portweiterleitungen sollte man aber möglichst nicht nutzen, mit VPN geht das in der Regel ebenfalls alles, ist aber sicherer, da nicht die ganze Welt auf deine Geräte zugreifen kann. Betreibt man z.B. einen öffentlichen Webserver, dann sollte der im Netzwerk so positioniert und abgesichert sein, dass im Falle eines Hacks, von dieser Kiste kein Zugang zum restlichen Netzwerk möglich ist.

##################

Wenn Du im Controller bei den Unifi Geräten, das Gateway oder einen Switch anklickst, gibt es im rechten Sidepanel einen Link zum Portmanager. Hier kannst Du für jeden Port bestimmt Dinge einstellen, wie z.B. die VLAN Konfiguration eines Ports.

Es gibt dort dann das native Netzwerk, welches dem ungetaggten Netz auf diesem Port entspricht und dann eine Einstellung für getaggte Netzwerke. Allow All -> alle VLANs außer dem native eingestellten VLAN werden getaggt übertragen. Block All -> es wird kein VLAN getaggt übertragen und bei Custom kann man bestimmte getaggt zu übertragende VLANs auswählen. Die letzte Option gibt es bei einigen ganz kleinen alten Modellen nicht (Flex Mini 5 Port glaube ich z.B.)

Im groben gibt es jetzt 2 Arten von Links.

1. Router-Switch, Switch-Switch, Switch-Accesspoint, Router-Accesspoints Verbndungen. Also Infrastrultur betreffend. Hier nativ, das Management LAN (Default VLAN ID 1) einstellen und Allow ALL auswählen. Dann werden alle VLANs ausgehend vom Router zu allen Switchen und Accesspoints übertragen und können da auch genutzt werden. Das ist ein gern gemachter Fehler, das ein VLAN zwischen 2 Switchen fehlt und man sich dann wundert, dass das VLAN dahinter auf dem WLAN nicht geht!

2. Switch (Auch die LAN Ports vom Router) zu Endgerät (PCs, IOT Zeugs, Drucker etc.) hier wird bei nativ, das VLAN eingestellt, in dem sich das Gerät befinden soll. Bei tagged wird Block All eingestellt.

Virtualisierungshost wie z.B. auch Proxmox können je nach Konfiguration auch in mehreren VLANs Schnittstellen haben. Dies rutschen dann aus 2. eher in die Gruppe 1. und bekommen dann nativ und getaggt eine spezielle angepasste VLAn Konfig. Das sollte einem dann klar sein wie es sein muss, wenn man das so betreiben möchte.

Schau mal bei dem Port, der sich nicht ändern lässt weiter unten. Schein ja auf Manuell zu stehen. Da gibt es noch "Ethernet Port Profile" ist das angehakt und irgendwas ausgewählt? Das abhaken, das ist noch eine alte andere Möglichkeit über extra zu erstellende Profile die VLANs einzustellen. Wenn das aktiv ist dann geht im oberen Bereich nichts einzustellen.

Ist die Fritzbox für die Telefonie in einem LAN drin? Bei der kannst Du auch Block All machen, die kann ja auch keine VLANs.

Zur Proxmox Frage: Das kann ich dir nicht genau erklären. Aber grundlegend hast Du ja schonmal gesagt was wo hin soll an Anwendung. Im Proxmox legt man dann in der Netzwerkkonfiguration sowas wie virtuelle Switche und/oder Netzwerkkarten an, die zu bestimmten VLAN IDs gehören. Und dann kann man die VMs und vermutlich auch Container entsprechend anbinden. Am Switchport legt man dann das VLAN Profile so fest, wie es im Proxmox benötigt wird. Kenne mich mit Proxmox Null aus ... aber da kann bestimmt jemand hier aus dem Forum helfen, scheinen ja genug von den Teilen in Betrieb zu sein

Quote from DirkM

...

Was ich noch möchte ist, sich jemand über eine POE Kamera in mein Kamera-Netzwerk einwählt, das er nicht in die anderen Netzwerke kommt.

Bedeutet doch für mich, das ich das ganze Kamera-Netzwerk verbieten muss in die anderen Netzwerke zu können oder?

Gleichzeitig muss aber Unifi( Protect) und Motioneye selber aus dem Home-Netzwerk drauf zugreifen können und noch 2-3 Geräte aus dem Smatzhome-Netzwerk.

...

Was meinst Du mit einwählen? Eine VPN oder es steckt sich ein Bösewicht an das Kabel der Kamera?

In letztem Fall wäre es richtig, dann solltest Du den Verbindungsaufbau aus dem Kamera Netz zu allen anderen Netzen unterbinden.

Das Protect läuft vermutlich auf dem Gateway?!? Das Gateway kann definitiv per Default alles erreichen. Hier solltest Du dann eher aus dem Kamera Netz den Zugriff auf das Gateway beschränken. Port 22, 80 und 443 sperren sollte reichen.

Je nachdem wie Du die Netze jetzt in der Firewall getrennt hast, gibt es mehrere Möglichkeiten. Mach mal Screenshots von der Trennungsregel die das Kameranetz sperrt. Alternativ, kannst Du mir auch eine PN schicken, falls Du am WE Zeit hast. Dann könntest Du meinen Unifi Account mal als Read Only inviten, dann kann ich ausnahmsweise mal schauen, ist mir gerade zu viel getippe.

Edit: Ach Du hast ne UXG, dann läuft Protect nicht auf dem Gateway.

Zeig mal die Auflistung der Regeln in der Matrix isoliert (Kamera Netz) - Internal. Falls da eine Regel ohne Schloss ist, von der noch die Einstellungen.

Genau das umgekehrte Feld erwischt. Das ist Internal - Isoliert. Du hast aber den Rücktraffic erlaubt. Augenscheinlich benötigst Du noch eine Regel, die den Kameras erlaubt eine Verbindung zum Controller/Protect aufzubauen - bin mir da nicht so sicher wie das Zeug arbeitet, allerdings bauen Switche und Accesspoints eine Verbindung zum Controller auf und erscheinen dann als Online, Das wird sicher ähnlich sein mit den Kameras.

Das widerspricht nun etwas dem, was Du gerne möchtest. Ich würde dann mal testweise eine Regel erstellen, die den Zugriff von einer Kamera auf genau den Controller/Protect erlaubt. Wenn das dann soweit funktiniert, kannst Du das mit den benötigten Ports verfeinern.

Liste der Unifi Ports

Mit den Ports kannst Du das halt weiter eingrenzen, so das nur noch bestimmte Dienste funktionieren. Ein Angreifer müsste sich jetzt aber die IP der Kamera greifen die er abgezogen hat und kommt so zumindest nur auf die IP des Controllers. Ich würde da vielleicht noch Port 22,80,443 als Destination Port auf die IP des Controllers von den Kamera IPs als Source verbieten.

Return Traffic ist in der Firewall mit den Flags Related und Established verknüpft. Das sind Pakete die zu einer bestehenden Verbindung gehören oder mit einer in Beziehung stehen und genau so eine Regel mit Schloss setzt die GUI wenn der Haken für Return Traffic gesetzt wird in die Matrix bei der umgekehrten Richtung. Sind nur diese aus dem Kamera Netz ins Controllernetz erlaubt, dann lässt die Firewall nur Antwortpakete der Kameras zum Controller durch. Damit eine Kamera selbst eine neue Verbindung zum Controller aufbauen kann, muss das Flag New erlaubt sein.