VPN - Nur teilweiser Zugriff auf internes Netz

Puh, Network 7.4? Auch wenn es möglicherweise keine direkte Problemursache ist, solltest Du Firmware und Apps der UDM-Pro zunächst mal auf den neusten Stand bringen. Wir sind mittlerweile drei Major-Versionen weiter (10.2).
Im selben Zusammenhang würde ich Dir auch eine Umtellung auf die zonenbasierte Firewall empfehlen.

Ganz genau - mit Network 7.4 156 kam vor 3 Jahren erst die Unterstützung für OpenVPN

“UniFi Network Application 7.4.156 adds support for OpenVPN Server, and improves the Port Profiles and Port Manager sections.“

Bitte mal ALLE Geräte updaten, da es ja noch eine Testumgebung ist

Red Herring, Meister flicflac zeigt zwei Bild von Irgendwo her die die alte Version nutzen (und ALT benannt hat)
und daneben die seine Aktuellen mit scheinbar aktueller Oberfläche und aktivierter ZONE Basierter Firewall.

flicflac, was Wills du im Detail erreichen ?

Ohne Jegliche Firewall Settings hat die Zone VPN (wo der VPN Server drinnen ist) zugriff auf die anderen Zonen.
damit sollte ein VPN user Zugriff erstmal auf alles haben.

ggf. sind deine Reglen in der falschen Zone angesiedelt wenn du hier was blocken willst.

+

Reparatur Anleitungen für RöhrenRadios helfen nicht um den Moderenen Transistor Empfänger zu Reparieren.
Etwas übertrieben dagestellt, aber von einer "Uralt" Oberfläche auf Aktuelle zu schlißen klappt halt auch nicht immer
wie gewünscht.

? Waum soll der HD 24 Router sein? Er könnte maximal den Verkehr auf Level 3 für seine Ports regeln.

Der Router händelt den Netzwerkverkehr, er regelt die VLAN und welche Ports auf den Switchen welche Belegung/Berechtigung haben. Er legt die Firewall Regel fest. Dafür zuständig ist die Software Network auf dem Router und da wird auch das von geregelt wo es hingeht.

Du konfigurierst dein gesamtes Netzwerk in der Software Network auf der UDM.

Aber ja, grundsätzlich würde ich immer alle entscheidene Netzwerk-Infrastruktur mit feste IPv4-ADRESSE versehen in einem Mgt-Netz.

Das kannst du trotzdem regeln. Bei dem Pro HD 24 handelt es sich um einen Layer3 Switch. Dieser kann zwischen verschiedenen VLAN Routen an seinen Ports. Das selbe gilt auch für die Pro24. Administriert wird es über Network auf der UDM.

Das kann dann über die Zonenfirewall und den VLAN an den Ports und Richtlinien ACL geregelt werden

ACL nutze ich nicht

Das primäre Problem ist das der Dienst über das die Netzwerfreigabe gemacht wird nicht über ein Vlan hinaua geht. Und durch vpn hast du ein eigenes Vlan. Direktes eintragen der Adresse sollze gehen.

ein alter router ist wohl eh ungeeignet. eiß der Geier was der als Default Gateway benutzt um zu antworten.

Wenn Du IPs nicht erreichen kannst, egal ob über VPN oder aus einem anderen VLAN, dann läuft auf diese Geräten eine lokale Firewall, di Anfragen aus anderen IP Bereichen blockt oder, die Geräte haben keine korrekte Route für die Antwort z.B. anderes Gateway in den Geräten eingetragen. Das sind die naheliegendsten Dinge.

Netzwerk im Explorer scannen meint die Netzwerkumgebung zum Anzeigen der Windows Computer etc.? Die funktioniert immer nur innerhalb eines IP Bereichs/VLAN/Broadcast Domäne und hat noch nie zuverlässig funktioniert.

Ich hoffe inständig, dass Du keine Ports öffnest ohne VPN...

Wenn ich Zugriffe der externen Firmen lese, wirds mir erst warm dann kalt und wieder zurück...

Man kann (gerade als Anfänger) sein UniFi-Netzwerk auch einrichten lassen und dann selbst administrieren.

Dann lernst Du am lebenden Objekt, ohne am offenen Herzen zu operieren...

Denn bei einem Schaden gibts kein oh, ich bin Anfänger, das kann ich ja alles nicht wissen

Vielleicht lese ich es auch nur falsch raus, dann passts

Ich hab für eine Praxis eine Sophos FW mit abgesetzter Zweigstelle (Red20) die Hardware gekauft und bei einem Dienstleister die Einrichtung eingekauft.
Bei größeren Problemen habe ich einen Ansprechpartner.
z.B. war die hardware (SG105) durch ein Softwareproblem zu einem Mining-Gerät eines Hackers geworden.
Durch erhöhte CPU-Last habe ich etwas bemerkt, der Fachmann hat es erkannt und zusammen haben wir das Problem gelöst (frisch von USB installiert).

Man muss nicht immer alles selber können

Quote from flicflac

🤗
Emoji >> Freudentanz...

Habe die Firewall deaktiviert und feste IP vergeben auf welche Zugriff erlaubt. Funzt 😀
Feste IP vergeben auf welche kein Zugriff erlaubt >> wurde von UDM blockiert. Funzt auch 😀
Hat dabei sogar den Computernamen für dei Verknüpfung akzeptiert, nicht nur die direkte IP.

So langsam komme ich dem gewünschten Ziel näher. Jetzt kann ich die Zugriffe der externen Firmen schön in die entsprechenden Bahnen leiten.
Danke für den Tip mit der Firewall. Dass die Zugriffe aus andern IP-Bereichen blockiert, war mir so nicht bewusst.

Gruß
Der "freudige" Flic

Display More

Aber immer schön abschalten, wenn nicht benötigt. Es gibt die Option Verwalten, dort kann man die einzelnen Portforwarding-Regeln pausieren lassen.

Prinzipiell lest ihr aber schon den ganzen Thread? Es steht doch eindeutig da, dass es hier um VPNs geht und es Probleme gab, eben über diese auf bestimmte IPs zuzugreifen.

Der Begriff Portweiterleitung ist gerade in euren beiden Posts das erste mal gefallen.

Quote from kleinp

Ich hoffe inständig, dass Du keine Ports öffnest ohne VPN...

Ja, deswegen schrieb ich das.
Aber ich kenne es aus dem homematic Forum:
Da schreibt das auch selten jemand weil es z.t. „Nur zum Testen“ eingerichtet wurde.

Dann wird’s vergessen, wie es halt gerne mal läuft…

Mutter der Porzellankiste