Probleme Kommunikation zwischen VLANs mit Firewall Regeln

Es gibt 32 Antworten in diesem Thema, welches 7.684 mal aufgerufen wurde. Der letzte Beitrag () ist von jensche.

  • Hallo Zusammen,


    vor kurzem erst bin ich auf das Thema Netzwerkeinstellungen hier im Forum aufmerksam geworden,

    welches ich mit Begeisterung verfolgt habe. Die dortigen Probleme scheinen gelöst sodass

    ich hier ein neues Thema aufmache.


    Mein Name ist André aka "mille" und ich muss gestehen, das ein oder andere graue Haar kommt sicher

    durch mein neues Ubiquiti Sortiment ;). Bin kein ITler aber Netzwerk und Co. begleiten mich schon

    gut die letzten 20 Jahre. Wirklich nicht intensiv aber so das ich mein bisheriges Netzwerk immer

    alleine einrichten konnte. Gut, es befand sich immer alles in einem IP Adressbereich aber auch da gibt

    es die ein oder andere Hürde. Erst recht wenn ein Synology NAS und mehrer Clients darauf zugreifen.


    Das ist nun mit Ubiquiti und VLANs, Firewall etc. nochmal was ganz anderes.

    Absolutes Neuland für mich. Auf dieses Forum und besonders dieses Thema bin

    ich erst kürzlich gestoßen. Habe all meine Geräte Ende 2020 nach und nach angeschafft und

    in Betrieb genommen. YouTube hat dabei sehr gut weitergeholfen. Habe mich zunächst

    mit dem Thema VLAN generell auseinander gesetzt, was ich eigentlich immer noch tue. :winking_face:

    Damit konnte ich mir das Netzwerk schön nach meinem Gusto aufsplitten damit nicht

    mehr alle untereinander kommunizieren können. Zumindest auf der IP Ebene.


    Ich wusste ein letztes größeres Thema wird noch die Firewall um jegliche Kommunikation

    untereinander zu kappen bzw. auch zu erlauben. Und genau da stehe ich jetzt.


    An dieser Stelle sollte ich mich wohl mal für den längeren Text entschuldigen.

    Habe das Gefühl zunächst auf die aktuelle Situation hinweisen zu müssen

    als einfach nur gleich mit einem Problem um die Ecke zu kommen.

    Mein Netzwerk steht soweit und alles funktioniert super ABER

    mit den neuen Firewall Regeln, welche ich gemäß EJHome seiner Anleitung

    vorgenommen habe, ist da nun der Wurm drin.


    Also, aktuell sieht es wie folgt aus.

    Networks

    1. ADMIN-LAN > 10.0.1.0/24 [VLAN1 Standard] > USW-16-PoE > Alle Unifi NW-Geräte mit fester IP4. Siehe Sig.

    2. XXX-LAN > 10.0.10.0/24 [VLAN 10] > UAP-nanoHD > NAS + WiFi Clients im Haus

    3. XXX-GUEST > 10.0.20.0/24 [VLAN 20] > UAP-nanoHD > gehen nur die WiFi Gäste drauf

    4. XXX-IoT > 10.0.30.0/24 [VLAN 30] > USW-16-PoE > UAP-nanoHD + US-8 > Pana TV, Apple TV, Denon HiFi

    5. XXX-CAM > 10.0.40.0/24 [VLAN 40] > USW-16-PoE > 3x UVC-G4

    6. XXX-VoIP > 10.0.50.0/24 [VLAN 50] > USW-16-PoE > Gigaset S850A-Go


    WiFi

    1. ADMIN-WLAN = ADMIN-LAN > DHCP gehe ich eigentlich nur mit meinem MacBook drauf um mich selber nicht wegen der

    Firewall Regeln auszuschließen. :winking_face:

    2. XXX-WLAN = XXX-LAN > DHCP 2x MacBook, 2x iPhone, Canon MP640 Drucker

    3. XXX-GUEST = XXX-GUEST (LAN) > DHCP 1x Dell Notebook Win10 + 1x iPhone von der Arbeit

    4. XXX-IoT = XXX-IoT(LAN) > Denon Cocoon


    Des Weiteren habe ich paar Port Profile für die VLANs angelegt wie Bsp.

    XXX-nanoHD wo die entsprechenden Networks XXX-LAN, XXX-GUEST und XXX-IoT getagged werden

    und das Profil dann auch nur dem Port wo der UAP-nanoHD dran ist zugewiesen.

    Mit den Profilen bin ich aber noch nicht wirklich firm. Denke das passt.


    Ich hoffe das sieht nicht zu kompliziert aus. Ich komme damit gut zurecht und alle haben I-Net.

    Wo liegt nun der Wurm drin? Ich möchte den Drucker auch in das XXX-IoT netz bringen

    aber vom XXX-WLAN darauf zugreifen können. Das klappt bei mir leider nicht.

    Das komische ist, sobald ich die FW Regeln scharf schalte komme ich zwar auf die

    Admin Seite vom Drucker, sprich ich habe eine Verbindung aus VLAN 10 zu VLAN 30,

    kann aber nicht drucken. Fehlermeldung. Packe ich den Drucker wieder in's VLAN 10,

    klappt alles reibungslos. Das gleiche Spiel habe ich auch wenn ich mein MacBook VLAN 10

    mit der Apple TV VLAN 30 verbinden möchte. Weise ich dem Port am US-8, wo die Apple TV

    eingesteckt ist, das richtige Profil XXX-LAN mit VLAN 10 zu, habe ich sofort eine Verbindung.


    Tja liebe Leute, so sieht es aktuell aus. Ich hoffe, ihr blickt da noch durch.

    ich kann hier natürlich gerne Screenshots von den jeweiligen Seiten einstellen.

    Sagt mir einfach was genau ihr benötigt. Bis dahin,

    vielen Dank vorab für Eure Unterstützung und allen ein schönes WE.

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • Hi!


    Vielen Dank für den "neuen" Thread und die ausführlichen Informationen.

    Diese helfen sicher weiter, Dein Problem einzugrenzen und - hoffentlich - zu lösen.


    Das mit dem Drucker im IoT-Netz, der dann schlecht erreichbar ist, ist ein Problem mit dem aktuell viele kämpfen.


    Aber der Reihe nach!


    Bitte erläutere mir die Notwendigkeit und Deinen Wunsch nach den von Dir angesprochenen "Port Profilen".


    Welches Ziel verfolgst Du mit dieser Herangehensweise?


    Gruß!

  • Hallo EJHome,


    wie bereits erwähnt war mein Weg learning by doing mit Hilfe von YT und Co und das gepaart mit viel try and error.

    Auch das Thema tagged und untagged ist bei mir im Kopf noch nicht wirklich verinnerlicht.


    Was ich auf jeden fall erreichen wollte war, dass nur die Daten der WiFi-Netze XXX-WLAN, XXX-GUEST und

    XXX-IoT über den UAP-nanoHD zur Verfügung stehen und nicht noch irgendwelche Daten von XXX-CAM und XXX-VoIP

    in welcher Art und Weise abgegriffen werden können. Zumindest habe ich es so verstanden, dass ich dem Port wo Bsp. der

    UAP-nanoHD eingesteckt ist dazu auch ein entsprechendes Profil zuweisen muss. Mit dem Profil "all" könnten meiner

    Meinung nach ja Daten aller VLANs abgegriffen werden. Mit nur einem zugewiesenem Profil an dem Port würde

    ich doch nicht alle WiFi-Netze mit den nanoHD abdecken können. Oder habe ich das komplett falsch verstanden?



    Ein anderes gutes Beispiel ist das logische Netz IoT. Bevor ich mich mit Firewall Regeln

    beschäftigt habe war das mein einziger Weg um einen Stream vom iPhone VLAN 10 an die Apple-TV zu senden.


    USW-16-PoE > Port 7 > US-8 mit dem Profil XXX-US-8. In diesem Profil werden dann nur Daten an XXX-LAN VLAN 10

    und XXX-IoT VLAN 30 getagged. Alle anderen nicht. Hätte ich dem Port 7 hier nun nur das native Profil XXX-IoT VLAN 30

    zugewiesen, könnte ich dem entsprechenden Port am Switch US-8 wo die Apple-TV dran ist nicht das Profil XXX-LAN VLAN 10 zuweisen. Dann hätte ich keine Chance auf die Apple-TV vom iPhone aus zu zugreifen. Mann ist das kompliziert

    seine Gedankengänge verständlich niederzuschreiben. :winking_face: Ich hoffe das kommt rüber.

    Ich weiß, das ist nicht wirklich die beste Lösung aber zumindest behelfe ich mir aktuell damit gut aus.

    Ob das ganze nun auch anderes (Firewall Regeln) gestaltet werden kann muss man sehen.


    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • ps. Wenn das später mit den Firewall Regeln funktionieren sollte, dann kann Bsp. das Profil für den US-8 auch entfernt werden.

    Denn dann können die Geräte ja über die VLANs hinweg kommunizieren.

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • mille


    Hi, danke für Deine weiteren Erläuterungen.

    Jetzt könnte man sofort beginnen seine Meinung zu allem was Du geschrieben hast kundzutun.


    Das ist aber nicht ganz so mein Ding, deshalb brauche ich ein wenig Zeit mich ganz speziell mit Deinem Setup auseinander zusetzen.

    Ich melde mich sicher heute am frühen Abend nochmal.


    Gruß!

  • Hallo EJHome,


    das Wochenende ist zur Erholung da. :winking_face:

    Es Eilt nicht. Läuft ja soweit alles.


    Danke und Grüße

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • Hi!


    Ich hatte ja zugesagt, dass ich mich noch einmal melde!


    Nach einem ersten Versuch, sich in Deine Situation hinein zu denken, machen mir zurzeit Deine Switch-Port-Profile eine Menge Bauchweh.


    Aber, Deinem Rat folgend, das Wochenende dient der Erholung, schlage ich vor, dass wir uns darüber in den nächsten Tagen zielführend austauschen.


    Ich freue mich auf den Diskurs und die Herausforderung!


    Gruß!

  • Hallo Zusammen,


    ich habe zum Beispiel KEINE Portprofile eingestellt, sondern löse alles mit den entsprechenden Firewall-Regeln. Was meinst du, EJHome? Die Firewall Regeln sollten doch besser funktionieren, als die Portprofile und ich weiß auch, was gehen soll und was nicht. Bei der Portprofilen muss dann immer auf die Switche schauen, wo an welchem Port was eingestellt ist. Bei den Firewall Regeln wird das gleich an alle Unifi Komponenten übertragen, ohne das ich an den Ports eingreifen muss.


    Ich würde die Ports lassen wie sie sind und laut hier im WIKI die Firewall regeln implementieren. Halte ICH für einfacher. :winking_face:

  • Ronny1978


    mille


    Switchport-Profile haben einen nicht zu unterschätzenden Nutzen und sind für einige Anwendungen ein Segen.


    Z.B. nutze ich ein Switchport-Profil um das Admin-Lan an die Wireless-Brücke mit meinen NanoStation-5AC zu taggen.

    Die Brücke ist in einem separaten Subnetz realisiert. Um nun Infrastruktur-Hardware, wie Switch oder Access Point zu erreichen, braucht es ein Switchport-Profil, weil die Infrastruktur-Hardware in einem anderen Subnetz beheimatet sind.


    Du hast hier recht Ronny1978 , in dem Usecase von mille komplizieren die Switchport-Profile die Situation.

    Ob diese hier ein Segen sind, werden wir diskutieren und herausfinden.


    Gruß!

  • @EJHome , Ronny1978 ,


    ich gebe Euch Beiden hier natürlich recht. Ob ich die Profile hier nun benötige oder ich auch alles

    über die FW Regeln nach meinem Gusto anpassen kann muss ich sehen. Bin für alles offen.


    Habe am WE noch ein wenig herum probiert und alle Ports wieder auf all gestellt.

    Drucken bzw. der Zugriff über die FW auf ein anderes VLAN war aber nach wie vor noch nicht möglich.

    Also irgendwo ist da noch was nicht so wie es soll. Teste natürlich weiter.


    Euch schonmal vielen dank weiterhin. Werde dann doch mal ein paar weitere Screenshots einstellen

    damit ihr da im Bilde seit. Bilder erzählen bekanntlich mehr wie tausend Worte. :winking_face:


    Grüße

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • mille


    Hi!


    Du hast Dir ja die Firewall-Regeln im Wiki angesehen.

    Nun hast Du die Switchport-Profile herausgenommen!


    Und wie ich es verstehe, ist der Drucker zurzeit Dein dringlichstes Problem.


    Mein Vorschlag - bitte mal probieren -;


    Den Drucker ins IoT-LAN (WLAN) bringen.

    gemäß den Firewall-Regeln im Wiki den Subnetzen die Möglichkeit geben auf den Drucker zuzugreifen.


    Und dann den Drucker auf den Clients "neu" installieren.


    Gruß!


    Deine weiteren Baustellen bitte ansprechen.

  • @EJHome


    Hi,


    deinen Vorschlag mit dem Drucker habe ich bereits durch. Ohne Erfolg.

    Ich versuche aktuell weiterhin mit dem MacBook aus VLAN10 auf die Apple TV VLAN30 zu zugreifen.

    Das mit den Profilen ist aber nicht so einfach weil ich den Geräten am US-8 ja ein Profil zuweisen muss

    damit sie im VLAN30 landen. Oder gibt es da einen einfacheren Weg?


    Aktuell sieht es ja so aus.


    UDMP > USW-16-PoE (feste IP ADMIN-LAN) > US-8 (feste IP ADMIN-LAN) Ports mit IoT Profil Standard aus Subnetz >

    IoT Geräte. Hatte bereits versucht den Port am USW-16-PoE mit dem IoT Profil zu nutzen. Lief natürlich glatt schief da der dahinter geschaltete US-8 natürlich auch gleich in das 30er Netz versetzt wurde. Der hatte aber eine feste IP vorher und schon war der US-8 nicht mehr erreichbar. :winking_face: War ja klar und hätte ich mir denken können. Nun läuft das wieder.


    Aber mal ehrlich, ohne diese Port Profile läuft doch so einiges nicht.

    Bsp. die 3x Kameras die ich habe. Die hängen bei mir direkt am USW-16-PoE. Jedem einzelnen Port habe ich

    natürlich auch das Profil Cam zugewiesen damit sie entsprechend auch im VLAN40 landen.

    Wie würde das sonst gelöst?

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • Hi!


    Ist sicher ein HP-Drucker, oder?


    Du hast in Deinen Bildern Switchport-Profile gezeigt, für die ich keine Begründung finde.


    Du hast sehr richtig, Deine Switch mit festen IPs im Admin-LAN organisiert. Sehr gut!

    Und Deine Cams möchtest Du im "Cam-Subnetz" organisieren.

    Dafür hast Du aber kein neues Switchport-Profil definiert, Du hast den Ports das entsprechende Subnetz (VLAN) zugeordnet.

    Auch richtig!


    Verbindungen zwischen der Infrastruktur-Hardware sollten in der Regel. mit Trunk-Ports realisiert werden. Selbstverständlich gibt es hier Ausnahmen, aber da kommt es auf die Notwendigkeit an.


    Schreibst Du bitte noch was zu Deinem Drucker.


    Und zu den anderen Sachen, die Du realisieren möchtest!


    Gruß!

  • @EJHome


    Hi!


    ich versuche immer so wie ich kann hier reinzuschauen und ein update zu geben.

    Der Alltag lässt es zeitlich nicht immer zu.

    Hier aber ein kurzes update.

    Drucker ist wie im ersten Post geschrieben ein "Canon MP640 Drucker"

    Treiber macht der Mac beim Einrichten alles alleine. Früher war das tatsächlich

    mal so, dass ich noch einen Treiber installieren musste. Drucker ist halt auch schon

    etwas älter.


    Was ich noch verschwiegen habe, die SSID vom WLAN IoT Subnetz ist bei mir verborgen.

    Hatte ich aber auch schonmal sichtbar alles versucht.

    Threat Management steht auf Stufe 5.


    So wie ich es verstanden habe, läuft bei mir durch den vorgeschalteten T-Com Speedport Pro

    ein Doppel-NAT. Dort kann ich Firewall nicht abstellen sprich das Ding nicht einfach als reines Modem

    konfigurieren. Ich hoffe es hat damit aber nichts zu tun da ja anderes Netz.


    Alle selbst angelegten Profile habe ich soweit wieder gelöscht.

    Also aktuell existieren nur noch die erstellten Subnetze.

    Trotzdem aktuell noch keine Lösung gefunden.


    Versuche mir aktuell noch mehr über Firewall Regeln Unifi anzueignen.

    Setting als Screenshots stelle ich asap ein.


    Danke

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • Das doppelte NAT sollte hier nicht das Problem sein.


    Sorry, dass ich die Information zum Drucker überlesen habe.

    Kannst Du den Computer mal ohne Switche direkt an der UDM Pro probieren?

  • @EJHome


    Hi, also das mit der Direktverbindung zur UDMP war nochmal eine gute Idee

    aber leider auch hier ohne Erfolg. Drucker und MacBook direkt per Kabel mit

    UDMP. Verbindung kommt erst zustande wenn beide im selben Subnetz sind.


    Das komische ist aber, ich komme auf die Benutzeroberfläche vom Drucker drauf.

    Sprich ich kann dort alle Settings verändern. Nur der Druck klappt nicht.

    Beides ist aber unabhängig ob Kabel oder WiFi.


    Diese Störung ist aber auch bei der Apple TV festzustellen. Keine Verbindung.

    wenn nicht beide Geräte im selben Subnetz sind. Forsche weiter.

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • Hi!



    Morgen gibt es ein Update für das Forum.

    Danach melde ich mich nochmal speziell bei Dir!


    Gruß!

  • Hallo Zusammen,


    @EJHome


    Nach Ostern und Familie und so habe ich wieder etwas Zeit gefunden und weiter geforscht.

    Ich habe ein Teilerfolg zu verzeichnen.

    In diesem englischen Beitrag bin ich auf den folgenden Satz

    "Do you have mDNS enabled?" aufmerksam geworden und

    habe das mal ausprobiert. Also MDNS unter Services aktiviert und siehe da, drucken funktioniert.

    Zumindest im Corporate Netz. Von Corporate zu Guest Netz funktioniert es nicht.

    So wie ich das verstehe, soll es aber auch übergreifend funktionieren.

    Oder ich muss noch eine Firewall Regel unter Guest In erstellen.



    "MDNS

    ,so it will work across separate interfaces and VLANs,

    including between guest and corporate VLANs."




    Nun hänge ich allerdings weiterhin an der Verbindung Bsp. MacBook 10er Subnetz und

    AppleTV 30er Subnetz. Teste weiter.


    Mal eine Allgemeine Frage.

    Worin besteht denn eigentlich Sinn alle Tore mit der Firewall zu schließen und dann,

    wie im Bsp. mit dem Drucker, das Tor wieder zu öffnen? Dann kann ich den Drucker

    doch gleich im selben Subnetz belassen oder? Oder verstehe ich da was komplett falsch?

    Besteht da dann nicht wieder die gleiche Möglichkeit das Daten fließen die nicht fließen sollen?


    Bis die Tage

    Telekom Hybrid > Speedport Pro Plus > UDMP (10 GbE) >

    USW-Pro-24-PoE (GbE) > 3x U6-Pro + UAP-AC-M + USW-Flex mini + USW-Lite-8-PoE

    USW-Pro-24-PoE (10 GbE) > UNVR-Pro (7x Cam + ViewPort)

  • Hi!


    Wenn Du die "Grenzen" nicht schließt, kommt alles durch!


    Aber Du möchtest ja entscheiden, was durch soll!


    Deshalb, erst alles zu, dann Ausnahmen von der Regel!


    Gruß!