Probleme Kommunikation zwischen VLANs mit Firewall Regeln

Hallo Zusammen,

vor kurzem erst bin ich auf das Thema Netzwerkeinstellungen hier im Forum aufmerksam geworden,

welches ich mit Begeisterung verfolgt habe. Die dortigen Probleme scheinen gelöst sodass

ich hier ein neues Thema aufmache.

Mein Name ist André aka "mille" und ich muss gestehen, das ein oder andere graue Haar kommt sicher

durch mein neues Ubiquiti Sortiment ;). Bin kein ITler aber Netzwerk und Co. begleiten mich schon

gut die letzten 20 Jahre. Wirklich nicht intensiv aber so das ich mein bisheriges Netzwerk immer

alleine einrichten konnte. Gut, es befand sich immer alles in einem IP Adressbereich aber auch da gibt

es die ein oder andere Hürde. Erst recht wenn ein Synology NAS und mehrer Clients darauf zugreifen.

Das ist nun mit Ubiquiti und VLANs, Firewall etc. nochmal was ganz anderes.

Absolutes Neuland für mich. Auf dieses Forum und besonders dieses Thema bin

ich erst kürzlich gestoßen. Habe all meine Geräte Ende 2020 nach und nach angeschafft und

in Betrieb genommen. YouTube hat dabei sehr gut weitergeholfen. Habe mich zunächst

mit dem Thema VLAN generell auseinander gesetzt, was ich eigentlich immer noch tue.

Damit konnte ich mir das Netzwerk schön nach meinem Gusto aufsplitten damit nicht

mehr alle untereinander kommunizieren können. Zumindest auf der IP Ebene.

Ich wusste ein letztes größeres Thema wird noch die Firewall um jegliche Kommunikation

untereinander zu kappen bzw. auch zu erlauben. Und genau da stehe ich jetzt.

An dieser Stelle sollte ich mich wohl mal für den längeren Text entschuldigen.

Habe das Gefühl zunächst auf die aktuelle Situation hinweisen zu müssen

als einfach nur gleich mit einem Problem um die Ecke zu kommen.

Mein Netzwerk steht soweit und alles funktioniert super ABER

mit den neuen Firewall Regeln, welche ich gemäß EJHome seiner Anleitung

vorgenommen habe, ist da nun der Wurm drin.

Also, aktuell sieht es wie folgt aus.

Networks

1. ADMIN-LAN > 10.0.1.0/24 [VLAN1 Standard] > USW-16-PoE > Alle Unifi NW-Geräte mit fester IP4. Siehe Sig.

2. XXX-LAN > 10.0.10.0/24 [VLAN 10] > UAP-nanoHD > NAS + WiFi Clients im Haus

3. XXX-GUEST > 10.0.20.0/24 [VLAN 20] > UAP-nanoHD > gehen nur die WiFi Gäste drauf

4. XXX-IoT > 10.0.30.0/24 [VLAN 30] > USW-16-PoE > UAP-nanoHD + US-8 > Pana TV, Apple TV, Denon HiFi

5. XXX-CAM > 10.0.40.0/24 [VLAN 40] > USW-16-PoE > 3x UVC-G4

6. XXX-VoIP > 10.0.50.0/24 [VLAN 50] > USW-16-PoE > Gigaset S850A-Go

WiFi

1. ADMIN-WLAN = ADMIN-LAN > DHCP gehe ich eigentlich nur mit meinem MacBook drauf um mich selber nicht wegen der

Firewall Regeln auszuschließen.

2. XXX-WLAN = XXX-LAN > DHCP 2x MacBook, 2x iPhone, Canon MP640 Drucker

3. XXX-GUEST = XXX-GUEST (LAN) > DHCP 1x Dell Notebook Win10 + 1x iPhone von der Arbeit

4. XXX-IoT = XXX-IoT(LAN) > Denon Cocoon

Des Weiteren habe ich paar Port Profile für die VLANs angelegt wie Bsp.

XXX-nanoHD wo die entsprechenden Networks XXX-LAN, XXX-GUEST und XXX-IoT getagged werden

und das Profil dann auch nur dem Port wo der UAP-nanoHD dran ist zugewiesen.

Mit den Profilen bin ich aber noch nicht wirklich firm. Denke das passt.

Ich hoffe das sieht nicht zu kompliziert aus. Ich komme damit gut zurecht und alle haben I-Net.

Wo liegt nun der Wurm drin? Ich möchte den Drucker auch in das XXX-IoT netz bringen

aber vom XXX-WLAN darauf zugreifen können. Das klappt bei mir leider nicht.

Das komische ist, sobald ich die FW Regeln scharf schalte komme ich zwar auf die

Admin Seite vom Drucker, sprich ich habe eine Verbindung aus VLAN 10 zu VLAN 30,

kann aber nicht drucken. Fehlermeldung. Packe ich den Drucker wieder in's VLAN 10,

klappt alles reibungslos. Das gleiche Spiel habe ich auch wenn ich mein MacBook VLAN 10

mit der Apple TV VLAN 30 verbinden möchte. Weise ich dem Port am US-8, wo die Apple TV

eingesteckt ist, das richtige Profil XXX-LAN mit VLAN 10 zu, habe ich sofort eine Verbindung.

Tja liebe Leute, so sieht es aktuell aus. Ich hoffe, ihr blickt da noch durch.

ich kann hier natürlich gerne Screenshots von den jeweiligen Seiten einstellen.

Sagt mir einfach was genau ihr benötigt. Bis dahin,

vielen Dank vorab für Eure Unterstützung und allen ein schönes WE.

Hallo EJHome,

wie bereits erwähnt war mein Weg learning by doing mit Hilfe von YT und Co und das gepaart mit viel try and error.

Auch das Thema tagged und untagged ist bei mir im Kopf noch nicht wirklich verinnerlicht.

Was ich auf jeden fall erreichen wollte war, dass nur die Daten der WiFi-Netze XXX-WLAN, XXX-GUEST und

XXX-IoT über den UAP-nanoHD zur Verfügung stehen und nicht noch irgendwelche Daten von XXX-CAM und XXX-VoIP

in welcher Art und Weise abgegriffen werden können. Zumindest habe ich es so verstanden, dass ich dem Port wo Bsp. der

UAP-nanoHD eingesteckt ist dazu auch ein entsprechendes Profil zuweisen muss. Mit dem Profil "all" könnten meiner

Meinung nach ja Daten aller VLANs abgegriffen werden. Mit nur einem zugewiesenem Profil an dem Port würde

ich doch nicht alle WiFi-Netze mit den nanoHD abdecken können. Oder habe ich das komplett falsch verstanden?

Ein anderes gutes Beispiel ist das logische Netz IoT. Bevor ich mich mit Firewall Regeln

beschäftigt habe war das mein einziger Weg um einen Stream vom iPhone VLAN 10 an die Apple-TV zu senden.

USW-16-PoE > Port 7 > US-8 mit dem Profil XXX-US-8. In diesem Profil werden dann nur Daten an XXX-LAN VLAN 10

und XXX-IoT VLAN 30 getagged. Alle anderen nicht. Hätte ich dem Port 7 hier nun nur das native Profil XXX-IoT VLAN 30

zugewiesen, könnte ich dem entsprechenden Port am Switch US-8 wo die Apple-TV dran ist nicht das Profil XXX-LAN VLAN 10 zuweisen. Dann hätte ich keine Chance auf die Apple-TV vom iPhone aus zu zugreifen. Mann ist das kompliziert

seine Gedankengänge verständlich niederzuschreiben. Ich hoffe das kommt rüber.

Ich weiß, das ist nicht wirklich die beste Lösung aber zumindest behelfe ich mir aktuell damit gut aus.

Ob das ganze nun auch anderes (Firewall Regeln) gestaltet werden kann muss man sehen.

ps. Wenn das später mit den Firewall Regeln funktionieren sollte, dann kann Bsp. das Profil für den US-8 auch entfernt werden.

Denn dann können die Geräte ja über die VLANs hinweg kommunizieren.

Hallo EJHome,

das Wochenende ist zur Erholung da.

Es Eilt nicht. Läuft ja soweit alles.

Danke und Grüße

@EJHome , Ronny1978 ,

ich gebe Euch Beiden hier natürlich recht. Ob ich die Profile hier nun benötige oder ich auch alles

über die FW Regeln nach meinem Gusto anpassen kann muss ich sehen. Bin für alles offen.

Habe am WE noch ein wenig herum probiert und alle Ports wieder auf all gestellt.

Drucken bzw. der Zugriff über die FW auf ein anderes VLAN war aber nach wie vor noch nicht möglich.

Also irgendwo ist da noch was nicht so wie es soll. Teste natürlich weiter.

Euch schonmal vielen dank weiterhin. Werde dann doch mal ein paar weitere Screenshots einstellen

damit ihr da im Bilde seit. Bilder erzählen bekanntlich mehr wie tausend Worte.

Grüße

@EJHome

Hi,

deinen Vorschlag mit dem Drucker habe ich bereits durch. Ohne Erfolg.

Ich versuche aktuell weiterhin mit dem MacBook aus VLAN10 auf die Apple TV VLAN30 zu zugreifen.

Das mit den Profilen ist aber nicht so einfach weil ich den Geräten am US-8 ja ein Profil zuweisen muss

damit sie im VLAN30 landen. Oder gibt es da einen einfacheren Weg?

Aktuell sieht es ja so aus.

UDMP > USW-16-PoE (feste IP ADMIN-LAN) > US-8 (feste IP ADMIN-LAN) Ports mit IoT Profil Standard aus Subnetz >

IoT Geräte. Hatte bereits versucht den Port am USW-16-PoE mit dem IoT Profil zu nutzen. Lief natürlich glatt schief da der dahinter geschaltete US-8 natürlich auch gleich in das 30er Netz versetzt wurde. Der hatte aber eine feste IP vorher und schon war der US-8 nicht mehr erreichbar. War ja klar und hätte ich mir denken können. Nun läuft das wieder.

Aber mal ehrlich, ohne diese Port Profile läuft doch so einiges nicht.

Bsp. die 3x Kameras die ich habe. Die hängen bei mir direkt am USW-16-PoE. Jedem einzelnen Port habe ich

natürlich auch das Profil Cam zugewiesen damit sie entsprechend auch im VLAN40 landen.

Wie würde das sonst gelöst?

@EJHome

Hi!

ich versuche immer so wie ich kann hier reinzuschauen und ein update zu geben.

Der Alltag lässt es zeitlich nicht immer zu.

Hier aber ein kurzes update.

Drucker ist wie im ersten Post geschrieben ein "Canon MP640 Drucker"

Treiber macht der Mac beim Einrichten alles alleine. Früher war das tatsächlich

mal so, dass ich noch einen Treiber installieren musste. Drucker ist halt auch schon

etwas älter.

Was ich noch verschwiegen habe, die SSID vom WLAN IoT Subnetz ist bei mir verborgen.

Hatte ich aber auch schonmal sichtbar alles versucht.

Threat Management steht auf Stufe 5.

So wie ich es verstanden habe, läuft bei mir durch den vorgeschalteten T-Com Speedport Pro

ein Doppel-NAT. Dort kann ich Firewall nicht abstellen sprich das Ding nicht einfach als reines Modem

konfigurieren. Ich hoffe es hat damit aber nichts zu tun da ja anderes Netz.

Alle selbst angelegten Profile habe ich soweit wieder gelöscht.

Also aktuell existieren nur noch die erstellten Subnetze.

Trotzdem aktuell noch keine Lösung gefunden.

Versuche mir aktuell noch mehr über Firewall Regeln Unifi anzueignen.

Setting als Screenshots stelle ich asap ein.

Danke

@EJHome

Hi, also das mit der Direktverbindung zur UDMP war nochmal eine gute Idee

aber leider auch hier ohne Erfolg. Drucker und MacBook direkt per Kabel mit

UDMP. Verbindung kommt erst zustande wenn beide im selben Subnetz sind.

Das komische ist aber, ich komme auf die Benutzeroberfläche vom Drucker drauf.

Sprich ich kann dort alle Settings verändern. Nur der Druck klappt nicht.

Beides ist aber unabhängig ob Kabel oder WiFi.

Diese Störung ist aber auch bei der Apple TV festzustellen. Keine Verbindung.

wenn nicht beide Geräte im selben Subnetz sind. Forsche weiter.

Hallo Zusammen,

@EJHome

Nach Ostern und Familie und so habe ich wieder etwas Zeit gefunden und weiter geforscht.

Ich habe ein Teilerfolg zu verzeichnen.

In diesem englischen Beitrag bin ich auf den folgenden Satz

"Do you have mDNS enabled?" aufmerksam geworden und

habe das mal ausprobiert. Also MDNS unter Services aktiviert und siehe da, drucken funktioniert.

Zumindest im Corporate Netz. Von Corporate zu Guest Netz funktioniert es nicht.

So wie ich das verstehe, soll es aber auch übergreifend funktionieren.

Oder ich muss noch eine Firewall Regel unter Guest In erstellen.

"MDNS

,so it will work across separate interfaces and VLANs,

including between guest and corporate VLANs."

Nun hänge ich allerdings weiterhin an der Verbindung Bsp. MacBook 10er Subnetz und

AppleTV 30er Subnetz. Teste weiter.

Mal eine Allgemeine Frage.

Worin besteht denn eigentlich Sinn alle Tore mit der Firewall zu schließen und dann,

wie im Bsp. mit dem Drucker, das Tor wieder zu öffnen? Dann kann ich den Drucker

doch gleich im selben Subnetz belassen oder? Oder verstehe ich da was komplett falsch?

Besteht da dann nicht wieder die gleiche Möglichkeit das Daten fließen die nicht fließen sollen?

Bis die Tage