Netzwerk mit UBNT :)

Es gibt 23 Antworten in diesem Thema, welches 10.493 mal aufgerufen wurde. Der letzte Beitrag () ist von N0head.

    Moin!
    Frage 1:

    Du musst "Wohnung 2" nicht als Gast-Netz deklarieren. Einfach eine VLAN-ID verpassen und die Kommunikation zwischen den VLAN's über die Firewall blockieren.
    Einzelnen Geräten kannst du ebenfalls über die Firewallregeln Zugriff auf verschiedenste Netze/IP's/Ports geben.


    Frage 2:

    Hab ich bei UniFi noch nicht benutzt, werde ich auch nicht.


    Frage 3:
    Stell in Deiner Fritze das USG als "Exposed Host" ein, dann wird gar nichts mehr geblockt. Ich denke, dass wirklich der absolute Großteil der User dieses Setup auf diese Art und Weise betreibt: WAN < Fritze < USG (Exposed Host)
    Alle Anfragen werden quasi direkt an Dein USG geschickt. Das solltest Du natürlich nur dann tun, wenn Du die Firewall im USG soweit eingerichtet hast, dass Du Dir sicher bist, dass das passt. Allerdings glaube ich mich zu erinnern, dass der Zugriff von außerhalb generell abgeblockt wird.

    Portforwarding kannst Du dann im USG machen.

    Zitat von N0head

    Wo mache ich das und vor allem wie?

    Ja, mit Firewall Regeln.

    Zitat von N0head

    hat da einer ein Best Practice für mich?

    Nein, wichtig ist der Unterschied zwischen ein-/ausgehenden Datenverkehr (Sicherheit i.d.R. eingehend) und die Reihenfolge der Regeln beachten (die erste passende Regel wird verwendet.

    Zitat von N0head

    Kann mir jemand was zum integrierten Schutz sagen?

    Wie funktioniert das, was tut es genau?

    - bezogen auf lokale Netze: Standard bei "Corporate" Netzdefinition: Es werden automatisch Firewall-Regeln an gelegt, die gültige Anfragen zwischen den lokalen Netzen erlauben und ungültige verbietet.

    - bezogen auf WAN:

    • Nach der Aktivierung von IPS (bzw. IDS) im Threat Management (beta) werden Steuerungsmöglichkeiten angezeigt, die die Funktionalität ganz gut nachvollziehbar macht.
    • GeoIP Filtering: Geografische Ausgrenzung (beta nutze derzeit nicht)
    • Content Filtering: Inhalte filtern (Alpha) mit Zuordnung zu Block, Security, Familiy, Adult ...)
    • Deep Packet Inspection (alpha) füllt die Netzwerkstatistik und Device Fingerprinting versucht ein Geräte auf Basis von Mac-Adresse und Datenverkehr zu identifizieren
    • Network Scanners (Endpoint Scanner und internal Honeypot): Analysiert die Endgeräte um Sicherheitsrisiken und Schwachpunkte aufzudecken
    • ...

    Generell hoffe ich, dass die gewonnenen Daten nicht, oder wenn, dann nur annonymisiert weiter verwendet werden!

    Aber, diese Steuerungsmöglichkeiten gibt's z.B. bei FB gar nicht.

    Was die Warnung angeht, schön, dass man es überhaupt ausschalten kann.


    Zitat von N0head

    Sie blockt erstmal sämtliche Anfragen, oder? Sprich ich muss gewünschte Ports explizit erlauben

    Im Standard, nein (siehe oben)


    Ich hoffe, ich konnte etwas helfen. Hinweis: Es handelt sich nicht um detailliertes Expertenwissen"!!!


    lg


    Gernot

    Danke, für Euer Verständnis, bin halt neu ...

    Erstmal Danke für deine Antwort. Natürlich auch an gernot.



    Ich denke auch mal, dass die Firewall vom USG erstmal garnix durchlässt.

    Im Zweifel will ich das ja auch. Wäre ja blöd, wenn ich erstmal alle gängigen Ports manuell zumachen muss.

    Zitat von hollywoot

    .

    Moin!
    Frage 1:

    Du musst "Wohnung 2" nicht als Gast-Netz deklarieren. Einfach eine VLAN-ID verpassen und die Kommunikation zwischen den VLAN's über die Firewall blockieren.
    Einzelnen Geräten kannst du ebenfalls über die Firewallregeln Zugriff auf verschiedenste Netze/IP's/Ports geben.

    Dachte ich mir. Ich war mir schon sicher, dass das alles möglich ist. Aber genau hier brauche ich Hilfe beim "wie".

    Ich habe mich gestern daran versucht, allerdings haben die Regeln nicht gegriffen :thinking_face:


    Probiert habe ich : Einstellungen / Firewall / LAN ausgehend & LAN eingehend / Jeweils Quelle IP Subnetz ( Dropdown VLAN X) / Ziel : IP-Adresse aus VLAN Y.


    Sprich alle Geräte aus VLAN X sollen auf eine bestimmte IP aus VLAN Y Zugriff erhalten.

    Ok nevermind.



    Habe gerade nochmal ein Testnetz als "Unternehmen" aufgesetzt und mich mit reichlich Euphorie rangewagt.

    Und auch verstanden:

    Beim Aufsetzen der Unternehmensnetze bekommen beide vorkonfigurierte Regeln.

    Nun habe ich quasi eine Regel erstellt, die vor den vorkonfigurierten greift, die verhindert, dass Unternehmensnetz 1 auf Netz 2 zugreifen kann.

    Im Anschluss noch ne Regel erstellt, dass alles aus Netz 2 auf IP X.X.X.X aus Netz 1 zugreifen kann und "ganz nach oben geschoben".


    Nun läufts. Geil! Erstmal n Bier :face_with_tongue: