Firewall - Netze untereinander Sperren - VPN User Zugriff auf andere Netzte sperren

Es gibt 23 Antworten in diesem Thema, welches 7.700 mal aufgerufen wurde. Der letzte Beitrag () ist von wildmaster.

    Moin Kollegen,


    meine Problem hat quasi 2 Kapitel:


    irgendwie habe ich ein Verständnisproblem mit der FW Regel der USG4P. Ich habe verschiedene Netze angelegt und möchte nun verhindern, dass einige dieser Netze auf andere zugreifen dürfen. Grundsätzlich ja kein Thema, in der USG4P gibt es "aber" LAN eingehend und LAN ausgehen und das VPN Netzwerk kann über diese Regeln nicht ausgewählt werden.


    Teil 1:

    Kurz zum Ziel: Ich habe verschiedene Netze angelegt, wie z.B. Gäste WLAN, Firma1,Firma2,FIrma3, VPN Netz. Nun möchte ich, dass Firma1+VPN User untereinander erreichbar ist, aber die beiden Netze nicht auf Firma2 und Firma3 zugreifen kann. Ebenfalls soll Firma2 nicht auf Firma1+VPN und Firma3 zugreifen und Firma 3 nicht auf Firma1+VPN und Firma 2 zugreifen. Kurzum die Netze untereinander.


    Habe unter LAN eingehend nun für jedes Netz eine Regel erstellt. Also Firma1 auf Firma2 = alles verwerfen, Firma2 auf Firma1 = alles verwerfen usw. Da das VPN Netz nicht im dropdown Menü auszuwählen ist, habe ich eine Gruppe erstellt und dort das VLAN Netz eingetragen und darüber dann die Regel erstelt.


    Mein PC (klemmt an der FB lokales LAN) via VPN mit der USG4 verbunden (die USG4P hängt mit WAN an der FB weil noch nicht produktiv am finalen Ort aufgestellt) und ich kann alle Netze anpingen, trotz der FW Regeln. Ich mache also irgend etwas falsch, komme aber nicht drauf :thinking_face:


    Teil2 :

    Hab auch eine Verständnisfrage. Wenn ich im LAN Eingehend Einstelle - alles verbieten von Firma1 zu Firma2 und von Firma2 zu Firma1, spare ich mir dann nicht den Eintrag in LAN Ausgehend? Irgendwie habe ich noch ein Verständnisproblem bezüglich LAN Eingehen und LAN Ausgehen. Ich verstehe das so, dass LAN Eingehend bezug auf das Ziel nimmt. Also wenn ich Einstelle von Firma1 zu Firma2 alles verwerfen, gilt das für LAN Eingehend Firma2, oder?


    Ich würde dann der Übersicht halber nur LAN eingehend die Regel eintragen, also alles verwerfen von Firma1 zu Firma2 und von Firma2 zu Firma1, damit sollte ich doch den Zugriff beide Netze untereinande unterbinden können?!


    Bitte bringt etwas Licht in den dunklen Tunnel :grinning_face_with_smiling_eyes::smiling_face_with_halo:


    Gruß


    Euer Paulo

    Hallo,


    ich habe für die interne Netzwerkkommunikation alles auf LAN In gestellt. Damit bestimmte Netze nicht "raus" können, habe ich die auf LAN Out gepackt.

    Wie hast Du denn das Netz, in dem der VPN-Tunnel endet, behandelt? Welche Regel gilt dort?


    Ansonsten habe ich es vom Prinzip her genauso wie Du gemacht.


    VG

    Moin zsuammen,


    danke für Eure Antworten und Tipps.



    Zitat von wildmaster

    ....Wie hast Du denn das Netz, in dem der VPN-Tunnel endet, behandelt? Welche Regel gilt dort?....

    Da ich dieses Netzwerk nicht angezeigt bekomme, wenn ich unter LAN Eingehend eine Regel erstelle, habe ich das via Gruppen getan. Ich habe eine Gruppe VPN angelegt und das Netzt dort angegeben. Danach konnte ich unter LAN Eingehend die Firewall Regel setzten, dass VPN Gruppe nicht auf Firma2 darf und Firma2 nicht in das Netz der Gruppe VPN. Mein Rechner der mit VPN verbunden war, konnte aber fleissig via Ping das jeweilige Gateway erreichen. Ich bin deshalb davon ausgegangen, dass die Regel nicht greift. Clients habe ich ja noch nicht im jeweiligen Netz.


    PS:habe festgestellt, dass die *.*.*.1 von allen Netzen via Ping erreichbar ist. Meinen Client via VPN erreiche ich aus dem Netz Firma2 nicht. Grundsätzlich scheinen die FW Regeln zu funktionieren. Ich stöbere mal in der von BlackSpy verlinkten Anleitung. Die Gatewys möchte ich nämlich ebenfalls nicht erreichbar haben.

    2 Mal editiert, zuletzt von PauloPinto ()

    PPS: untereinander können keine Clients erreicht werden, habe mal mein Handy und nen alten Rechner zur Hilfe genommen. Aber selbst wenn ich explizit eine Regel erstelle, dass *.*.*.1 Lan Ausgehend und Eingehend für Wifi Gäste verboten ist, kann mein Handy das Gateway aus Firma1 erreichen. Hardware ist zwar die selbe, aber ich hatte zumindest erwartet, das die IP gesperrt wird.

    Hi, danke für Dein Feedback. Da man die IP des USG4Pro nicht ändern soll - habe ich zumindest so gelesen - liegt es leider im gleichen Netzt, wie die Clients, NAS, DNS usw.. Ich kann ja mal nachher einen Netzwerkbereich in eine Gruppe stecken und dann die Regel via Gruppen erstellen. Am besten auf LAN Eingehend oder LAN Ausgehen?

    Klappt leider auch nicht, irgend etwas muss ich falsch machen. So kenne ich das von einer FW nicht. Egal ob einzelne Regel oder in Gruppe. Ich kann die IP des Gateway im Management LAN aus dem Gäste WLAN via Ping erreichen. Einen Client aber nicht. Keine Ahnung ob das USG4P sich immer so verhält, weil es ja quasi für alle Netze das Gateway ist.

    Danke :smiling_face: Am Samstag geht der Umbau endlich los, daher versuche ich bis dahin alle "Kleinigkeiten" zu beseitigen.


    Aktuell habe ich für jedes Netzt, was nicht in das andere soll eine Regel angelegt um sicher zu sein, das nix vergessen wird. Also unter LAN Eingehend Verwerfen, Neu, Hinzugefügt etc. Firma1 --> Firma2 und eine Regel genau umgekehrt.

    Die Regel muss unter LAN local und nicht unter LAN IN stehen.

    In der Gruppe sind dann die Netzwerke, die nicht erreicht werden sollen. Wichtig ist, dass die Netzwerke in voller Range also X.X.X.0/24 (oder /16 etc.) eingetragen sind.

    Unter LAN local dann eine Regel anlegen, wo als "Action" DROP für ALL IPv4 angegeben ist.

    Unter Source dann das Netzwerk, von wo aus der Ping abgesetzt wird und als Destination die.g. Gruppe der Netzwerke, die nicht erreicht werden dürfen.

    Entscheidend ist das die Pakete gedroppt werden und das Source und Destination klar sind. Das kann schon mal verwirren.


    VG

    Hi wildmaster


    Danke! Werde ich heute Abend gleich mal ausprobieren! Unter LAN Lokal hatte ich noch nicht rumgespielt, weil ich die Info bekommen habe, dass dort quasi die USG selbst Ihre Einträge macht und LAN Eingehen und Ausgehen für mich als User sein sollen. Kannte ich von anderen FW so noch nicht.


    Ich werde Berichten :).

    Irgend etwas muss ich falsch machen, oder das Gateway ist kaputt. Ich verstehe es leider nicht. Selbst wenn ich unter Lan Lokal als Quelle das Gäste Wifi angebe und als Ziel mein Management Netz Submetz oder Gateway IP, kann ich von meinem Handy in Gäste WLAN das Gateway meinem Management LANs anpingen und sogar alle Gateway IPs der aller Netzte (also immer mit der 1 am Ende). Clients wiederrum gehet nicht.


    Gibt es noch eine Einstellung, die den Ping auf das Gateway grundsätzlich erlaubt?

    Läuft! Man man man :grinning_squinting_face:


    Es gibt eine eigene Gäste Rubrik! Dort unter Gäste Lokal habe ich die Regel erstellt und nun geht es. Wird ein Netz als Gast deklariert, muss man das anscheinend dort rein schreiben, dass es funktioniert.


    PS: jetzt klappt es auch mit den anderen Netzen, die als Gast deklariert sind.


    Dickes Danke an wildmaster für Deine Hilfe, hat mir geholfen, den Fehler zu finden! :thumbs_up:

    2 Mal editiert, zuletzt von PauloPinto ()

    • Offizieller Beitrag
    Zitat von PauloPinto

    PS: Funktioniert DDNS eigentlich sauber?

    Bei mir mit goip seit mehreren Wochen absolut problemlos.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    Danke 1