Firewall Probleme UDM Pro

Es gibt 5 Antworten in diesem Thema, welches 4.247 mal aufgerufen wurde. Der letzte Beitrag () ist von Freeeeze.

    Hallo Zusammen,


    als neuer Unifi-Nutzer lässt der erste Beitrag nicht lange auf sich warten :winking_face:


    Ich habe vor kurzem das ganze Heim Netzwerk auf Unifi umgestellt und kämpfe gerade mit den Firewall Einstellungen.


    Vielleicht kurz vorab die Settings: Telekom Glasfasermodem --> UDM Pro --> US-16-150W-PoE+ --> 3 AC-Lite AP'S

    Eine Fritzbox 7530 ist am PoE Switch noch für VoIP angeschlossen (Bridge).


    Es gibt aktuell ein Admin LAN und ein Firmen LAN (auch analog über 2 W-LANs + Gäste LAN).


    Im Firmen LAN hängt ein NAS. Dieser soll nur vom Firmen LAN, über das Admin LAN und über VPN erreichbar sein. Das Firmen LAN soll nicht auf das Admin LAN zugreifen können.

    Zudem soll das Firmen LAN zugriff auf die Drucker im Admin LAN haben (btw: momentan noch kein IoT LAN, das muss aus ein paar Gründen noch warten, weil ein CLIENT dort eine feste IP hat und diese momentan noch nicht umziehen darf - wollte das dann später Gesamthaft umziehen).

    Da der VPN scheinbar keine User zu VLANs kann, möchte ich den VPN wenigstens nur auf das Firmen LAN leiten (somit Firmen LAN = VPN Rechte).


    Nun habe ich die Firewall Regeln angelegt, sie haben Lokal funktioniert und jetzt, wo der Radius Server steht und ich die VPN Regeln erstellt habe, funktioniert das irgendwie nicht mehr.

    Aus irgendwelchen Gründen werden in LAN Eingehend die "Erlauben" Regeln vor dem "Block alle IP-Netze für alle IP-Netze" nicht mehr umgesetzt. Ich habe wohl irgendwo einen Denkfehler und bin langsam am verzweifeln.


    Aktuell komme ich vom Admin LAN und VPN nicht mehr auf das Firmen LAN. Andere Regeln wie Drucker Zugriff über Firmen LAN und VPN funktionieren aber. (Wenn ich Regel 2004 deaktiviere geht es logischerweise).

    Die Lokalen Rechte sind über LAN eingehend konfiguriert und die VPN Rechte über LAN ausgehend. Gateways für das Firmen LAN und VPN habe ich über LAN Lokal blockiert.



    LAN Eingehend (Rot ist der Firmenname eingeschwärzt :smiling_face: )


    LAN Ausgehend:

    LAN Lokal:


    Die Zugriffe des Firmen LANs sowie VPN auf die Drucker funktionieren, das Admin LAN wird richtigerweise gesperrt.

    Trotzdem komme ich vom Admin LAN und VPN nicht mehr in das Firmen LAN. --> kein Zugriff auf den NAS


    Ich habe verstanden, dass VPN Regeln über LAN ausgehend zu konfigurieren sind, die nicht aktivierte Regel 2003 hierzu in LAN eingehend hatte ich nur mal ausprobiert.


    Ohne die VPN Regeln hatte das Lokal wie gewünscht funktioniert, wenn ich sie aber jetzt deaktiviere geht es trotzdem nicht mehr...


    Vermutlich habe ich irgendwo einen Wurm drin, sorry ich bin noch ganz neu im Thema.

    Ich hoffe soweit erst mal genug Infos, vielleicht hat jmd. eine Idee.


    Besten Dank schon mal!


    Freeeeze

    Ja, die Unifi Firewall Regeln sind schon speziell und teils anders einzustellen wie übliche Firewalls.


    Hier hat der Idomix mal schön aufgelistet, was die unterschiedlichen Firewall Gruppen bedeuten

    https://idomix.de/unifi-firewa…solation-security-gateway


    Falls du Hilfe zum logischen trennen und regeln von VLAN per Firewall lernen möchtest empfehle ich dieses englische Video von MacTelecom

    https://www.youtube.com/watch?v=vEQkCow7wdU


    Weiter empfehle ich das WIKI hier im Forum: Firewall-Regeln >Basis-Wissen< (EJ)

    Hiermit versteht man das Erstellen von Regeln etwas besser.


    Da man Regeln immer auf verschiedenste Weisen erstellen kann und darf, sind meine Kommentare zu deinem Setup sicher nicht als falsch zu verstehen, vom logischen Aufbau würde ich selber sowas aber immer anders aufbauen.

    Wichtig ist auch, Dir vorher ein Skizze zu machen was du eigentlich erlauben und ausschliessen möchtest. So verhinderst du, dass du am Ende 10 Geräte sperrst anstatt nur 3 Geräte zuzulassen und dein setup nur unnötig kompliziert wird.

    Leider hast du ziemlich viel rot markiert, was es schwer macht zu erkennen was du eigentlich möchtest 😉


    Lan ausgehend Regeln: Machen nicht wirklich Sinn: Was soll es bringen das VPN von einem VLAN zu einem anderen heraus zu sperren, wenn der VPN Server von überall anders erreichbar ist, solche Regeln gehören eigentlich ins LAN Eingehend.


    LAN Lokal Regeln: Vorsicht! Du blockst hier evtl. auch InterVLAN transfer, also jeglichen Transfer von einem Gerät zu einem anderen, egal wo es sich befindet. Hier gehören so Regeln rein wie z.b Sperre Zugang auf das Gateway für ssh oder Web oder den ping auf das gateway


    LAN Eingehend: Hier gehören alle Erlaubt Regeln rein die in dein Ziel Netzwerk gehen. Erlaubt Regeln gehören vor den Standard Regeln und Verboten Regeln am Ende. -> Das wenn du nur einzelnen Geräten oder netzen den zugriff erlauben möchtest, falls du nur ein einzelnes Gerät VLAN sperren möchtest, könntest du auch vor den Regeln ein verbot für das eine erstellen, dann hätten aber auch alle anderen Geräte zugriff, häufiger wird also der erste Weg der Richtige sein.


    Wenn ich jetzt deine Regeln im LAN Eingehend sehe, verbietest du jeglichen Zugriff von allen anderen Netzwerken (auch das VPN Netzwerk)

    Die Regel darüber die scheinbar VPN erlauben soll ist aber ausgeschaltet, da kommt also garnichts rein von aussen, auch kein VPN

    Danke für die Antwort!


    Sorry wegen dem einschwärzen, Statt "rot" muss man sich immer den Firmennamen denken: VPN "Firma" und LAN "Firma" ... wenn VPN davor steht selbsterklärend, wenn ohne VPN dann ist es nur das LAN "Firma"


    Ich hatte versucht das Ganze nach den EJ Wiki das du oben verlinkt hast aufzubauen, das hat auch funktioniert. Lediglich Regel 1 habe ich weggelassen da ich sie nicht verstanden habe.

    Damit hat es auch zumindest zwischen Admin LAN (oben in den Bildern nur "LAN" genannt) und Firmen LAN super funktioniert.

    Erst mit den zusätzlichen Regeln der VPN Verbindung ist der Wurm reingekommen.

    Hatte auf anderen Seiten gelesen das die VPN Firewall wohl unter LAN ausgehend zu erfolgen hat. (Erklärung: das VPN Netz kommt von der Firewall "selber" - habe das einfach geglaubt)


    Ich habe nun mal alles so gelassen wie es war und nur die Regel 1 „allow established/related sessions“: unter LAN Eingehend neu mit dazu genommen (Platz 1 vor allen anderen). Und siehe da es funktioniert (fast).

    Was erlaube ich denn konkret wenn man (ohne Netzbezug) hergestellte und zugehörige Verbindungen erlaubt? - Die Regel verstehe ich nicht


    2410-pasted-from-clipboard-png


    Das einzige was immer noch nicht funktioniert, ist das ich über die VPN keinen Zugriff auf das Gateway habe. Auf die UDM Pro komme ich komischerweise immer noch.

    Die Gleiche Regel für das Firmen Lan funktioniert --> kein Zugriff auf die UDM Pro.


    Der Rest funktioniert :smiling_face:


    Danke für die Hilfe!

    Zitat von Freeeeze

    Was erlaube ich denn konkret wenn man (ohne Netzbezug) hergestellte und zugehörige Verbindungen erlaubt? - Die Regel verstehe ich nicht

    Also du verbietest zb Firma zu Admin, das ist klar, aber wenn du von Admin auf Firma zugreifst möchtest du ja das die Verbindung die von Admin aufgebaut wurde (established) auch beantwortet werden darf ohne das die Regel die der Firma ja verbietet mit Admin zu reden eingreift. Also einmal hergestellte Verbindungen sind dann doch erlaubt.



    Wie baust du denn das VPN auf? Über die udm pro? Dann schau mal unter Netzwerke, hier hat die udm ein VLAN eingerichtet für das VPN Netzwerk. Für diesen kannst du identisch regeln erlauben wie für jedes andere VLAN

    Danke für die Erklärung!


    Genau, das VPN wird über die UDM Pro aufgebaut. Deshalb habe ich analog dem Firmen LAN eine Regel für das VPN Netz unter LAN Local erstellt, die die Verbindung zu 192.168.178.0/24 verbietet (analog dem Wiki). Somit sollte es keinen Zugriff auf die UDM Pro (192.168.178.1) mehr geben

    Nur für das Firmen LAN funktioniert es, für den VPN nicht...


    (Unterschied zwischen den beiden Regeln: Das Firmen LAN kann ich einfach als Netzwerk- Quelle verwenden, im VPN musste ich erst eine IP Gruppe - 10.1.98.0/24 als Quelle erstellen)

    Irgendwie bekomme ich es nicht hin das Gateway 192.168.178.1 (bzw. die UDM Pro konkret) für den VPN Zugang zu sperren.

    Hat jmd. eine Idee wo und wie ich die Firewall Regel erstellen muss? Laut Wiki ja unter LAN Lokal. Aber selbst wenn ich die IP Adresse direkt für meinen VPN Netz sperre komme ich drauf...


    Danke und viele Grüße