Hallo Zusammen,
als neuer Unifi-Nutzer lässt der erste Beitrag nicht lange auf sich warten
Ich habe vor kurzem das ganze Heim Netzwerk auf Unifi umgestellt und kämpfe gerade mit den Firewall Einstellungen.
Vielleicht kurz vorab die Settings: Telekom Glasfasermodem --> UDM Pro --> US-16-150W-PoE+ --> 3 AC-Lite AP'S
Eine Fritzbox 7530 ist am PoE Switch noch für VoIP angeschlossen (Bridge).
Es gibt aktuell ein Admin LAN und ein Firmen LAN (auch analog über 2 W-LANs + Gäste LAN).
Im Firmen LAN hängt ein NAS. Dieser soll nur vom Firmen LAN, über das Admin LAN und über VPN erreichbar sein. Das Firmen LAN soll nicht auf das Admin LAN zugreifen können.
Zudem soll das Firmen LAN zugriff auf die Drucker im Admin LAN haben (btw: momentan noch kein IoT LAN, das muss aus ein paar Gründen noch warten, weil ein CLIENT dort eine feste IP hat und diese momentan noch nicht umziehen darf - wollte das dann später Gesamthaft umziehen).
Da der VPN scheinbar keine User zu VLANs kann, möchte ich den VPN wenigstens nur auf das Firmen LAN leiten (somit Firmen LAN = VPN Rechte).
Nun habe ich die Firewall Regeln angelegt, sie haben Lokal funktioniert und jetzt, wo der Radius Server steht und ich die VPN Regeln erstellt habe, funktioniert das irgendwie nicht mehr.
Aus irgendwelchen Gründen werden in LAN Eingehend die "Erlauben" Regeln vor dem "Block alle IP-Netze für alle IP-Netze" nicht mehr umgesetzt. Ich habe wohl irgendwo einen Denkfehler und bin langsam am verzweifeln.
Aktuell komme ich vom Admin LAN und VPN nicht mehr auf das Firmen LAN. Andere Regeln wie Drucker Zugriff über Firmen LAN und VPN funktionieren aber. (Wenn ich Regel 2004 deaktiviere geht es logischerweise).
Die Lokalen Rechte sind über LAN eingehend konfiguriert und die VPN Rechte über LAN ausgehend. Gateways für das Firmen LAN und VPN habe ich über LAN Lokal blockiert.
LAN Eingehend (Rot ist der Firmenname eingeschwärzt )
LAN Ausgehend:
LAN Lokal:
Die Zugriffe des Firmen LANs sowie VPN auf die Drucker funktionieren, das Admin LAN wird richtigerweise gesperrt.
Trotzdem komme ich vom Admin LAN und VPN nicht mehr in das Firmen LAN. --> kein Zugriff auf den NAS
Ich habe verstanden, dass VPN Regeln über LAN ausgehend zu konfigurieren sind, die nicht aktivierte Regel 2003 hierzu in LAN eingehend hatte ich nur mal ausprobiert.
Ohne die VPN Regeln hatte das Lokal wie gewünscht funktioniert, wenn ich sie aber jetzt deaktiviere geht es trotzdem nicht mehr...
Vermutlich habe ich irgendwo einen Wurm drin, sorry ich bin noch ganz neu im Thema.
Ich hoffe soweit erst mal genug Infos, vielleicht hat jmd. eine Idee.
Besten Dank schon mal!
Freeeeze