Firewall für Gäste funktioniert nicht ganz

  • Moin zusammen,


    nun stehe ich vor meiner letzten Hürde für das Heimnetzwerk.

    Ich bekomme es nicht hin, die Firewall richtig zu konfigurieren.


    Ziel ist es, dass Gäste in Internet können, aber auf keines meiner Heimnetzgeräte zugreifen können.


    Geräte:

    FritzBox: 192.168.178.1 (kein DHCP)

    USG: 192.168.1.1 (DHCP)

    NetgearGS108PE: 192.168.1.2

    VLan 100 (Heimnetz (Geßner)): 192.168.100.1 (DHCP)

    VLan 200 (Gastnetz): 192.168.200.1 (DHCP)


    Der Netgear ist dank uboot21 endlich richtig im VLan konfiguriert.

    Trotz Firewall kann ich auf den Netgear (192.168.1.2) zugreifen und das Gastnetz hat kein Internet mehr.

    Selbst wenn ich die Gast-Funktion beim W-LAN aktiviere, kann ich auf die FritzBox, den Netgear Switch und die USG zugreifen.


    Die Anleitung in der Wiki habe ich auch durch, aber irgendwann hatte ich mich dann selber ausgesperrt.

    Zum Glück konnte ich noch von der mobilen App zugreifen und es wieder rückgängig machen.

    Folgende Einstellungen habe ich unter LAN lokal vorgenommen.


  • Moin, da sind wir wieder.

    Hast du das Wiki wirklich gelesen, weil ich vermisse die ganzen Regeln die dort sind, klar das für IoT benötigst du nicht, aber das für Gäste und das gegen VLAN routing brauchst du alles schon

    1. Warum klickst du bei State alles an, hat das einen Grund, weil in der Anleitung steht davon nichts :/

    2. in deiner Gruppe um Gäste zu blocken sind nicht nur die anderen Netze drin sondern auch das eigene Gast Netzwerk


    Du brauchst Regel 1,2,3 und 5 die regel 2 würde ich als Ausnahme am Anfang für dein Main Netz und dein VLAN 100 aufsetzen, also 2 mal

    Regel 1,2,2,3 beschränkt das Inter VLAN routing auf die beiden hauptnetze 1 und 100 und sorgt dafür das der Gast zb nicht mehr auf die Synology kommt. Damit kommt der Gast schon nicht mehr auf den Netgear, da er im anderen VLAN ist

    Regel 5 sorgt nur dafür dass das Gateway nicht erreichbar ist aus dem gästenetz, auch können Gäste sich dann nicht mehr untereinander sehen. Falls du dann trotzdem möchtest, das ein Gast zb drucken möchte, musst du eine entsprechende Regel vor dieser setzen


    Generell empfehle ich dieses Setup, da einfach erweiterbar wenn man später IoT oder anderes mit rein nehmen möchte.


    Dies hier als Hilfe wo was rein gehört (kopiert von idomix)


    LAN OUT (LAN ausgehend)

    Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

    LAN IN (LAN eingehend)

    Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

    LAN LOCAL (LAN lokal)

    Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

    Einmal editiert, zuletzt von uboot21 ()

  • Moin nochmal,

    ich weiss ja gar nicht, wie ich das alles wieder gutmachen kann? :*


    Also ich habe es jetzt mal alles eingestellt. Generell habe ich das zum Teil verstanden.

    Regel 1 (LAN IN) erlaubt erstmal alle bestehenden Verbindungen.

    Regel 2 (LAN IN) erlaubt, dass das Admin-Lan (also in meinem Fall "LAN") Zugriff auf alle anderen Netze hat. (dafür brauche ich eine Gruppe "alle privaten IP Adressen")

    Regel 3 (LAN IN) blockiert die Kommunikation zwischen den Netzen. (da Regel 2 über Regel 3 steht, ist es auch kein Problem. Sonst wäre ja der Admin raus.)

    Regel 5 (LAN LOKAL) blockiert Gäste (VLan 200) zu allen anderen Netzen (dafür brauche ich die Gruppe "blockiere Gast zu allen anderen Netzen")


    Was ich nun noch nicht verstanden habe, warum ich die Regel 2 doppelt haben muss.

    Du sagst ja, einmal für das Heimnetz (VLan 100) und das Adminnetz, aber die Regel 2 erlaubt das doch in allen Netzen.:/


    Schau mal bitte darüber, bevor ich was aktiviere, sonst sperre ich mich wieder aus. :D



  • Ich bin leider auf dem Sprung und schau mir die Regeln später an, aber ein paar Erklärungen

    (dafür brauche ich die Gruppe "blockiere Gast zu allen anderen Netzen")

    In der Gruppe stehen deine Netze ausser die des Gast, also VLAN1 (Admin) und VLAN100


    aber die Regel 2 erlaubt das doch in allen Netzen.

    Regel 2 erlaubt den Zugriff aus deinem Admin Lan auf VLAN 100 und VLAN 200

    Alles andere wäre geblockt, also wie willst du aus VLAN100 auf deine Synology Admin Lan zugreifen?

    Also auch eine Regel vor die die alles sperrt: Erlaube VLAN 100 in alle VLAN


    Regel 1 (LAN IN) erlaubt erstmal alle bestehenden Verbindungen.

    Ja, das State Related besagt, wenn etwas aus einem Netz Verbindung zu dir aufgebaut hat, dann darfst du antworten, sonst wäre auch das verboten und du könntest immer noch nicht auf etwas zugreifen was im VLAN 200 ist

  • In der Gruppe stehen deine Netze ausser die des Gast, also VLAN1 (Admin) und VLAN100

    Genau so habe ich es auch.


    Regel 2 erlaubt den Zugriff aus deinem Admin Lan auf VLAN 100 und VLAN 200

    Alles andere wäre geblockt, also wie willst du aus VLAN100 auf deine Synology Admin Lan zugreifen?

    Also auch eine Regel vor die die alles sperrt: Erlaube VLAN 100 in alle VLAN

    Der Umkehrschluss war mir nicht klar, dass alles andere geblockt ist. Ich habe es jetzt so (hoffentlich richtig) eingestellt.




    Ich habe die Bilder angepasst, so wie ich es aktuell eingestellt habe.

    Ich habe aber alle Regeln noch "deaktiviert" gelassen.

  • uboot21 Ich habe es jetzt mal getestet.

    Leider funktioniert es zum Teil.

    Die Netze können sich nicht untereinander unterhalten, ausser der Netgear Switch, der ist noch erreichbar. (Warum auch immer, da ja 192.168.1.0/24 gesperrt ist und der Netgear 192.168.1.2 als Adresse hat)

    Im Gastnetzwerk habe ich aber kein Internet mehr, wahrscheinlich weil 192.168.1.0/24 gesperrt ist und das ja das Hauptnetz ist mit der USG und der Synology.

    Ich habe schon versucht über WAN OUT den Gästen den Internetzugang zu erlauben, aber leider funktioniert das nicht.

  • Geh deine Einstellungen nochmal gewissenhaft durch,

    Ich sehe in der Gruppe blockiere Gast das du die gastgruppe sperrst anstatt die VLAN 100

  • Verdammte Axt. Ich bin alles 10 mal durchgegangen. Danke für den Hinweis. Es war auch so gedacht, dass da die 100 rein muss. Jetzt geht auch Internet.

    - Synology gesperrt

    - USG gesperrt

    - USG Controller gesperrt

    - FritzBox gesperrt

    - Internet frei

    - Switch frei (warum?🤔)


    Das einzige was ich jetzt noch komisch finde, dass ich den Switch noch erreiche, sonst geht alles wie es soll.

  • Das kann ich jetzt nicht nachvollziehen,

    was du immer machen kannst ist eine weitere Regel mit Block bei lan lokal

    Quelle ist VLAN 200

    Ziel ist ip Adresse des Netgear


    Es wäre möglich das der Netgear hier direkt anspricht ohne über die usg zu Routen, dann wirst du das nicht ändern können, außer ein Passwort auf den Netgear zu setzen

  • Ich habe es jetzt mal getestet.

    Ob ich jetzt LAN Eingehend, ausgehend oder lokal nehme, es lässt sich der Switch aus dem Gastnetzwerk einfach nicht blocken.

    Quelle habe ich mein Gastnetzwerk (VLan 200) und Ziel 192.168.1.2. :/

    Wahrscheinlich ist es so wie du sagst, dass es nicht möglich ist.

    Ein Passwort ist natürlich gesetzt.