USG4P VLAN / Firewall / Nat

Es gibt 20 Antworten in diesem Thema, welches 9.680 mal aufgerufen wurde. Der letzte Beitrag () ist von iTweek.

    Hallo liebe Gemeinde,


    ich versuche gerade ein Projekt aufzubauen was ich leider noch nicht so ganz hinbekomme da es glaube ich ein paar Verständnisprobleme gibt.

    Mein Plan / Aufbau:

    USG4Pro mit einen 250 MBit DSL (Vigor und DynDNS) sowie einen 1GBit Breitbandkabelanschluss (Fritte und statischer IP)

    Ich möchte zwei getrennte WLan Netze erstellen (Hardware technisch getrennt) mit 2 x AP im Dachgeschoss und 4 x in den anderen Etagen.

    Dann soll es ein Gäste W-Lan geben mit diesem Captive Portal

    Sowie ein KameraNetz worauf nun bestimme Geräte mit Ihrer Mac Adresse zugreifen dürfen.


    Dann muss von Außen mehrere Dienste erreichbar sein, Mailserver, Webserver, SharePoint Server, SFTP


    Ich habe keine Idee wie ich das aufbauen soll.

    Aktuell läuft alles in einem Netz.


    Wäre für eine kleine Anleitung sehr Dankbar.


    Glück auf...

    • Offizieller Beitrag

    Vlan kann man machen, für gäste mit portal. Server evt kann man muss man nicht. Und dein privates netz.


    sprich du brauchst nur 1 vlan (ist dann auch gleichzeitig sub netz)


    sobald vlan machst musst du ein anderen netz angeben

    Du hast eine dicke Konfiguration aber leider noch keine Ahnung :smiling_face:


    Die Fritte kommt an LAN2 des USG

    der Bandbreitenanschluss kommt an LAN1 und dann rein in den >Controller und konfigurieren.


    Die Unifi Hardware lässt du in 192.168.1.x und dann erstellst du soviel Netze wie du brauchst.


    5 VLAN Netze mit einen IP´s

    10.0.10.x

    10.0.20.x usw..


    Hausnetz, KameraNetz, VPN Netz, Testnetz

    3 WLAN Netze > Heimnetz, Gastnetz und Enterprise zum testen.


    Du solltest also erst einmal die Netze einrichten und dann die Endgeräte über die Switch konfigurieren.

    Gefällt mir 1

    Und dran denken, die Schnittstelle auf WAN 2 der USG kann nur entweder als Failover oder als Lastverteilung laufen. In beiden Fällen ist das auf WAN von außen nicht zu erreichen. Wenn Du beide WAN Ports aktiv nutzen willst brauchst Du eine "richtige" Firewall.

    Hallo,


    ich habe jetzt alle Geräte mit einer festen IP versehen und sie befinden sich alle im Management LAN (10.10.1.1/24)

    Dann haben ist alle nötigen Netze erstellt und mit einer Van IS versehen.

    Die UDM ist eingerichtet und hat auch Verbindung zum Internet.

    Wie geht es weiter ?


    Ich Danke euch...

    Na jetzt kannst du deinen Ports und WIFI Netzen deine VLAN xx geben uns schon bekommen alle ihre IPs neu und du hast sie dort im Netz.

    Evtl. noch die Ports schliessen. zb. die IP Kamera draussen darf nicht ins Netz aber das Netz darf zur Kamera...

    So habe jetzt endlich die Zeit gefunden die Netzwerke zuzuordnen.

    Es funktioniert soweit auch ganz gut, die Netze sind getrennt.

    Jetzt aber ein neues Problem.

    Ich habe eine SmartHome Anlage die ich durch Eingabe per IP im Browser erreichen kann.

    In welches Netz sollte ich diese packen damit ich von jedem Netzwerk darauf zugreifen kann ?


    Muss ich eine Firewallregel oder Portweiterleitung einrichten ?


    Mein Aufbau sieht jetzt wie folgt aus:

    • 10.10.1.0 Netz Management
    • 10.10.10.0 Netz für das EG VLAN ID 10
    • 10.10.20.0 Netz für das DGVLAN ID 20
    • 10.10.30.0 Netz für die Cam‘s VLAN ID 30
    • 10.10.50.0 Gast Zugang VLAN ID 50

    Ich Danke euch für eure Unterstützung und Geduld :smiling_face:

    Hi Beikonur,


    dann bitte noch das Kamera Netz mit einer Sperre belegen, sonst klaue ich dir die Kamera und bin bei dir im Netz :smiling_face:


    Wie man das mit der Smarthome Sache macht... sorry, da muss ein anderer ran :smiling_face:


    Gefällt mir 1

    Hallo NetWorker...


    Seit 10/2018 befasse ich mich ergiebig mit VLAN / Rules und CO....


    Und ich muss erschrecken


    Doppel NAT VLAN Aussperrung...

    ( HOMER die an Fritten denken )


    Ich möchte für ALLE mal diese Info heraus geben :

    WAN IN (WAN eingehend)

    Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

    WAN OUT (WAN ausgehend)

    Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

    WAN LOCAL (WAN lokal)

    Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

    LAN OUT (LAN ausgehend)

    Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

    LAN IN (LAN eingehend)

    Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

    LAN LOCAL (LAN lokal)

    Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

    Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.





    PS:


    Dazu, da einige Festgestellt haben, das die USG beim Erst install OFFEN ist, solltet Ihr


    Euch überlegen alle PORTS in der HAUPT Regel LAN IN / NAT ( IP GATEWAY/24 ) erst einmal komplett zu schliessen


    soll heissen 1- 49151 zu schliessen mit den Ausnahmen


    25/110 email zzgl SSL

    80/443 zzgl Sonder Ports ( 8443 / 7443 unifi )=

    STUN Access Point etc.

    ggfl. SIP 5060/5061 funktioniert mit YeaLINK einfach nur Prima


    Diese Regel können auf alle Netzwerke VLAN gelegt werden


    Klar sollte Euch sein, das bei NUR EINER "switch" alles untagged ist...


    Somit kann zb. bei einer 16 Port Switch im VLAN 10 mit Switch Port 4-8 zb. nur das Netzwerk untereinander von PC 4 bis PC 8 kommunizieren

    anbei ist dann auf "switch Port 9-16 / VLAN 20" zb. der PC 9 bis PC 16 nur Kommunikativ diese können dann aber nicht auf VLAN 10 und umgekehrt Kommunizieren, da müsst Ihr über VLAN Switch am Port den MAC Filter auf Rules akzeptieren einstellen sonst geht da gar nichts

    das ist als Wenn einer von Euch vor Einer Glasscheibe steht und mit einen Gegenüber versucht zu kommunizieren, das Funktioniert so nicht



    Habt Ihr zwei Switche (nehmen wir mal aus dem 20 Jahrhundert den üblichen alten UPLINK) 16 <=> 8 / 16 / 24 48 seit Ihr tagged, dieses ist im Netzwerk Switch Profilverwaltung zu Managenen - somit ist Klar (bsp: 8 Port <=> 16 Port) das dann Switch 1 Port 8 <=> "getagged" wird auf Switch 2 Port 16


    Somit ist im Controller auch dort wieder das an dem Swtch Management der Netzwerke einzustellenm ( eigentlich ein NAT Durchschlief )


    Ich gehe mal von SUBNetz " CIDR" 24 aus ...


    Es seit denn man nehme bsp. VLAN 10 im Weiterleiten von switch 1 Port 8 nach Port 2-8 auf switch 2 über Port 16 (UPLINK Theorie)






    Gesagt Getan ...

    4 Mal editiert, zuletzt von PeGaSuS () aus folgendem Grund: TIP FEHLER ( Tasten klemmen ab und zu )

    • Offizieller Beitrag

    Guten Abend Beikonur,


    bitte bedenke, dass alle IP-Pakete zwischen den VLANs normalerweise durch das Gateway (UDM Pro) müssen (normalerweise deswegen, denn ein geeigneter Switch könnte das auch leisten). Das kann bei viel Traffic zu Engpässen im LAN führen. Falls also die Clients aus den VLANs 10 & 20 viele Daten miteinander austauschen, müssen die Daten immer behandelt werden. Das nur als Tipp.


    Danke für den Konfig-Hinweis zur VLAN-Trennung, tomtim. Das muss ich bei mir auch noch aktivieren.

    Dafür gibt es auch die sogenannten qOS Einstellungen .. ich glaube im Trafficbereich WLAN Netzwerk einzustellen ( USG / UDM )


    Upload/download MBIT


    Ftitzbox Contra Ubiquiti


    192.168.178.0/24 = NAT

    alle Geräte im NAT ... alle


    Ubiquiti Lan Mananagent NAT / 192.168.1.0/24


    VLAN 10 = IoT /// zb. Shelly Aktoren WLAN geschaltet MIT VLAN ID

    VLAN 20 = Office NET /// Laptops und PC`s

    VLAN 30 = Spiele und TV NET /// PSX und smart TV


    Somit der Connect FireTV Stick auf WLAN XY mit umlenkung auf ID 30


    Die Play Station auf VLAN ID 30 mit LAN


    Der Notebook per WLAN auf VLAN ID 20


    Der Arbeitszimmer PC auf LAN mit umlenkung auf VLAN ID 20


    Die WLAN AKtoren Marke XYZ in Umlenkung VLAN ID 10

    sowie auch die LAN Strecken

    Gesagt Getan ...

    4 Mal editiert, zuletzt von PeGaSuS ()

    Hallo Beikonur


    ich bin via Bildergallerie hier auf diesen thread aufmerksam geworden.


    Ich steig grade nicht so durch und damit sind alle angesprochennn. ich habe mir die UDMPro geholt, um damit quasie ein Bindeglied zu haben Zwischen MODEM und meinem Netzwerk. Die UDMpro hat ja eine Firewall an Bord.

    Irgendwie habe ich jetzt auf den Bildern die "Ubiquiti UniFi Security Gateway, USG-PRO-4" entdeckt und mir mal auf UI angesehen. Ist das eine "Vorversion" der UDMPro oder ein separates Produkt, d.h. kann die UDMPro das, was das Gateway kann, oder muss ich mir das Gateway noch zusätzlich holen?


    Danke vorab.

    Die VLAN-Konstellation finde ich interessant. Werde ich wohl auch mal andenken bei meinem Projekt

    • Offizieller Beitrag

    Ja die udm pro kann das was usg4 pro kann.


    Der unterschied ist einfach das udm ein one in all gerät ist und usg4 nur firewall / router für den Braucht man eine externe Controller auf windows / linux oder am besten ein cloudkey