UDM WebGui über Externe IP erreichbar.

Es gibt 9 Antworten in diesem Thema, welches 2.562 mal aufgerufen wurde. Der letzte Beitrag () ist von egon22e.

    Moin,


    Ich heiße Martin und bin seit ein paar Tagen nach der suche für eine Lösung meines Problems.


    Ich besitze eine UDM mit einem Draytek Vigor 167. Habe das System bereits seit einer Woche am laufen, alles funktionieren wunderbar bis auf einen kleinen Fehler der mich persönlich stört.


    Mein System hat 4 Netzwerke, habe allen Netzwerken die Erlaubnis entzogen auf das Gateway der UDM zuzugreifen, ich kann also von allen Netzwerken nicht auf das Web GUI zugreifen, das Funktionieren auch super. Bloß wenn ich mich jetzt in einem Netzwerk aufhalte und in diesem meine Externe IP Adresse eintippe werden ich auf die WebGui weiter geleitet und kann mich dort Theoretisch Mit meinen Anmeldeten Einloggen. Was mich sehr stört, da ich ja die UDM Gui für die jeweiligen Netzwerke gesperrt habe. Wenn ich von Extern meine IP Anwähle ist das Gesperrt so ist es ja auch richtig. Nur eben Intern im Netzwerk können alle Netzwerke immer noch über die Externe IP des Provider auf die GUI zugreifen.


    Wo könnte da mein Gedanken Fehler sein? mein Kollege hat die UGS und bei und bei Ihm ist es nicht so, gibt es da Unterschiede?


    Wenn ich in meinem Netzwerk einen Portscanner durchlaufen lasse auf meine Externe IP, dan sind die Ports 443, 8443, 8880, 8843,8080 offen. Wenn ich von Extern Scanne sind alle Ports geschlossen. Ich scanne mit der App NetAnalayzer.


    Gruß Martin

    Moment ...

    Dass man von außen nicht auf die Admin-GUI kommen können soll, kann ich gut nachvollziehen. Das man das aber zusätzlich auch von innen nicht können soll, verstehe ich nicht.


    Warum willst du das?


    Und vor allem: wie willst du denn in Zukunft dein Netzwerk administrieren, wenn du sowohl von extern als auch von intern jeglichen Zugang zur Admin-GUI abgeschottet hast?


    Entweder ich habe etwas komplett nicht verstanden oder du sägst gerade an dem Ast, auf dem du sitzt ...

    Moin,


    ich habe mir 4 Netzwerke erstellt, diesen habe ich den Zugriff auf Ports 22,80,8080,443 auf meine Gateways und das Haupt-LAN entzogen, habe mir aber zugleich einen Lan Port auf der UDM offen gehalten und mein PC Sonderrechte gegeben das nur dieser auf die GUI zugreifen kann. Somit kann jeder Zeit mein PC über WLAN und den LAN Port zugreifen.


    Mein Problem ist, das mal Angenommen mein Handy „welches ja keine Befugnisse hat auf die GUI“ sich in einem der 4 Netzwerke befindet, wenn ich jetzt auf die Gateways zugreifen will geht es nicht was ja meine Regeln besagen und auch tun, da die Ports geschlossen sind. Wenn ich aber die IP Adresse meines Providers eintrage, dan werde ich sofort zur GUI weitergeleitet. Ich spreche hier nur von einer Sperrung der User die sich im Netzwerk befinden.


    Hoffe ich konnte es etwas verständlicher ausdrücken.

    Ah, ok.


    Ich halte es nicht für sinnvoll/notwendig, von intern alles zu verrammeln, da das ja genau die Geräte sind, die von mir administriert werden und denen ich daher vertraue.


    Aber zu deinem Problem:

    Du hast die Ports in der Firewall in dem Ruleset "LAN LOCAL" gesperrt, richtig? Ich kenne mich mit Firewalls nicht wirklich aus, aber ich vermute du benötigst die gleichen Regeln noch ein zweites Mal in "WAN LOCAL", wenn du deine UDM mit der öffentlichen IP ansprichst.

    Das habe ich mir schon gedacht, aber die Öffentliche IP ändert sich ja von Zeit zu Zeit also kann ich keine Regeln explizit auf eine IP Einsätzen. Was mich wundert, bei meinem Kollegen der ja eine USG hat klappt ein Zugang über die öffentliche IP nicht.

    Ich habe folgende Regel in meiner UDM eingestellt. Vielleicht hilft diese Auflistung zur besseren Verständnis.

    • LAN IN
      • Allow Establish Related = Accept = All
      • Allow LAN auf Locale Netzwerke = Accept = Haupt-Netzwerk auf Gruppe RFC1918 (Private Netzwerke)
      • Allow Admin Laptop auf Haupt-Netzwerk = Accept = Laptop IP auf das Haupt-Netzwerk
      • Block Locale Netzwerke = Drop = RFC1918 auf RFC1918
    • LAN LOCAL
      • Allow Admin Laptop zum UDM Gateway = Accept = IP Laptop auf UDM Gateway
      • Block Netzwerke 1 auf UDM Ports = Drop = Netzwerk 1 auf Gateway Netzwerk 1/Portgruppe
      • Block Netzwerke 2 auf UDM Ports = Drop = Netzwerk 2 auf Gateway Netzwerk 2/Portgruppe
      • Block Netzwerke 3 auf UDM Ports = Drop = Netzwerk 3 auf Gateway Netzwerk 3/Portgruppe
      • Block Netzwerke 4 auf UDM Ports = Drop = Netzwerk 4 auf Gateway Netzwerk 4/Portgruppe

    Die Portgruppe besteht aus den Ports 22,80,8080,443. Diese Regel verbietet den Benutzern den Zugriff auf das UDM.

    • Block Netzwerk 1 auf Gateways Netzwerk 1 bis 4 = Drop = Netzwerk 1 auf Gateways Netzwerk 2,3,4,5
    • Block Netzwerk 2 auf Gateways Netzwerk 1 bis 4 = Drop = Netzwerk 2 auf Gateways Netzwerk 1,3,4,5
    • Block Netzwerk 3 auf Gateways Netzwerk 1 bis 4 = Drop = Netzwerk 3 auf Gateways Netzwerk 1,2,4,5
    • Block Netzwerk 4 auf Gateways Netzwerk 1 bis 4 = Drop = Netzwerk 4 auf Gateways Netzwerk 1,2,3,5

    Diese Regel verbietet den Benutzer den Zugriff auf die Gateways.

    Netzwerk 5 ist mein Haupt LAN, das Netzwerk hat zugriff auf alle Netzwerke und besitzt kein WLAN.

    Die Netzwerke 1-4 haben alle noch zusätzlich ein WLAN Netzwerk.


    Ich kann bei WAN Local keine Regel erstellen da meine öffentliche IP keine Statische ist, zumindest kenne ich keinen Weg um eine Regel zu erstellen ohne eine statische IP. Wie gesagt sonst ist ja alles gesperrt und funktionieren alles, nur ist mir der Zugang für Nicht Admins auf die GUI über die Öffentliche IP ein Dorn im Auge. Ist halt nur eine Kleinigkeit, mich stört es aber mächtig, und bei meinem Kollegen ist es eben halt nicht so, der hat allerdings keine UDM sondern eine USG mit CloudKey. Ist das vielleicht ein unterschied zwischen der UDM und der USG.?

    Hast Du das mal wirklich von außen getestet? Also nicht von einem Gerät innerhalb Deines Netzes?

    Zitat von jkasten

    Hast Du das mal wirklich von außen getestet? Also nicht von einem Gerät innerhalb Deines Netzes?

    Zitat von egon22e

    Wenn ich von Extern meine IP Anwähle ist das Gesperrt so ist es ja auch richtig. Nur eben Intern im Netzwerk können alle Netzwerke immer noch über die Externe IP des Provider auf die GUI zugreifen.

    Demnach ja. UDM macht die Einwahl ? Also Vigor nur als Modem ?

    (aber muß ja eigentlich sonst hast du lustig Weiterleitungen in Figur angelegt)


    Kein UDM aber eine grobe Vorstellung:

    Das Gateway kennt alle LAN/VLAN/IPs schaut so aus als die WAN IP als Lokale behandelt

    wird. Sprich in der Routing Tabelle auf der UDM steht „x.x.x.x“ (die externe IP) ist hier

    brauchst du nicht rausschicken kann hier bleiben. Dazu Lauscht dann die Admin GUI auf alle

    Interface. Von richtig extern geht es nicht da kommt die Anfrage über das WAN Interfaces

    und muss erst einmal auch das NAT (was nur mit Sportweiterleitung geht)


    Das ist unschön den auch Linux beherrscht unterschiedliche Routing Tabellen

    seit drölf Jahren und mann kann es auseinander halten...


    Abhilfe:

    Mhhh. Firewall „LOCAL“ sollte der richtige Platz dafür sein, evt WAN Local, tippe aber auf LAN LOCAL (und gast Local)

    Bau da was rein was nur DEINEN Rechner zulässt...Das sollte evt. klappen...

    Einmal editiert, zuletzt von gierig () aus folgendem Grund: typos

    Gefällt mir 1

    Hast recht, glatt übersehen. Ja LAN Local ist der richtige Punkt um das einzustellen.

    Moin,


    danke schon mal für die Antworten, bin leider dieses Wochenende nicht zu Hause, ich werde mir am Sonn Abend nochmals meine Lan Local Regeln anschauen. Habe bloß noch keinen Ansatz wo ich da anfangen könnte. Habe aber das Wochenende um mir Gedanken drüber zu machen.