2 Netze verbinden

Es gibt 6 Antworten in diesem Thema, welches 4.275 mal aufgerufen wurde. Der letzte Beitrag () ist von Ben2003.

    Hallo,


    es gibt derzeit nur ein Netz (LAN 1: 192.168.1.0/24) in dem alle Geräte und Clients befinden.


    Im Unifi-Controller ist die neue GUI-Oberfläche aktiviert.


    Aus verschiedenen Gründen soll der Netz aufgeteilt werden:


    z.B.

    • LAN 1: 192.168.1.0/24 - Nur Unfifi-Geräte und unifi-Controller
    • LAN 2: 192.168.100.0/24 - Clients mit Smart Verbindungen (z.B. Smarte Lampen)
    • LAN 3: 192.168.160.0/24 - Alle Clients mit Service Funktionien z.B. diverse Webserver, Web-Proxy, ...
    • LAN 4: 192.168.150.0/24 - Maintenance - Net (Überwachungs-Netz, z.B. Nagios, Zabbix, CheckMK)
    • LAN 5: 192.168.188.0/24 - Alle übrigen Clients

    Vorhanden ist "LAN 1". In diesem Netz existiert ein Internet-Zugang.


    Clients im LAN 2 sollen isoliert werden. Damit soll verhindert werden, dass die Clients Zugriff auf andere Sub-Netz Bereiche bekommen.

    Im LAN 2 wird ein Client als Proxy vorhanden sein, über den die anderen Clients Zugriff zum Internet erhalten. Ein direkter Internet-Zugang soll unterbunden werden.


    Clients im LAN 5 sollen Zugriff auf LAN 1 bekommen. Ein Internet Zugang soll direkt ungefiltert möglich sein.


    Clients im LAN 3 sollen Zugriff auf das Internet bekommen. Portweiterleitungen (z.B. Port 80/443) werden mit Ziel in diesem Netz eingerichtet werden.


    Clients im LAN 4 müssen auf alle übrigen Netze Zugriff bekommen, damit diverse Betriebsparameter regelmäßig abgerufen werden können.


    Kann mr jemand erläutern, wie man das machen kann?

    • Offizieller Beitrag

    Hallo Ben2003 ,


    hast Du Dir schon den sehr ausführlichen Wiki-Beitrag zu diesem Thema durchgelesen: Firewall-Regeln by EJ?


    Wenn Du es nicht unterbindest können alle Clients in VLANs vom Typ Corporate miteinander kommunizieren.


    Wenn dann noch etwas offen sein sollte: immer her mit den Fragen.

    Zitat von razor

    hast Du Dir schon den sehr ausführlichen Wiki-Beitrag zu diesem Thema durchgelesen: Firewall-Regeln by EJ?

    Gemäß dieser grandiosen Anleitung wurden drei Netze erstellt. Zusätzlich ist nun noch ein Netz vorhanden, in dem die Unifi-Geräte sich angemeldet haben.


    Nun fehlt noch eine Regel, nach dem die Clients im LAN sich im Netz "LAN admin" anmelden sollen. Die Unifi-Geräte sollen allerdings im ursprünglichen Netz bleiben. Ist so etwas möglich?


    Ich kann mir gut vorstellen, dass man hierfür eine Gruppe mit MAC-Adressen aufziehen muss, in der die unifi-Geräte erfasst werden. Aufgrund diesr Liste kann dann die Anmeldung im Netz erfolgen.

    Drei Regeln von den "Firewall-Regeln by EJ" scheint nicht so in meiner Umgebung zu passen:


    block IoT to all GW

    block all communication between VLANs

    block guests to GW


    Wenn diese Regeln aktiviert werden, fliegen alle Unifi-Geräte aus der Liste der vorhandenen Geräte. Nur die USG bleibt noch sichtbar.


    Da die Provisionierung recht lange dauert, konnte ich noch nicht genau festgstellen, welche Regel genau für das Hinausfliegen der Unifi-Geräte zuständig ist.


    Die Geräte befinden sich im Subnet Bereich 192.168.1.0/24 . Kann mir jemand erläutern, wie die Regel angepasst werden muss, damit nach der Aktivierung die Unifi-Geräte noch sichtbar bleiben?

    2 Mal editiert, zuletzt von Ben2003 ()

    • Offizieller Beitrag

    Das müssen wir uns genauer ansehen. Bitte erstelle einen Screenshot von den Netzen als Übersicht und dann auch von den erstellten Regeln.

    Gemäß dem, was ich bisher gelesen und konfiguriert habe, sollte der UniFi-Zoo im ersten Netzwerk sein / bleiben. Ich habe zwar den Adresseraum des ersten LANs geändert (nicht immer eine gute Idee), aber dennoch alles hier zentralisiert und für meine anderen Clients neue Netze erzeugt - bisher noch alles Corporate. Vielleicht komme ich zwischen den Feiertagen endlich dazu auch die eine oder andere Regel zu aktivieren.

    Zitat von razor

    Das müssen wir uns genauer ansehen. Bitte erstelle einen Screenshot von den Netzen als Übersicht und dann auch von den erstellten Regeln.

    Es hat lediglich eine zusätzliche "Allow"-Regel für LAN-In gefehlt, mit der das Subnetzbereich.192.168.1.0/24 auch von einem anderen Bereich zugänglich gemacht wird.


    Hintergrund:

    Im Subnetzbereich 192.168.1.0/24 befinden sich alle Unifi-Geräte.