Routing nur Internet - aber wie?

Es gibt 6 Antworten in diesem Thema, welches 2.021 mal aufgerufen wurde. Der letzte Beitrag () ist von Eideard.

    Hi liebe Leute,

    lange Zeit habe ich hier schon als Gast verbracht und endlich komme ich auch mal dazu mit Unifi rumzuspielen und stoße auf die ersten Probleme.

    Ich hoffe ihr könnt helfen.


    Ich habe eine USG-Pro mit einem Hauptswitch (aktuell USW-16-POE) sowie drei kleinere Flex-Mini und 5 UAP-Lite im einsatz. Insgesamt hängen einige Geräte am Netz (switch ist noch zu klein ^^, der große kommt erst, wenn wieder Chips da sind...).


    Ich habe in dem Netzwerk mehrere VLANs aufgemacht:

    Defaultnetz (VLAN 1, also standard),

    Internes Netz (2),

    Servernetz (3),

    Öffentliches Netz (4),

    ...


    Alle haben DHCP aktiv und ich denke den tieferen Sinn der 4 Netze brauche ich nicht erläutern.

    Das Default Netz ist wie der Name ja schon sagt das Standardnetz, das immer ausgerollt wird ohne VLAN-Tag. Heißt also jemand steckt sich an den Switch oder eine leere Dose bekommt er das Netzwerk. Jetzt soll der aber nicht auf den Server oder das interne Netz zugreifen können! Ebenso wie das öffentliche Netz. Entgegen meiner Erwartungen hatte ich direkt mit jedem Netz (alle als Unternehmen gekennzeichnet außer das öffentliche) zugriff auf jedes andere Netz und musste dann feststellen, dass die Firewall schonmal alles Verbindet was da ist. "WOW, das kenn ich aber anders" war mein erster Gedanke. Nun gut, also bin ich bei gegangen und habe gesagt "Jeder zu jedem -> Verbieten" (natürlich habe ich mich nicht selber ausgesperrt, da habe ich drauf geachtet)

    Nun will ich aber, dass das Default-Netz zwar ins Internet darf, aber alles andere weiterhin verboten werden soll. Nur ich weiß einfach nicht wie ich das hinbekommen soll...

    Ein wenig verwirrend fand ich zu Anfang auch die Regeln mit in out local. Aber gut, das leuchtet ein, wenn man etwas nachließt!

    Wichtig ist mir: kein Gast. Das Netzwerk soll nicht irgendwelchen Gastregeln unterworfen werden, denn ich muss ggf, mal eine Regel einbauen können, dass der Zugriff z.B. aus VLAN 2 auf dieses eine Gerät möglich ist, der Rest aber blockiert bleibt. Gäste gibt es bei uns nämlich auch und dort gelten ganz besondere Regeln.


    Ich hoffe, ihr könnt mir da helfen. Danke euch.

    • Offizieller Beitrag

    Hallo Eideard ,


    erster Tipp: Firewall-Regeln by EJ

    Damit sollte sich das eine oder andere erledigen lassen.


    Ferner würde ich nicht das default-Netzwerk als Standard an öffentlich zugänglichen Ports schalten, sodern dafür ein eigenes erzeugen, damit Du hier (1. VLAN) Deinen UniFi-Zoo problemlos betreiben kannst.


    Viel Spaß bei uns.

    • Offizieller Beitrag

    Ich meine mal irgendwo gelesen zu haben, dass VLAN 2-10 bei UI nicht verwendet werden sollten, frag mich nicht warum, aber wie gesagt, meine ich hätte es mal irgendwo hier im Forum gelesen.

    Gruß

    defcon

    • Offizieller Beitrag
    Zitat von defcon

    Ich meine mal irgendwo gelesen zu haben, dass VLAN 2-10 bei UI nicht verwendet werden sollten, frag mich nicht warum, aber wie gesagt, meine ich hätte es mal irgendwo hier im Forum gelesen.

    Das habe ich so auch nur gehört / gelesen, mich aber dennoch daran gehalten - alles schick.

    Das Thema ist etwas "vager" als die "Doppel-NAT-Problematik".

    Vielen Dank für den Link. Bei meiner Suche ist mir der nicht untergekommen. Das ist etwas das was ich gesucht habe. Aber so ganz verstehe ich die Logik bei Unifi nicht. Ich kenne es halt so, dass alles blockiert ist und man dann entsprechend Regeln erstellen muss um das Routing zu vollziehen. Aber gut, dann habe ich viel zu tippen... ich habe viele VLANs ...


    Zweiter Absatz:

    Ja, ich habe am Switch alle Ports auf gewisse VLANs gemapped. Ich will auch, dass jedes Gerät grundsätzlich an einem Port hängt auf dem es die zugriffe hat die es braucht. Alle anderen Ports habe ich zwar gepachted aber dann disabled. Allerdings gibt es hier und da ports an denen mehrere Geräte hängen. Dort habe ich dann einen Flex Mini dran.


    Auf dem großen habe ich dann jeweils die auch MAC Allow-List aktiv um es Angreifern oder unbedarften Kollegen schwerer zu machen.


    Jetzt fehlt halt wirklich nur noch, dass ich die entsprechenden Netze isoliere und das Routing korrekt einrichte. Aber ich sehe schon, das wird ein Spaß...


    Zitat von defcon

    Ich meine mal irgendwo gelesen zu haben, dass VLAN 2-10 bei UI nicht verwendet werden sollten, frag mich nicht warum, aber wie gesagt, meine ich hätte es mal irgendwo hier im Forum gelesen.

    Das finde ich interessant... würde mich interessieren warum! Weil selbst in der Doku von Unifi steht nichts dazu. Man kann VLAN 1-4010 verwenden bzw. 1 und 4010 sind halt reserviert. OK normal! Meine VLANs sind wirklich einfach durchnummeriert.

    • Offizieller Beitrag

    Auf die 9 VLANs kommt es mir nicht an, daher: kein Problem für mich. Ich habe sogar erst bei 101 angefangen.

    Zitat von Eideard

    Vielen Dank für den Link. Bei meiner Suche ist mir der nicht untergekommen. Das ist etwas das was ich gesucht habe. Aber so ganz verstehe ich die Logik bei Unifi nicht. Ich kenne es halt so, dass alles blockiert ist und man dann entsprechend Regeln erstellen muss um das Routing zu vollziehen. Aber gut, dann habe ich viel zu tippen... ich habe viele VLANs ...

    Nicht, dass Du Dich am Ende wunderst: Da ja jeglicher inter-VLAN-Verkehr durch das USG muss, ist das am Ende u.U. ein Flaschenhals. Ich war erschrocken, wie weit bei voller Internetauslastung der Speed von einem zum andern VLAN leidet. Mein NAS hat aber genug LAN-Ports, daher für mich kein Problem.

    Ja die USG wäre normal der Flaschenhals weil auch alles L2 switches sind. Das ist in unserem Fall aber egal.

    Das oben genannte Beispiel ist auch stark vereinfacht. Eigentlich sind es bei uns 10 verschiedene Häuser mit jeweils 5-6 VLANs die per StS verbunden sind. Die Kommunikation zum Server sind häuptsächlich SQL und SMB Daten welche dann immer noch über das Internet müssen. Also begrenzt das Internet schon den Datenstrom und innerhalb des Netzes ist immer genug Bandbreite frei.


    Nur da die USG halt einfach jedes Netz mit jedem verbindet (auch die StS Netze) muss ich recht viel in Gruppen packen und die Routings etwas anders erstellen als eigentlich geplant.