Probleme mit einer Richtlinie zwischen VLAN's

Hi,

Unter Umständen ist es ein Windows-Problem und keine Unifi-Problem, aber ich denke, hier sind sicher Profi's, die in beiden Welten zu Hause sind

ich habe ein "freistehendes Firmennetzwerk" mit Windows-Domain (DC, Exchange) ein ein neues Netzwerk "SCM" als VLAN übernommen. Die Adressen-Range war schon als 192.168.10.xxx definiert, also habe ich es ins VLAN so übernommen. DHCP, DNS im VLAN wird vom Domain-Controller übernommen, WLAN gibt es nicht:

Freigabe des NAS und des Druckers für bestimmte Rechner (MAC-Adressen) sind eingerichtet und funktieren, Das Netz kommt in das Internet und auf das Gateway (also die UDM). Alle anderen VLAN's sind gesperrt und kommen nicht in das Netzwerk.

Aber ich hätte gerne aus dem SCM-Netzwerk Zugriff in andere VLAN's (schon um die Kameras einzusehen und auf das IOT-Netzwerk, aber das bekomme ich nicht hin. Vom Management-Netzwerk "LAN" funktionioniert es (da bin ich über WLAN eingebunden) aber nicht aus dem "SCM" Netzwerk:

Die Firewall-Regel von SCM auf VLAN's ist so eingerichtet:

Ich habe es auch schon mit Eintragung einer Ziel-Netzwerk-Liste versucht:

Ich sehe für mich 3 Fehlerquellen, warum es nicht gehen könnte:

- Firewall-Regel nicht korrekt

- Ich komme nicht in die VLAN, weil es nur ein LAN-Netzwerk ist

- Irgenwas in der Windows-Domänen-Einstellung stimmt nicht.

Und noch etwas:
Ich habe einen Zugang zum Exchange über einen NGINX-Proxy-Server, von den anderen VLAN's und von aussen komme ich hin, nicht jedoch aus dem "SCM".

Irgendwann habe ich gelesen, das eventuell bei diesen Anfragen vom Router gleich zurückgeleitet wird und gar nicht ins WLAN kommt, aber ich habe den Begriff dazu vergessen (was man sich nicht gleich notiert ist verloren ).

Langer Einstieg, aber ich hoffe, alles beschrieben zu haben.

Was kann die Ursache sein und kann mir wer helfen?

Danke.

Hi Razor,

Danke für den Hinweis, ist das nur ein allgemeiner Hinweis, weil "Firewall" in der Headline steht oder kann ich spezifisch für mein Problem was auslesen. Die anderen Regeln die ich erstellt habe funktionieren ja, also glaube ich, das System "Firewall-Regeln" schon verstanden zu haben.

Hi Elbee,
Danke für die Antwort

Zitat von Elbee

Ohne deine Firewall Regel zu kennen kann man nur raten. Könntest nochmal prüfen ob

- Regel am richtigen Ort eingeben sind (LAN IN)

- Allgemeine Established & Related Regel existiert

- Reihenfolge der Firewall Regeln

- Switchports den Traffic auch routen

Ich dachte, ich hätte alles in der Start-Message angegeben, zumindest die Regel ist abgebildet und wie das VLAN SCM definiert ist.

Aber stimmt, die Reihenfolge meiner Regeln ist nicht abgebildet:

Ja, die Regel ist in LAN IN

Alles vor dieser Regel ist erlaubt:

Die letzte Frage verstehe ich nicht ganz,

Was meinst Du mit Switchports den Trafic auch routen?

Der Port, an dem das SCM-Netz hängt routet nur SCM, In die anderen Netze sollte doch meiner Meinung nach die UDM routen.

Oder ist das mein Fehler im Denken?

Sorry, wenn ich noch einmal nachfrage:

Zitat von razor

Ich empfehle Dir bzgl. Deiner Firewall folgeden Wiki-Beitrag: Unifi Allgemein | Firewall-Regeln by EJ.

Nach dem Wiki, sollte ich eigentlich keine FW-Regel brauchen, da ja Standard ist, dass VLAN-übergreifend alles erlaubt ist und die FW-Regeln nur blocken sollen/müssen.

Ich habe nur eine Regel, die den Zugriff blockt, und das ist die Regel dass keiner ins SCM kommt (mit Ausnahmen, die vorher definiert sind)

Deshalb glaube ich an einen anderen Fehler, weil ja als Standard SCM in alle VLAN's kommen sollte.

Noch einmal zur Beschreibung des SCM-VLAN:
Es ist nur ein LAN-Netzwerk (kein WLAN darüber aufgespannt)

Es sind nur 2 Metal-Rechner im Netzwerk (EIn ESX und ein Office-Rechner), der Rest in VM's auf ESX oder Office

Es wird intern über einen Windows-Domain-Server gemanaged (DHCP usw.)

Die Gateway-Adresse ist 192.168.10.250 (historisch bedingt, da früher auf dieser Adresse der Internet-Router war)

Ich komme mit jedem der Rechner im SCM auf die UDM und ins Internet

Das Netzwerk wird über ein Port eines USW-Flex-Mini, auf dem nur SCM aufgeschaltet ist, gespeist.

Ich habe eigentlich nur mehr folgende Vermutungen:

Am UDM:
das DHCP nicht von der UDM sollte kein Problem sein

eventuell das das Gateway auf x.x.10.250 geschaltet ist

Tracert-Ausgabe:

PS C:\Users\Maier.SCM.000> tracert 192.168.40.10

Routenverfolgung zu 192.168.40.10 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  linksys [192.168.10.250]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *

Die Anfrage erkennt, dass die Adresse nicht im eigenen DNS-Bereich ist und fragt beim Router an.

Aber sollte die UDM da nicht weiterrouten? Gegen das WAN angefragt (google.com) funktioniert es ja:

PS C:\Users\Maier.SCM.000> tracert 142.251.36.142

Routenverfolgung zu prg03s12-in-f14.1e100.net [142.251.36.142]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  linksys [192.168.10.250]
  2     4 ms     4 ms     4 ms  194.127.196.161
  3     5 ms     5 ms     4 ms

An der Windows-Domäne:
Meiner Meinung sollte das kein Problem sein, da das Routing für Windows wie ein normales Routing einer unbekannten Adresse über das Gateway erfolgt.

Wer kann mir helfen, bzw. welche Informationen kann ich noch posten?

Danke.

Zitat von Elbee

Ich verstehe dein Netzwerk Aufbau noch nicht ganz. Hast du ein USG (oder UDM) und dann noch ein Linksys- Router in deinem Netzwerk, der quasi das Gateway in dein UniFi Netz ist, oder wie ist das zu verstehen? Kannst du das mal aufmalen?

Nein, ich habe keinen Linksys-Router mehr im System. Das ist nur der SCM-interne DNS-Name für 192.168.10.250, der im SCM-Netzwerk eingetragen ist, weil es früher ein Linksys-Router war, als es noch Standalone war. Aber am DNS-Namen kann es nicht liegen, es handelt sich ja um die IP-Adresse des Gateway

Zitat von Elbee

Wenn ich das richtig sehe, dann ist das einzige was verboten ist, der Traffic von den Nicht-SCM Netzen ins SCM-Netz. Alles andere ist erlaubt. Wenn ich das richtig verstanden habe, möchtest du jetzt vom SCM Netz in andere Netze - das sollte (eigentlich) gehen, zumindest erkenne ich von der Benennung keine Regel, die es verbietet.

Ja, des sehe ich auch so, darum glaube ich auch nicht, das es sich um ein Problem der Firewall-Regeln handelt, sondern das es was anderes ist.

Aber es geht nicht, ein Ping geht nur auf die jeweiligen Gateway-Adressen der anderen Netzwerke (192.168.1.1, 192.168.20.1 und 192.168.40.1), und damit komme ich auf die UDM.

Zitat von Elbee

Du kommst auf deinen SCM Netz (192.168.10.x) nicht auf das Gateway des Netzes? Das Gateway ist bei dir aber nicht die 192.168.10.1 sondern die 192.168.10.250? Aber der Zugang ins Internet funktioniert auf dem SCM Netz?

Doch, ich komme auf das Gateway des Netzes und ich komme in das Internet. Ich komme aber nicht in die anderen VLAN's. Und ja, die Adresse des Gateway ist 192.168.10.250. Die genaue Einstellung des Netzwerkes habe ich im Eingangspost als Screenshot gesendet. Vielleicht ist da was falsch eingestellt?

Zitat von Elbee

Ok, kannst du denn die anderen Gateways aus dem SCM Netz pingen?

Da die UDM kein DHCP macht, wie stellst du sicher, dass deine Geräte im SCM Netz das VLAN-tag 10 haben?

Ja, die Gateways aus den anderen VLAN's kann ich pingen.

OK, die zweite Frage ist neu. Die Geräte wissen nicht, das sie in einem VLAN sind. Das SCM-Netz geht von einem Port eines Flex-Mini-Switch aus, auf dem das SCM-Lan aufgeschaltet sind, der Rest ist durch normale(nicht Unifi-) Switches an Rechner, Drucker und NAS verteilt. Es gibt insgesamt nur 4 Hardware-Geräte im SCM-Lan, der Rest ist alles virtuell. Innerhalb des SCM-Lan sorgt der DHCP-Server und DNS-Server des (virtuellen) DC für Verteilung und Erkennen der Adressen. Da das von der Standalone-Konfiguration von früher übernommen worden ist, ist es zur Verwirrung gekommen, weil der DNS-Eintrag der Adresse 192.168.10.250 den Namen "linksys" behalten hat. Aber das ist nur Kosmetik.

Für die Geräte im SCM-Lan sollten alle Adressen ausserhalb ihres x.x.10.x-Bereiches wie eine externe Adresse wirken, die dann von der UDM geroutet werden sollte.