Meine Firewall Regeln

Es gibt 13 Antworten in diesem Thema, welches 4.186 mal aufgerufen wurde. Der letzte Beitrag () ist von hoppel118.

    Ich habe spezifische Netzwerke für jeden Raum (Arbeitsgemeinschaft aufgeteilt in Räumen)

    Für jeden Raum habe ich ein eigenes VLAN erstellt.


    Meine Netzwerke

    • Raum 01 – 192.168.101.0/24 – VLAN 101
    • Raum 02 – 192.168.102.0/24 – VLAN 102
    • Raum 03 – 192.168.103.0/24 – VLAN 103
    • Raum 04 – 192.168.104.0/24 – VLAN 104
    • Raum 05 – 192.168.105.0/24 – VLAN 105
    • Raum 06 – 192.168.106.0/24 – VLAN 106 (Admin LAN)
    • Raum 07 – 192.168.107.0/24 – VLAN 107
    • Raum 08 – 192.168.107.0/24 – VLAN 108
    • Raum 09 – 192.168.109.0/24 – VLAN 109
    • Raum 10 – 192.168.110.0/24 – VLAN 110
    • Raum 11 – 192.168.111.0/24 – VLAN 111
    • Raum 12 – 192.168.112.0/24 – VLAN 112
    • Drucker Allgemein: 192.168.150.0/24 – VLAN 20


    Nun würde ich folgende Regeln erstellen. Inspiriert von Firewall Thread: UniFi Allgemein | Firewall-Regeln by EJ


    Gruppen

    1. gesamtes Netz (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8
    2. Gateways (IP alles GW)
    3. Drucker und iOT


    Lan IN

    • Erlaube alle Verbindungen, die Related und Established sind – auf Gruppe A auf Gruppe A
    • Erlaube alle Verbindungen zu Drucker/IOT – Gruppe A auf C
    • Erlaube Admin-LAN auf Gesamtnetzwerk – VLAN 06 auf A
    • Blocke alle Verbindungen unter VLAN – Gruppe A auf Gruppe A


    Lan Local

    • Block GW, alle Verbindungen, Gruppe A auf Gruppe B


    ____________________________

    Habe ich was vergessen?

    Wie macht ihr das mit VPN Pro Raum? wie kann man diese trennen? – Oder gibts einfach einen Radius Server und VPN VLAN. Oder kann man die VPN user auf ein VLAN Mappen?

    Wie isoliere ich die VPNs untereinander. Sprich wie gebe ich einem VPN user spezifischen Zugriff auf ein VLAN?

    4 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von jensche mit diesem Beitrag zusammengefügt.

    Mit VPN ins richtige VLAN wird schwierig... da bin ich auch dran.

    Du kannst zwar Radius machen, landest aber über VPN nicht im richtigen VLAN.

    Wenn du ein USG hättest ginge da vermutlich was über die config.gateway.json, bei der UDM/P/SE sehe ich da schwarz.


    Bei UI ist es wohl nicht empfohlen, die VLANs von 1-10 zu verwenden, habe ich schon mehrfach gelesen, nicht nur hier im Forum!

    Fang bitte mit VLAN 11 an um die Fehlerquelle schonmal auszuschließen.


    Ist das Admin LAN das VLAN wo die ganzen UI Devices drin laufen sollen?

    Gruß

    defcon

    Wenn man die Firewall rules mal etwas versteht ist das ganz cool.


    Also ich habe nun die folgenden Rules Siehe Screenshot.


    Die Frage stellt sich nun noch wie kann ich VPN User absichern. super wäre wenn ich spezifische User einem VLan zuteilen könnte.

    Zitat von jensche

    super wäre wenn ich spezifische User einem VLan zuteilen könnte.

    Wie gesagt, das klappt leider nicht...

    Du kannst aber für deinen IP Pool vom VPN eine Gruppe anlegen und diese dann in die anderen VLANs blocken.

    Gruß

    defcon

    Zitat von jensche

    Oder man könnte spezifische Mac Adressen mit einer Firewall rule den Zugriff geben...

    Das könnte klappen, weiß nicht ob die "echten" MACs übers VPN rein kommen.

    Gruß

    defcon

    Wenn eine Firewall den Zugriff auf Netzwerke beschränken soll - wie üblich, z.B. IPtables, dann passiert das auf Layer 3. Mit MAC-Adressen kannst Du aber nur auf Layer 2 arbeiten. Damit wirst Du das so nicht lösen können. IMHO

    Das wirst Du also "tiefer" lösen müssen, z.B. mit RADIUS. Dazu gab es hier im Forum auch schon den einen oder anderen Beitrag, z.B. folgende im wiki:

    Happy reading.

    Via VPN könnte das Thema MAC-Adresse vielleicht wieder interessant werden, da sie möglicherweise am VPN-Gateway zu erkennen ist. Da bin ich mir aber nicht sicher, zumal es ja dieses Thema "private MAC-Adresse" gibt. Keine Ahnung, wie das zusammen passt.

    Du könntest uns da gern an Deinem Wissen teilhaben lassen jensche .

    Zitat von jensche

    Gibts eigentlich irgendwelche Regeln die ihr im Wan macht? Sprich nach aussen zusätzlich zum Ganzen Threat-Management?

    Ich nicht. Max. Port-Forwardings nach intern: 80/443.

    Auch wenn es offtopic ist, frage ich mich gerade folgendes:


    Sollen alle VLANs auch eine eigene SSID bekommen? Geht das überhaupt?


    Da gibts meines Wissens nach Beschränkungen. Sobald ein Meshnetzwerk involviert ist, sind es definitiv max. 4 SSIDs. Ohne Mesh waren es wohl mal 8. Ich weiß nicht wie das mit aktuellen U6 Access Points aussieht. Umso mehr SSIDs umso mehr lastet sich dein Wifi selbständig aus, ohne dass irgendeine Kommunikation stattfindet. Bei mir ging die Funkzellenauslastung schon ordentlich runter, als ich meine 4 SSIDs (4x mit 2.4 GHz und 3x mit 5GHz) auf 3 SSIDs (1x mit 2.4GHz und 3x mit 5GHz) reduziert habe.


    Mit WPA-Enterprise bzw. WPA3-Enterprise kämst du mit einer SSID und einem User pro Raum aus. Das wird aber leider nicht von allen Endgeräten unterstützt. Du bräuchtest dann noch eine weitere SSID mit aktiviertem RADIUS MAC auth für die Clients die WPA(3)-Enterprise nicht unterstützen und eine weitere SSID für Gäste (Device Isolation auf Netzwerk Ebene - Network Type = Guest).


    Das Problem an Radius MAC auth ist, dass du dann als Admin für jedes Endgerät einen RADIUS MAC Adressen Account einrichten musst. Das ist wohl auch nicht wirklich praktikabel bei der Menge an verschiedenen Nutzern.


    Wie stellst du dir das vor? :grinning_squinting_face:


    Gruß Hoppel

    Zitat von hoppel118

    Sollen alle VLANs auch eine eigene SSID bekommen? Geht das überhaupt?


    Da gibts meines Wissens nach Beschränkungen. Sobald ein Meshnetzwerk involviert ist, sind es definitiv max. 4 SSIDs. Ohne Mesh waren es wohl mal 8. Ich weiß nicht wie das mit aktuellen U6 Access Points aussieht. Umso mehr SSIDs umso mehr lastet sich dein Wifi selbständig aus, ohne dass irgendeine Kommunikation stattfindet. Bei mir ging die Funkzellenauslastung schon ordentlich runter, als ich meine 4 SSIDs (4x mit 2.4 GHz und 3x mit 5GHz) auf 3 SSIDs (1x mit 2.4GHz und 3x mit 5GHz) reduziert habe.

    Ich beschränke mich hier nur auch die VLANs, für welche ich auch wirklich einen WLAN-Zugang brauche. Außerdem kannst Du pro AP max. 8 SSIDs ausstrahlen lassen, wenn die für die beiden Bänder (2,4 und 5 GHz) unterschiedliche SSIDs verwendest. Zum Mesh-Thema bin ich überfragt.

    Zitat von hoppel118

    Mit WPA-Enterprise bzw. WPA3-Enterprise kämst du mit einer SSID und einem User pro Raum aus. Das wird aber leider nicht von allen Endgeräten unterstützt. Du bräuchtest dann noch eine weitere SSID mit aktiviertem RADIUS MAC auth für die Clients die WPA(3)-Enterprise nicht unterstützen und eine weitere SSID für Gäste (Device Isolation auf Netzwerk Ebene - Network Type = Guest).

    Ich meine, dass das Endgerät hier nichts unterstützen muss, das Netzwek muss das liefern. Kann mich aber auch täuschen.

    Zitat von hoppel118

    Das Problem an Radius MAC auth ist, dass du dann als Admin für jedes Endgerät einen RADIUS MAC Adressen Account einrichten musst. Das ist wohl auch nicht wirklich praktikabel bei der Menge an verschiedenen Nutzern.


    Wie stellst du dir das vor? :grinning_squinting_face:

    Viel Spaß bei den sogenannten privaten MACs. :grinning_squinting_face:

    Zitat von hoppel118

    Sollen alle VLANs auch eine eigene SSID bekommen? Geht das überhaupt?


    Da gibts meines Wissens nach Beschränkungen. Sobald ein Meshnetzwerk involviert ist, sind es definitiv max. 4 SSIDs. Ohne Mesh waren es wohl mal 8. Ich weiß nicht wie das mit aktuellen U6 Access Points aussieht. Umso mehr SSIDs umso mehr lastet sich dein Wifi selbständig aus, ohne dass irgendeine Kommunikation stattfindet. Bei mir ging die Funkzellenauslastung schon ordentlich runter, als ich meine 4 SSIDs (4x mit 2.4 GHz und 3x mit 5GHz) auf 3 SSIDs (1x mit 2.4GHz und 3x mit 5GHz) reduziert habe.

    Erstellen kann man auch mehr als 8 SSIDs, nur kann ein AP max. 8 ausstrahlen.


    Man könnte aber über die "AP Groups" unterschiedliche Gruppen erstellen und jedem AP nur die passende SSID zuweisen.


    Normalerweise sollte man aber auch nicht mehr als 4 SSIDs pro AP betreiben, da sonst die Performance extrem in den Keller geht.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    Gefällt mir 1
    Zitat von razor

    Zum Mesh-Thema bin ich überfragt.

    Dass da nur 4 SSIDs gehen ist Fakt…

    Zitat von razor

    Ich meine, dass das Endgerät hier nichts unterstützen muss, das Netzwek muss das liefern. Kann mich aber auch täuschen.

    WPA(3)-Enterprise muss das Gerät unterstützen. RADIUS MAC auth. wird vom Netzwerk gemacht.

    Zitat von razor

    Viel Spaß bei den sogenannten privaten MACs. :grinning_squinting_face:

    Ja, das könnte tatsächlich eine Herausforderung werden.

    Zitat von usr-adm

    Man könnte aber über die "AP Groups" unterschiedliche Gruppen erstellen und jedem AP nur die passende SSID zuweisen.

    Ja, stimmt natürlich. Ist nur irgendwie blöd, wenn du in einen anderen Raum der Arbeitsgemeinschaft gehst und dann kein WLAN mehr hast.


    Aber evtl. ist ein Mix aus beidem eine gute Lösung.

    1. Man erstellt pro Raum eine AP Group und strahlt darüber die eine SSID für den Raum (pro VLAN) aus.
    2. Über die AP Group in der alle APs enthalten sind, strahlt man eine Gäste SSID aus.
    3. Über die AP Group in der alle APs enthalten sind, strahlt man zusätzlich eine WPA(3)-Enterprise SSID aus. So könnte man bspw. für jeden Raum einen User im spezifischen VLAN anlegen und man hätte im gesamten Gebäude Zugriff auf das eigene VLAN. Handys, Tablets und Laptops sollten das heutzutage unterstützen.

    Naja, mal sehen, wie jensche das geplant hat.


    Gruß Hoppel