Isoliertes VLAN (VLAN "DMZ")

Es gibt 3 Antworten in diesem Thema, welches 2.242 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hallo


    Ich habe meine Fritzbox zur DECT-Basis degradiert und den Router mit der UDM ersetzt.

    Funktioniert soweit alles gut nach den Anfangsproblemen mit SONOS, Drucker in anderen VLAN, TV, usw


    Mein System:

    UDM mit folgender Netzkonfiguration:

    • LAN 192.168.2.0/24 - Corporate
    • Clientnetz 192.168.10.0/24 VLAN 10 Corporate
    • iOT 192.168.20.0/24 VLAN 20 Corporate
    • Gäste 192.168.30.0/24 VLAN 30 Guest
    • DMZ 192.168.90.0/24 VLAN 80 Guest

    Die VLANs dürfen untereinander kommunizieren (privater Einsatz), nur das Gäste- und DMZ- Netz sollen isoliert sein.


    Zum Problem: ich möchte in das DMZ Netz einen Web-Server (192.168.90.10) stellen, welcher komplett abgeschottet ist und nur folgendes möglich ist:

    • ssh Zugriff aus Clientnetz auf Web-Server zur Administration => Port 22 erlaubt aus VLAN 10 nach VLAN 90
    • Webzugriff aus Internet auf Webserver => Port 80 und 443 erlaubt aus Internet auf 192.168.90.10

    Die Gästenetze sind per default doch schon gut abgesichert. Was ist an zusätzlichen Firewall Regeln notwendig?

    Sollte ich eher Corporate anstelle Gäste für das DMZ VLAN verwenden?


    PS:

    eine Anleitung habe ich gefunden, verstehe aber nicht alles: https://gstephens.org/unifi/ne…09/29/unifi-vlan-dmz.html

    mir ist klar das DMZ nicht der korrekte Begriff ist...

    Moin und Glückwunsch zu Deinem ersten Beitrag.


    Zum Thema Firewalling haben wir im wiki einen sehr umfangreichen Beitrag: UniFi Allgemein | Firewall-Regeln by EJ .


    Hast Du den schon durchgearbeitet? Sind noch Fragen offen: dann gern her damit.


    Happy reading.

    Ja die habe ich schon gelesen.

    Ich verstehe aber nicht:

    - warum man Gast Zugriffe aus dem Gast-Subnetz mit einer Firewall Regel explizit verbieten muss. Dies sollte doch automatisch durch Auswahl des Types Gast anstelle Corporate bereits unterbunden sein, oder irre ich mich da?

    (in der guten Anleitung von EJ ist nicht erwähnt ob alle Netze als Corporate angelegt wurden oder nicht)


    Eine Frage zur Anleitung von EJ: sind alle Regeln auf LAN IN erstellt oder auch auf LAN LOKAL (z.B. die Gateway Block Regeln)

    Einmal editiert, zuletzt von Hornet ()

    Zitat von Hornet

    Ich verstehe aber nicht:

    - warum man Gast Zugriffe aus dem Gast-Subnetz mit einer Firewall Regel explizit verbieten muss. Dies sollte doch automatisch durch Auswahl des Types Gast anstelle Corporate bereits unterbunden sein, oder irre ich mich da?

    Meiner Erfahrung nach ist es so, dass bei Purpose: Guest nur noch Internet geht, aber kein Zugriff mehr auf andere VLANs. Damit kannst Du dann aber auch z.B. nicht dafür sogen, dass alle DNS-Anfragen von (meinetwegen) einem pi-hole oder adGuard oder ähnlichem beantwortet werden, denn ein Zugriff darauf ist bei Purpose: Guest standardmäßig erstmal nicht mehr möglich.

    Deswegen wahrscheinlich Corporate und nicht Guest, um das nicht umständlich nacharbeiten zu müssen.