Schau mal hier Bassfly , hier hat einer ne Lösung für das Thema:
Danke
Wie gesagt, damals hatte ich nichts dazu gefunden.
Und aktuell läuft es Problemlos.
Extra Vlan für Fritzbox
-
- Frage
- UDM-Pro
- erledigt
- thor
Es gibt 23 Antworten in diesem Thema, welches 4.667 mal aufgerufen wurde. Der letzte Beitrag () ist von defcon.
-
-
Ich muss auf deine Ausführungen nochmals zurückkommen und haben nachfolgende Fragen.
zu der FW Gruppe
Was muss bei "DNS LAN to all Gateways" eingetragen werden? Die GWs also 192.168.1.1 usw. oder das Subnetz 192.168.1.0/24?
Bei der "allow FW Regel DNS from VLANs" ist New, Established und Related eingetragen. Warum ist das so? Das habe ich noch nicht verstanden. Muss das immer in einer neuer allow Regel stehen?
In der Gruppe "all local IP-ranges" sind vermutlich alle Subnetze ausser dem DNS Subnetz gemeint? Warum hast du dort nicht die Gruppe "DNS LAN to all Gateways" genutzt und eine weitere Gruppe genommen?
In der FW Regel "block DNS LAN to local Gateways" hast du wieder einen weitere Gruppe "all local Gateways". Also eine weitere Gruppe ,wo nur die GWs oder das ganze Subnetz eingetragen ist?
Warum sind die LAN LOCAL Regeln notwendig?
-
Moin thghh
also wenn du willst können wir das gerne im Discord bechatten oder bequatschen, das ist dann auch einfacher mit Screenshots etc.
Das würde hier den Rahmen sprengen und den Thread quasi vom TO enteignen
Wie gesagt, ich habe mir vorgenommen in naher Zukunft nochmal ein Firewall Thema im Wiki zu basteln, dafür muss ich aber ausreichend Zeit haben.
-
Was muss bei "DNS LAN to all Gateways" eingetragen werden? Die GWs also 192.168.1.1 usw. oder das Subnetz 192.168.1.0/24?
ob Gateway oder Subnetz ist Brause, da wenn die Kommunikation zum Gateway geblockt ist, auch die Kommunikation ins Subnetz unterbunden wird ... ich habe das Subnetz genommen
Bei der "allow FW Regel DNS from VLANs" ist New, Established und Related eingetragen. Warum ist das so? Das habe ich noch nicht verstanden. Muss das immer in einer neuer allow Regel stehen?
Nein, musst du nicht zwangsläufig anwählen (wenn du nix anwählst, gelten alle zur Auswahl stehenden, quasi eine Art Filter)
In der Gruppe "all local IP-ranges" sind vermutlich alle Subnetze ausser dem DNS Subnetz gemeint? Warum hast du dort nicht die Gruppe "DNS LAN to all Gateways" genutzt und eine weitere Gruppe genommen?
Nein, da sind alle Subnetze drin
In der FW Regel "block DNS LAN to local Gateways" hast du wieder einen weitere Gruppe "all local Gateways". Also eine weitere Gruppe ,wo nur die GWs oder das ganze Subnetz eingetragen ist?
Siehe Punkt 1
Warum sind die LAN LOCAL Regeln notwendig?
Dadurch unterbindest du die Inter-VLAN Kommunikation.
Du wirst jetzt sagen, hey, das ist aber an einer Stelle doppelt gemoppelt, ja, da hast du recht, aber das Kind hat halt "nur" einen Namen...
Hinterher muss man das große ganze sehen - für einen besseren Durchblick, können auch mal 2 unterschiedliche Namen mit der gleichen Funktion helfen.
Das klingt vielleicht alles erstmal verwirrend, aber eine Firewall muss immer nach den Ansprüchen und vor allem wartungsarm aufgebaut werden.
Welche Gruppen (15) und welche Regeln (32) ich aus welchem Grund angelegt habe werde ich hier nicht im Detail runterbrechen. Da bin ich Stunden zu Gange.
