Firewall Freischaltung von VLAN in LAN SMB Share

Es gibt 31 Antworten in diesem Thema, welches 6.065 mal aufgerufen wurde. Der letzte Beitrag () ist von SaschaQ.

    Hallo zusammen,


    Ich habe ein VLan wo nur meine beiden Überwachungskameras drin sind. Nun habe ich die Firewall so konfiguriert, dass die Kommunikation vom LAN ins VLAN möglich ist aber vom VLAN In das LAN nicht.


    Nun möchte ich eine Regel anlegen, mit der ich die Kommunikation zwischen den Kameras ins VLAN per SMB möglich ist, damit meine Kameras auf meine Synology schreiben können.


    Ich habe gefühlt schon alle Varianten an Regeln probiert, die einzige die funktioniert hat war das VLan Netz direkt zur IP der Synology. Sobald ich aber die Ports mit hinzunehme geht es nicht mehr.


    Habt ihr eine Idee?


    Viele Grüße


    Sascha

    Welche Ports hast du denn genommen und mit LAN meinst du bestimmt ein anderes VLAN pder?

    Nein ich meine mein Haupt LAN.


    Es gibt auch in der Reihenfolge der Regeln überhaupt keine Regel die vorher kommt, die das blockieren könnte.


    Das hier funktioniert ohne Ports: XX habe ich extra eingefügt :smiling_face: Das ist die IP Adresse der Synology.



    Das hier funktioniert nicht: Port Group ist SMB 137 138 139 und 445/ Network Group sind die beiden IP Adresse der Synology.


    Verdammt: jetzt kann ich ja gar nicht auf Dein NAS zugreifen... :neutral_face:


    Da Du ja weitere Regeln erstellt hast, um den Zugriff zu unterbinden, kannst Du dort das Loggin aktivieren. Dann solltest Du sehen, warum der Zugriff scheitert.

    Hast Du Dich zu Deinem Problem schon durch diesen Artikel gelesen: UniFi Allgemein | Firewall-Regeln by EJ?

    Ich habe gerade mal in die Logs geschaut


    Ich sehe bzgl. der Verbindung folgendes:

    Code
    Feb 20 09:21:02 SecurityGateway-LAN kernel: [LAN_IN-2003-D]IN=eth1.2 OUT=eth1 MAC=XXXXXXX SRC=192.168.2.XX DST=192.168.178.XX LEN=84 TOS=0x00 PREC=0x00 TTL=254 ID=5741 DF PROTO=ICMP TYPE=8 CODE=0 ID=29773 SEQ=23232


    Die Rule 2003 blockiert scheinbar die Verbindung.


    Ich habe aber die Rule wie oben beschrieben vorgelagert.


    Die Rule 2003 blockiert alle internen VLAN Verbindungen:



    Wenn ich dann die Rule nur auf die IP setze und die Kommunikation funktioniert dann kommt folgendes:

    Code
    Feb 20 09:33:40 SecurityGateway-LAN kernel: [LAN_IN-2002-A]IN=eth1.2 OUT=eth1 MAC=XXXXX SRC=192.168.2.X DST=192.168.178.XX LEN=84 TOS=0x00 PREC=0x00 TTL=254 ID=18462 DF PROTO=ICMP TYPE=8 CODE=0 ID=44265 SEQ=4666
Feb 20 09:33:40 SecurityGateway-LAN kernel: [LAN_IN-2002-A]IN=eth1.2 OUT=eth1 MAC=XXXX SRC=192.168.2.X DST=192.168.178.XX LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=8633 DF PROTO=TCP SPT=57836 DPT=445 WINDOW=14600 RES=0x00 SYN URGP=0

    Einmal editiert, zuletzt von SaschaQ ()

    Ist die Firewall auf der Synology aktiv ?

    Hab eine ähnliche Konstellation am laufen, Raspberry PI in einem VLAN mit Datenbank bzw. Mediendateien auf der Syno


    Du schreibst von "beiden IP Adressen der Synology"


    Deine Kameras sprechen SMB1, SMB2 oder SMB3 ?

    Ist insofern wichtig, da Du dies auf der Synology einstellen musst/solltest

    Bei der LA solltest Du auf jeden Fall nur eine IP-Adresse haben ...


    Habe "einzelne" Regeln erstellt


    Allow Raspi1 to Syno IP + Port 445

    Allow Raspi2 to Syno IP + Port 445


    Die anderen SMB Ports stammen aus den Urzeiten des SMB Protokolls

    Auf der Syno LA (Bond) Balance-TCP

    Auf der Syno unter Netzwerkschnittstelle Link Aggregation (LA) -Modus auf Balance-TCP einstellen

    vorausgesetzt Dein Switch unterstützt LA nach IEEE 802.3ad LACP

    wenn nicht, dann hast Du zwei IPs auf der Syno

    mein den Modus, da Du ja anscheinend zwei IPs für die Synology hast

    Die Synology hat nur eine IP, da ich die Link Aggregation aktiv habe. Die habe ich auch oben in der FW Rule verwendet.

    Jede Schnittstelle hat ja theoretisch eine eigene, aber durch die Link Aggregation ist es nur eine.


    Ich habe die Link Aggregation auf 2 Ports am Switch auch aktiviert.


    Wieso sollte ich nun auf Balance XOR umstellen?


    Ich habe IEEE 802.3ad LACP bereits auf der Synology und Switch aktiv.

    Ok, lass es so, scheint in Ordnung zu sein


    und jetzt einmal für eine Kamera eine Regel erstellen:


    Allow TCP Kamera1 (VLAN IP) to Synology (LAN IP) + Port 445


    Wenn Du einen weiteren PC oder so hast, häng ihn auch ins VLAN der Kameras und probiere von diesen PC aus einen Ping auf die Synology