UniFi Geräte über VPN nicht erreichbar wenn Remote Access nicht aktiviert.

Es gibt 7 Antworten in diesem Thema, welches 244 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

  • Wenn ich mich über VPN in mein Heimnetzwerk (mit UXG, CKG2+ und UNVR 4) einlogge, ist nur das UNVR erreichbar, die anderen UniFi Geräte nicht. Alle sonstigen Geräte sind (NAS, Sat Receiver) ebenso problemlos erreichbar. Ich benutze interne feste IP Adressen für alle Geräte. Da der einzige Unterschied in der Konfiguration des UNVRdarin besteht, dasss ich dort Remote Access aktiviert habe (für schnellen iPhone App Zugriff wenn unterwegs), vermute ich dass es daran liegt. Ein VPN Nutzer gilt aber doch als lokaler Nutze, somit verstehe ich nicht warum dies nicht funktioniert. Ich habe diesbezüglich auch im UI Forum nachgefragt, aber vielleicht kennt hier jemand auch das Problem?

    ...Netzwerk 1.|....Netzwerk 2.....

    --------------+-------------------

    .Fritzbox DSL.|.Fritzbox Glasfaser

    .......v......|.........v.........

    ......UXG.....|......UDM SE.......

    ..CK2G+..UNVR.|...................

  • Ich benutze den L2TP VPN Server des UXG. Ich höre zum ersten Mal dass man zusätzlich noch FW Regeln anlegen muss. Es funktioniert ja mit einer Vielzahl an unterschiedlichen Geräten in diesem Netz, nur nicht mit UniFi Geräten, bei denen der Remote Access gesperrt ist.

    Bei meinem 2ten Netzwerk benutze ich eine UDM SE wo ich den Remote Access eigentlich nur für Protect aktiviert habe, dieser dann aber für alle installierten Applikationen aktiv ist, die auf der UDM SE laufen. Deshalb funktioniert hier der Zugriff über VPN (wiederum mit dem eingebauten) problemlos.

    ...Netzwerk 1.|....Netzwerk 2.....

    --------------+-------------------

    .Fritzbox DSL.|.Fritzbox Glasfaser

    .......v......|.........v.........

    ......UXG.....|......UDM SE.......

    ..CK2G+..UNVR.|...................

  • Ich höre zum ersten Mal dass man zusätzlich noch FW Regeln anlegen muss.

    Jaja, es gibt immer ein erstes mal :grinning_squinting_face:


    An sonst - jede halbwegs anständige Firewall blockt per se erst einmal jeden am WAN-Port eingehenden Traffic, bis man dies ändert und bestimmten Datenverkehr expliziet erlaubt - das gilt auch für VPN.


    Nun ist ea aber Gott sei Dank so, dass endanwenderfreundliche Firewalls beim Einrichten eines VPNs üblicherweise die erforderlichen Firewallregeln gleich mit setzten, so dass z.B. Du davon überhaupt nichts mitbekommst - vorhanden sind die Regeln dennoch. Bei "richtigen" Firewalls sind solche Automatismen erst gar nicht vorhanden. bzw. umgehbar, denn man könnte ja bzgl. der Firewallregeln ganz andere Intensionen haben, als die Firewall selbst - man ist da also flexibler.


    Was ich nun alledings nicht verstehe - wenn Du schon per VPN auf Dein gesamtes Netzwerk -ausgenommen der Kisten, bei denen der Remote Access gesperrt ist- zugreifen kannst, warum gibst Du diesen da nicht einfach frei?

  • Einer der Gründe für den Umstieg auf UniFi vor Jahren war dass alles lokal ohne Cloud Dienst gemanaged werden kann. Der Datenleak bei UI vor einiger Zeit bezüglich der Kundenzugangsdaten hat mich darin bekräftigt. Allerdings ist es umständlich erst VPN zu aktivieren um unterwegs schnell mal die Kameras zu checken, deshalb hab ich dort den Remote Access trotzdem aktiviert. Inwieweit stellt dies eigentlich jetzt ein Eingangstor für den Rest dar? Ist es jetzt egal, und ich kann auch gleich bei allen Diensten Remote Access aktivieren?


    Was ich aber überhaupt nicht verstehe: warum werden nur gezielt die UniFi Dienste blockiert die keinen Remote Access haben? Hier sind meine Firewallregeln, da kann ich in dieser Hinsicht nichts erkennen:


    ...Netzwerk 1.|....Netzwerk 2.....

    --------------+-------------------

    .Fritzbox DSL.|.Fritzbox Glasfaser

    .......v......|.........v.........

    ......UXG.....|......UDM SE.......

    ..CK2G+..UNVR.|...................

  • Hier sind meine Firewallregeln, da kann ich in dieser Hinsicht nichts erkennen:

    Ich auch nicht, das ist Unifi in einfacher Sprache, die verstehe ich nicht - was bitte ist "Internet Local"?

    deshalb hab ich dort den Remote Access trotzdem aktiviert. Inwieweit stellt dies eigentlich jetzt ein Eingangstor für den Rest dar?

    Überhaupt keines. Stell es Dir mal so vor - durch den VPN-Tunnel hast Du Dein (entferntes) locales Netzwerk bis zum VPN-Clienten (worauf auch immer der läuft) quasi "verlängert". Einziger Angriffspunkt und mögliches Einfallstor ist daher dieser Tunnel. Allerdings ist der derart abgesichert, dass vielleicht die NSA ihn erfolgreich mit großerm Aufwand angreifen könnte, aber sonst niemand und die NSA wird kaum an Dir Interesse haben :smiling_face:


    Mach doch mal den Heise Netzwerkcheck, dann siehst Du ja, wie es um Dein Netzwerk steht.

  • Entschuldige, ich habe mich missverständlich ausgedrückt: ich weiss dass VPN sicher ist, aber bei Remote Access bin ich mir nicht sicher. Deshalb die Frage: wenn ich schon für Protect Remote Access aktiviert habe, bringt es irgendwelche Sicherheitsvorteile es nicht auch noch woanders zu aktivieren, da es ja verschiedene Geräte sind im Fall wo man eine Kombo aus UXG, CK und UNVR benutzt?


    Bei UDM/Pro/SE stellt die Frage sich nicht, weil man dort Remote Access nur global aktivieren kann, da alles in einem Gerät integriert ist.


    Wie betrachtet ihr Remote Access, besonders in Anbetracht des Insider Hacks vor anderthalb Jahren (wenn ich mich recht erinnere)?

    ...Netzwerk 1.|....Netzwerk 2.....

    --------------+-------------------

    .Fritzbox DSL.|.Fritzbox Glasfaser

    .......v......|.........v.........

    ......UXG.....|......UDM SE.......

    ..CK2G+..UNVR.|...................

  • Remote Access

    Ist natürlich ein weitreichender Begriff und bezeichnet alle mögliche Arten von Fernzugriff. Aber davon unabhängig, insoweit Deine Kisten beim Aktivieren von Remote Access kein Loch in die Firewall Richtung Internet reißen, ist es völlig ungefährlich. Das die allerdings so etwas machen, kann ich mir kaum vorstellen.