Wenn ich mich über VPN in mein Heimnetzwerk (mit UXG, CKG2+ und UNVR 4) einlogge, ist nur das UNVR erreichbar, die anderen UniFi Geräte nicht. Alle sonstigen Geräte sind (NAS, Sat Receiver) ebenso problemlos erreichbar. Ich benutze interne feste IP Adressen für alle Geräte. Da der einzige Unterschied in der Konfiguration des UNVRdarin besteht, dasss ich dort Remote Access aktiviert habe (für schnellen iPhone App Zugriff wenn unterwegs), vermute ich dass es daran liegt. Ein VPN Nutzer gilt aber doch als lokaler Nutze, somit verstehe ich nicht warum dies nicht funktioniert. Ich habe diesbezüglich auch im UI Forum nachgefragt, aber vielleicht kennt hier jemand auch das Problem?
UniFi Geräte über VPN nicht erreichbar wenn Remote Access nicht aktiviert.
-
- Cloud Key
- UCK-G2-PLUS
- Problem
- UXG-Pro
- erledigt
- Carbonide
Es gibt 8 Antworten in diesem Thema, welches 2.581 mal aufgerufen wurde. Der letzte Beitrag () ist von Carbonide.
-
Ein VPN Nutzer gilt aber doch als lokaler Nutze,
Sicher, aber auf was dieser dann zugreifen kann, muss man schon beim Einrichten des VPN (welches eigentlich?), bzw. in den FW-Regeln festlegen, sonst wird das nix.
-
Ich höre zum ersten Mal dass man zusätzlich noch FW Regeln anlegen muss.
Jaja, es gibt immer ein erstes mal
An sonst - jede halbwegs anständige Firewall blockt per se erst einmal jeden am WAN-Port eingehenden Traffic, bis man dies ändert und bestimmten Datenverkehr expliziet erlaubt - das gilt auch für VPN.
Nun ist ea aber Gott sei Dank so, dass endanwenderfreundliche Firewalls beim Einrichten eines VPNs üblicherweise die erforderlichen Firewallregeln gleich mit setzten, so dass z.B. Du davon überhaupt nichts mitbekommst - vorhanden sind die Regeln dennoch. Bei "richtigen" Firewalls sind solche Automatismen erst gar nicht vorhanden. bzw. umgehbar, denn man könnte ja bzgl. der Firewallregeln ganz andere Intensionen haben, als die Firewall selbst - man ist da also flexibler.
Was ich nun alledings nicht verstehe - wenn Du schon per VPN auf Dein gesamtes Netzwerk -ausgenommen der Kisten, bei denen der Remote Access gesperrt ist- zugreifen kannst, warum gibst Du diesen da nicht einfach frei?
-
Einer der Gründe für den Umstieg auf UniFi vor Jahren war dass alles lokal ohne Cloud Dienst gemanaged werden kann. Der Datenleak bei UI vor einiger Zeit bezüglich der Kundenzugangsdaten hat mich darin bekräftigt. Allerdings ist es umständlich erst VPN zu aktivieren um unterwegs schnell mal die Kameras zu checken, deshalb hab ich dort den Remote Access trotzdem aktiviert. Inwieweit stellt dies eigentlich jetzt ein Eingangstor für den Rest dar? Ist es jetzt egal, und ich kann auch gleich bei allen Diensten Remote Access aktivieren?
Was ich aber überhaupt nicht verstehe: warum werden nur gezielt die UniFi Dienste blockiert die keinen Remote Access haben? Hier sind meine Firewallregeln, da kann ich in dieser Hinsicht nichts erkennen:
-
Hier sind meine Firewallregeln, da kann ich in dieser Hinsicht nichts erkennen:
Ich auch nicht, das ist Unifi in einfacher Sprache, die verstehe ich nicht - was bitte ist "Internet Local"?
deshalb hab ich dort den Remote Access trotzdem aktiviert. Inwieweit stellt dies eigentlich jetzt ein Eingangstor für den Rest dar?
Überhaupt keines. Stell es Dir mal so vor - durch den VPN-Tunnel hast Du Dein (entferntes) locales Netzwerk bis zum VPN-Clienten (worauf auch immer der läuft) quasi "verlängert". Einziger Angriffspunkt und mögliches Einfallstor ist daher dieser Tunnel. Allerdings ist der derart abgesichert, dass vielleicht die NSA ihn erfolgreich mit großerm Aufwand angreifen könnte, aber sonst niemand und die NSA wird kaum an Dir Interesse haben
Mach doch mal den Heise Netzwerkcheck, dann siehst Du ja, wie es um Dein Netzwerk steht.
-
Remote Access
Ist natürlich ein weitreichender Begriff und bezeichnet alle mögliche Arten von Fernzugriff. Aber davon unabhängig, insoweit Deine Kisten beim Aktivieren von Remote Access kein Loch in die Firewall Richtung Internet reißen, ist es völlig ungefährlich. Das die allerdings so etwas machen, kann ich mir kaum vorstellen.
