UDM-Pro SE mit HomeKit und IoT-VLAN

Hi, also ein paar Dinge sollte man sich im Aufsetzen von verschiedenen VLAN immer bewusst sein.

Man richtet zwar die Netzwerke ein um diese gegenseitig abzusichern, aber es wird immer ausnahmen geben. Sei es der Smarthome Lautsprecher oder das Gateway oder der Datenserver NAS.

Die Frage ist also nicht welches du wohin freigeben sollst, sondern erstmal, welches Gerät gehört theoretisch in welches VLAN.

Für mich ist das der AppleTV der mit in das IOT Netz gehört, genau wie ein Smart TV oder ähnliches, allein von seinen Aufgaben her Smarthome Geräte zu steuern.

Das NAS ist bei Dir auch besser im Main Netzwerk aufgestellt, oder evtl. sogar ein eigenes Server VLAN oder dem Management VLAN (da kann man drüber diskutieren und hängt von der Komplexität ab).

Nachdem du deine Geräte verteilt hast, schaust du wer wohin Zugriff haben muss, also z.b. der Apple TV darf aus 77 auf das 88 oder besser nur auf das NAS. Dann dürfen alle Geräte aus dem 88 auch auf das Smarthome Netzwerk, dem 77er. Aber nicht unbedingt umgekehrt. Vielleicht sind noch ein paar Lautsprecher oder Medienserver dabei, evtl auch Drucker, die mögen es nicht abgeschottet zu sein, also gibt man denen volle Rechte.

Das Untergräbt keinesfalls das Sicherheitskonzept getrennter Netzwerke, allerdings kann man einem AppleTV schon mehr vertrauen als der Billig Kamera aus dem fernen Land wo Firmware Updates nie geplant waren.

Wichtig beim Setup: Dem gewolltem Treu bleiben, Ausnahmen schaffen um keine Funktionalität einzubüßen.

Bei mir sind 70 IP Adressen im IOT Netzwerk, darunter AppleTV, Apple HomePod, ein paar Alexas und und und. Bestimmte Geräte benötigen den Broadcast, einige arbeiten auch besser mit IPv6, andere sollte einfach isoliert sein. Da muss man die Firewall entsprechend den Anforderungen einstellen. Bei vielen Geräten hilft hier ungemein die IP und Port Gruppen Bildung. Wichtig ist sich vorher einen Plan zu machen.

Ich hab meinen Apple TV (und die Homepod Minis) im IOT VLAN, und nur für die Geräte eigene Freigaben(Die Geräte hab ich noch mal gesondert zusammengefasst) ins Main Vlan gemacht. Klappt bei mir so einwandfrei.

Das IOT VLAN ist bei mir auch zb 2,4GHZ only, da es damit bei dem IOT Zeugs am wenigsten Probleme gibt. Apple TV hängt bei mir sowieso per Kabel dran

Zitat von suxus

Hallo

Ich habe nun mal meine Homepods ins 77er Netz (IOT) verschoben, die Homepods scheinen zu funktionieren ich kann aus dem 88er Netz die Homepods ansprechen und Musik abspielen. Wenn ich jedoch ins Log schaue, da habe ich solche Einträge drin.

Du hattest bisher doch nur vom „77er“ und „88er“-Netz geredet. Dort ist ein „99er“-Netz, welches geblockt wird. Wo kommt das her, was macht das?

Wäre das nicht die erste Frage?

Oder hab ich was nicht verstanden oder überlesen?

Zitat von suxus

Aktuell habe ich auf der UDM noch keine Stelle gefunden wo man sehen würde was genau geblockt wird, resp. für was müsste man eine Firewall Regel erstellen.

Wenn du keine Regel einstellst, ist erst einmal alles offen.

Wenn du dann eine Regel erstellst, solltest du auch wissen was diese macht, sonst bist du am Ende nur am Rätseln, das ist einmal sich damit beschäftigen, dann hat man das raus.

Eine Hilfe zu den Regeln zitiere ich mal hier, ansonsten ins Wiki schauen

Zitat

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

WAN LOCAL (WAN lokal)

Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

LAN OUT (LAN ausgehend)

Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

LAN IN (LAN eingehend)

Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

LAN LOCAL (LAN lokal)

Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.

Alles anzeigen

Inter VLAN Blockaden oder Freigaben gehören somit ins "LAN IN"

Starte erstmal damit, du willst ja denke ich keine Geräte für den Internetzugang sperren. Auch sind eingehende WAN Regeln vorhanden womit alles was rein kommt gesperrt ist.

P.S: Mit deiner Regel Block Inter VLAN Routing hast du somit mal allen Transfer zwischen den Netzen blockiert. Wenn du das willst ist das OK, dann musst du vor dieser Regel ein paar Regeln für die Geräte erstellen welche mit "allow" freigegeben werden