Hallo Zusammen,
ich habe mir gestern mal die Tapete "Firewall-Regeln 2.0 by Defcon" angesehen und dies versucht auf mein Netzwerk zu adaptieren.
Einerseits möchte ich dieses Regelwerk nicht betreiben, ohne grob zu verstehen, was welche Regel macht, andererseits gibt es mit dem Regelwerk bei mir Probleme, bei denen ich hoffe, von euch Hilfe zu erhalten.
1. Verständnisfrage
Bsp: block all communication between VLANs: Hier werden die IP-Ranges als Ziel verwendet.
Um zu verstehen, warum es hier richtig ist, die IP-Ranges zu nehmen wüsste ich gerne, was machen die IP-Ranges hier anders als die VLAN Gateway IP's?
2. Verständnisfrage
Was machen die "LAN local" Regeln anders als die "LAN in" Regeln?
Welcher Sichheitsvorteil geht dabei z.B.hervor?
Bevor ich nun zu den Problemen komme, vielleicht ein paar Fakten zu meinem Netzwerk:
192.168.0.1 # mein MGMT LAN
192.168.10.1 # mein DNS VLAN mit piHole
192.168.20.1 # mein Home VLAN
192.168.30.1 # (Kids Vorhalt)
192.168.40.1 # mein IoT VLAN
192.168.50.1 # (Kamera Vorhalt)
192.168.60.1 # mein Gast VLAN
1. Problem: admin device will nicht mit MGMT-LAN kommunizieren
Mein admin Rechner ist im Home Vlan beheimatet.
Dieser Rechner und noch ein weiterer sind im (admin devices)-Profil hinterlegt.
Beide haben eine fixed IP.
Will ich nun mit einem der beiden Rechner auf z.B. das MGMT LAN zugreifen (Bsp: 192.168.0.14) geht das nicht. Der Client aus dem MGMT LAN ist dann auch nicht anpingbar.
Pausiere ich die Regel 2013: "block communication between VLANs"
mit den lokalen IP-Ranges:
192.168.0.0/24
192.168.10.0/24
192.168.20.0/24
192.168.30.0/24
192.168.40.0/24
192.168.50.0/24
192.168.60.0/24
dann klappt auch der Zugriff auf das MGMT LAN problemlos. #Gottseidank gibt es die Pause-Funktion#
Hat jemand ne Idee, wie ich der Ursache auf den Grund gehen kann?
2. Problem: Mein Sorgenkind piHole
Dieser steckt im DNS VLAN.
Bei den Ports habe ich nur Port 53 eingetragen!
Trage ich die piHole-IP in ein VLAN ein, hat mein Rechner schlagartig keine Lust mehr, eine funktionierende Internetverbindung aufzubauen. Trage ich die PiHole IP aber NUR als WAN DNS Server ein, so klappt die Internetverbindung mit meinem Rechner. Doch genau das möchte ich ja nicht.
Woran kann es liegen, dass die piHole IP im VLAN überhaupt nicht funktionieren will?
Fehlen aus eurer Sicht noch andere wichtige Ports außer Port 53?
Wie könnte ich dem Problem auf die Schliche kommen?
Schonmal vorab vielen Dank für die Hilfestellung
Grüße Mosconi