Probleme bei Firewall-Regeln

Hallo!

Mir ist beim Erstellen der Regel "allow local DNS" aufgefallen, dass unter Destination nicht nur eine IPv4 Adress Group "09 | DNS Server" angegeben wird, sondern auch die Port Group "09 |DNS Ports", was ja auch Sinn macht. Nur gibt mir der Network Controller 7.4.145 keine Möglichkeit diese zu hinterlegen... handelt es sich hierbei evtl. um einen Bug, oder ist jemandem bekannt, wie ich die Port Group einblenden kann? Ein Screenshot findet sich anbei. Vielen Dank schon mal!

Ich schiebe mal gleich noch eine Frage hinterher, davon ausgehend, dass hier kein unmittelbarer Zusammenhang mit dem obigen Problem besteht:

Sobald ich die Regel "block all communication between all VLANs" aktiviere, hat mein "Management-PC" (befindet sich im Home-LAN, ist aber in der Regel "allow admin devices to MGMT LAN" bzw. der Gruppe Admin Devices enthalten) keinen Zugriff mehr auf das DNS VLAN - sehr wohl aber auf das MGMT LAN (kein VLAN). Ich finde keinen Denkfehler in der Abfolge der Regeln, von daher stelle ich mir die Frage, ob dieses Verhalten so gewollt ist, oder wo genau sich mein Problem befindet...

Auch hier schon mal vielen Dank für eure Unterstützung. Sollten Informationen fehlen, so liefere ich diese natürlich sehr gerne nach.

Kleine Korrektur: ich bekomme bei aktivierter Regel sehr wohl Zugriff auf den DNS 192.168.100.23 (Pi-Hole), nicht aber auf die 192.168.100.20 (Raspberry). Daher vermute ich es hängt daran, dass der Raspberry nicht in der Gruppe DNS Server enthalten ist und ich mir die Frage gerade selbst beantwortet habe. Man lernt dazu.

Zitat von DoPe

Also auf Deinem Screenshot siehts nach bug aus. Du hast bei Source und Destination die gleiche Einstellung aber bei Destination fehlt das Feld für den Port. Sollte ja genauso ein Feld für IP- und ein Feld für Portgruppe da sein wie eben bei Source.

Dann schiebe ich es mal auf die Controller Beta (7.4.145). Ein Downgrade des Controllers ist aber wahrscheinlich nicht ohne Restore möglich, nehme ich an. Dann heißt es warten auf eine neue Version. Danke!

Macht es denn Sinn diese Ports stattdessen unter Source anzugeben? Oder braucht es dann eine weitere Regel, um alle anderen Ports zu verwerfen?

Ok jetzt war ich fast durch und... bin mit meinem Latein am Ende, denn nichts geht mehr.

Geplant war die Einführung eines MGMT LAN bzw die Überführung aller Geräte, die sich bisher dort getummelt haben in ein Home LAN. Die Architektur sah folgendermaßen aus:

192.168.1.0/24 MGMT LAN (UDM SE, USW-Pro-48-PoE, USW-Flex-Mini und einige U6-Lite APs)

192.168.10.0/24 Home (VLAN10)

192.168.20.0/24 IoT (VLAN20)

192.168.30.0/24 Guest (VLAN30)

192.168.40.0/24 E3DC (VLAN40), spezielles VLAN für den Wechselrichter meiner PV-Anlage

192.168.1.50/24 reserviert, derzeit ungenutzt

192.168.100.0/24 DNS (VLAN100)

DNS wird dabei von einem Raspberry Pi (192.168.1.20) bzw. einem darauf laufenden Docker Container mit Pihole (192.168.100.23) zur Verfügung gestellt. Ich nutze zusätzlich noch Unbound (192.168.100.22) in einem MacVLAN (192.168.100.21/29)

Ein identisches Kontrukt läuft auf meiner Synology unter Docker, hierfür habe ich einen neuen LAN-Port (ovs_eth0) manuell auf die 192.168.100.10 eingestellt, darüber wird ein MacVLAN (192.168.100.11/29) betrieben, über das dann Pihole (192.168.100.13) bzw Unbound (192.168.100.12) laufen.

Nachdem ich mit so gut wie allem durch war wollte ich nur noch den "eigentlichen" LAN-Port (ovs_eth5) der Synology vom MGMT-LAN ins Home VLAN umbiegen. Gesagt, getan und... nichts geht mehr. Keines der VLANs hat noch Zugriff zum Internet, selbst mein in der MGMT-Gruppe befindlicher PC scheint nicht einmal eine IP zu erhalten. Lediglich ein manuelles Umstöpseln ins reine (MGMT) LAN 192.168.1.x brachte wieder Zugriff auf Internet und Unifi-Geräte.

Jetzt habe ich angefangen indem ich die Synology wieder auf die ursprünglichen Einstellungen zurückgesetzt habe - kein Erfolg.

Dann angefangen nacheinder alle Firewall-Regeln in der UDM SE zu deaktivieren - ohne Erfolg. Übrig sind nur noch die Regeln mit einer Accept Action, also solche, die eigentlich keine Einschränkungen verursachen können.

DNS Server in den VLANS von den beiden Pihole auf Auto umgestellt - auch keine Verbesserung.

Was kann ich noch machen? Der Kopf macht gerade dicht und die Familie brüllt nach Internet, der Tag ist gerettet.

Jegliche Ideen werden dankend angenommen!

Ergänzung: ich habe festgestellt, dass teilweise trotz gefixter IP z.B. mein iPhone in einem Netz 169.254.XXX.XXX landet - je nach Einloggen mal in der .90.12, .108.246., 242.85 - das sind keine von mir verteilten Netze.

Du meinst kompletten Reset? Neustarts habe ich schon etliche hinter mir...

Du meinst das hier?

Edit: Sieht allerdings so aus, als würden die Clients keinerlei IP mehr vom DHCP bekommen. In allen Netzen außer dem MGMT LAN.

Zitat von defcon

169.2564.x.x spricht eigentlich fast immer für ein problem mit dem DHCP Server

Du hast auf den Piholes aber die DHCP funktion deaktiviert ?!

Ja, die ist deaktiviert. Die Piholes sind mittlerweile ausgeschaltet - ändert auch nix.

Ja, sah dann so aus. Habe ich aber auch auf "Auto" zurückgestellt mittlerweile.

Am Switch habe ich manche (glücklicherweise nicht alle) Ports auf die jeweiligen VLAN Profile gesetzt, ja. Ändere ich das Profil weg in LAN... gehts wieder.

Schaut dann zum Beispiel so aus. Lief auch in diesem speziellen Fall seit Monaten problemlos.

Schlechtes Beispiel, da ich das VLAN40 komplett vom Rest abschotten wollte. Hier ein anderer Port: