Als zuletzt alles lief waren auf der Syno zwei LAN Ports aktiv. Der ins DNS VLAN (ovp_eth0, 192.168.100.10) und der ins "alte" MGMT LAN (ovp_eth5, 192.168.1.30), den ich ins neue Home LAN umbiegen wollte. Also habe ich die manuell vergebene IP geändert, vorher natürlich den Port in der UDM dem VLAN10 zugewiesen und dann ging nichts mehr.
Probleme bei Firewall-Regeln
-
- Privat
- DreamMachine
- UDM
- Problem
- UDM-SE
- offen
- TWIN013
Es gibt 58 Antworten in diesem Thema, welches 8.037 mal aufgerufen wurde. Der letzte Beitrag () ist von TWIN013.
-
Ergänzung: ich habe festgestellt, dass teilweise trotz gefixter IP z.B. mein iPhone in einem Netz 169.254.XXX.XXX landet - je nach Einloggen mal in der .90.12, .108.246., 242.85 - das sind keine von mir verteilten Netze.
Das sind APIPA Adressen. Die weisen sich viele Geräte selbst zu, wenn Sie eigentlich per DHCP Adressen beziehen wollen, es aber keine Antwort von einem DHCP Server gibt.
-
Das sind APIPA Adressen. Die weisen sich viele Geräte selbst zu, wenn Sie eigentlich per DHCP Adressen beziehen wollen, es aber keine Antwort von einem DHCP Server gibt.
169.2564.x.x spricht eigentlich fast immer für ein Problem mit dem DHCP Server
Ja, das hatten wir schon auf Seite 1 des Threads
*duck und wech
-
Ich würde jetzte erstmal die Syno, Pi und Co. abstöpseln und zusehen, dass das DHCP in allen Netzen läuft. DHCP macht ja offenbar der Router. Schau bitte auch bei den LAN Local Firewall Regeln, dass dort erstmal nichts selbstkreiertes drin ist. Hier kann man auch prima den DHCP Traffic blocken.
Dann unbedingt die alle Portprofile und deren Zuweisung prüfen! Wie mir scheint hast Du an sehr viele Einstellungen verändert. Und dann kannste weiter machen.
Teile und Herrschen
-
Ich habe dann gestern Abend noch die Büroklammer des Todes gezückt - kompletter Neuaufbau. Die Unifi-Installation mit den VLANs läuft soweit wieder, DNS hatte ich anfangs ausgespart - hier werde ich jetzt erstmal weiter machen mit dem Raspberry, da mir das der deutlich problemlosere Teil zu sein scheint. Interessant ist übrigens, dass ich nach dem Reset (und damit auch Rückkehr auf den Network Controller 7.3.83) wieder die Port Groups zuweisen kann. Daher werde ich erst einmal auch im Release-Channel verbleiben.
-
Interessant ist übrigens, dass ich nach dem Reset (und damit auch Rückkehr auf den Network Controller 7.3.83) wieder die Port Groups zuweisen kann. Daher werde ich erst einmal auch im Release-Channel verbleiben.
Gute Idee. Vielleicht hat die Beta bei Dir ja zusätzliche Probleme ausgelöst.
-
Kleine Wasserstandmeldung zwischendurch, die evtl. mal für den einen oder anderen von Interesse werden könnte:
wenn man den LAN Port der Synology auf die VLAN ID konfiguriert, dann muss man den Port in der Unifi nicht auf dieses VLAN einstellen, sondern "All" als Profil wählen - dann klappts auch mit dem Zugriff.
Öhmm jaaa das ist eigentlich klar: Stellst Du ein Profil auf dem Switch von einem VLAN direkt ein, dann ist da nur das VLAN untagged drauf. Wenn Du der Synology aber die VLAN ID reindrückst, dann macht die 802.1Q und arbeitet getagged ... das passt dann nicht.
als entweder VLAN ID in Synology und das VLAN getagged auf dem Switchport (also z.B. Profil ALL)
oder
keine VLAN ID in die Synology und dann auf dem Port das Profil für das VLAN ( da ist dann das VLAN ungetagged drin)
-
Einen Windows PC wirst Du vermutlich getagged nur in einem VLAN oder wahrscheinlicher in keinem VLAN betreiben können. Die einfachen Desktop Intel NICs können das gar nicht. Bei Realtek gibt es auf der Herstellerseite oft Treiber die VLAN Tag unterstützen.
Letzten Endes ist das aber auch egal. Der PC kann einfach in einem Netz Deiner wahl eingebunden sein. Also den Port dann mit dem entsprechenden VLAN als untagged (Das automatisch erzeugte Portprofil also quasi) versehen. Dann musst Du nur die Firewall so konfigurieren, dass Du vom PC auf das Ziel zugreifen darfst (also neue Verbindung etc.) undnatürlich muss das Ziel in der Lage sein auch zu antworten (also related usw.). Wichtig ist dann nur dass auch PC und Ziel eine Route zum Gegenüber haben (wenn beide ihr Default gateway auf unterschiedlichen Interfaces des gleichen Routers haben passt das schon mal).
-
Mal noch eine Verständnisfrage zu den Firewall-Regeln: sollte es denn nicht so sein, dass die Admin-Devices durch ihre Positionierung in den Regeln ganz weit oben und die Regeln "allow admin devices to MGMT LAN" sowie "allow MGMT LAN to access all VLANs" sozusagen Zugriff auf alle VLANs bekommen? Ich habe von meinem PC aus zwar kein Problem die UDM etc im MGMT LAN zu erreichen, DNS funktioniert ebenfalls, aber ich kann z.B. nicht auf den Raspberry zugreifen, auf dem der DNS Pihole läuft...
Wo ist denn das Admin Device, also in welchem Netzwerk? Scheint ja nicht im MGMT LAN zu sein, da Du den Zugriff dahin extra erlaubst. Dann erlaubst Du scheinbar den Zugriff vom MGMT LAN zu allen VLANs - das heisst aber nicht das das ADMIN Device dann automatisch Zugriff auf alle VLANs hat, wenn das Admin Device in einem anderen Netz ist, als dem MGMT LAN.
-
Du musst dem Admin Device erlauben auf alle VLANs zuzugreifen. Die Firewall guckt nur den direkten Weg also Admin Device im Home LAN darf in alle VLANs oder wie in deinem Fall nicht. Um die Ecke mit dem MGNT LAN wird das so nix. Alternativ Admin Device ins MGNT LAN packen. Das ist alles eine Frage der Handhabbarkeit und des eigentlichen Ziels welches erreicht werden soll.
-
Das Admin Device liegt im Home LAN, ja - liegt da bereits der Denkfehler? Zur Not kann ich dem Gerät ja per eigener Regel Zugriff gewähren, nur hatte ich die beiden o.g. Regeln da wohl anders verstanden.
Meine Admin Devices sind auch im HomeLAN und ich komme mit diesen Problemlos ins MGMT LAN!
aber ich kann z.B. nicht auf den Raspberry zugreifen, auf dem der DNS Pihole läuft...
Das kann sein, dass da die interne FW vom Linux greift...
Ist genauso wie z.B. bei Proxmox und VPN... muss man auch erst freigeben.
-
Meine Admin Devices sind auch im HomeLAN und ich komme mit diesen Problemlos ins MGMT LAN!
Das kommt Twin013 auch. Er hat aber eine Regel erstellt die erlaubt vom MGMT LAN in alle VLANs zuzugreifen und dachte er kann jetzt mit dem Admin Device wegen der Regel auch in alle VLANs - dem ist natürlich nicht so
-
Mal noch eine Verständnisfrage zu den Firewall-Regeln: sollte es denn nicht so sein, dass die Admin-Devices durch ihre Positionierung in den Regeln ganz weit oben und die Regeln "allow admin devices to MGMT LAN" sowie "allow MGMT LAN to access all VLANs" sozusagen Zugriff auf alle VLANs bekommen? Ich habe von meinem PC aus zwar kein Problem die UDM etc im MGMT LAN zu erreichen, DNS funktioniert ebenfalls, aber ich kann z.B. nicht auf den Raspberry zugreifen, auf dem der DNS Pihole läuft...
Ach und noch eine Erklärung wieso Du auf die UDM Zugreifen kannst in wahrscheinlich jedem LAN. Für die UDM gilt nicht die LAN/IN Firewall ... Da ist dann WAN/Local (aus dem Internet) und LAN/Local (aus den Netzwerken) zuständig.
-
Ach und noch eine Erklärung wieso Du auf die UDM Zugreifen kannst in wahrscheinlich jedem LAN
Wenn er sich an mein Tutorial gehalten hat, geht es nicht.
-
Hab ich.
Habe mir eine zusätzliche Regel eingerichtet, die dem PC Zugriff auf alles gewährt und aktiviere diese nur bei Bedarf.
