Geräte aus VLANs werden nicht blockiert

**Carbonide** · 31. Juli 2023

Nachdem ich bereits vor Monaten mein Netzwerk in VLANs unterteilt habe, habe ich erst heute entdeckt, dass ich irgendwo einen Fehler begangen haben muss, den der Zugriff von Geräten aus den VLANs auf andere VLANs (ausser dem Default/Management natürlich) werden nicht blockiert.

Ich habe eine der gängigen Beschreibungen im Internet benutzt und eine klassische Konfiguration angelegt mit im Moment nur 3 Netzwerken: Default, Media und IoT.

1. nur Haupt-VLAN kann auf alles zugreifen

2. Inter VLAN Austausch wird gesperrt

3. VLANs wird Zugriff auf andere Gateways komplett gesperrt

4. Konfigurations-Ports der VLAN eigenen Gateways gesperrt

Die Regel die den Satelliten Receivern (Media VLAN) Zugriff auf die NAS im Haupt-VLAN erlaubt, habe ich vorübergehend deaktiviert, da ich dachte es könnte daran liegen. Ich kann aber immer noch von 192.168.60.x aus ein Gerät mit einer 192.168.1.x IP Adresse pingen. Das Gateway auf 192.168.1.1 ist dagegen korrekterweise gesperrt (und auch alle anderen Gateways). Ich habe alle Port- und IP Gruppen überprüft.

Erkennt jemand einen offensichtlichen Fehler, denn so macht mein Netzwerk ja nicht viel Sinn.

**Carbonide** · 31. Juli 2023

Wenn ich mich per ssh mit einem Satellitenreceiver im Media VLAN verbinde, und dann von dort aus andere VLANs anpinge, als von wo kommend wird diese Anfrage interpretiert (established also erlaubt, oder neu und nicht erlaubt)?

Jedenfalls habe ich es auch mit einem Android Tablett aus dem IoT VLAN versucht mit dem gleichen Ergebnis.

**speed** · 31. Juli 2023

Das ist bei Unifi so, du musst es expliziert verbieten.

Bei der OPNsense ist es genau anderes herum, da darfst du erstmal nix.

**Carbonide** · 31. Juli 2023

Ich habe es ja verboten (siehe 2. Bild im 1. Post). Ich dachte auch, dass eventuell die Tatsache dass diese Regel unter Lan In definiert wurde, die anderen jedoch unter Lan Local das Problem sein könnte. Aber auch das habe ich überprüft und ist laut Anleitungen die ich konsultiert habe richtig so.

**gierig** · 1. August 2023

Die Regeln arbeiten nach dem Prinzip wer zuerst kommt macht den Job. Sprich sobald die Bedingungen erfüllt sind und

es zu einem ACCEPT oder DROP kommt wird die Bearbeitung beendet. Weitere Regeln dahinter werden nicht abgearbeitet

denn es ist ja schon entschieden was passieren soll..

Vor deiner BLOCK Regeln hast du noch 2000 und 2002 die irgendwas erlauben. Von Namen OK, aber

stimmt der Inhalt dieser Regeln auch ?

Zitat von Carbonide

Wenn ich mich per ssh mit einem Satellitenreceiver im Media VLAN verbinde, und dann von dort aus andere VLANs anpinge, als von wo kommend wird diese Anfrage interpretiert (established also erlaubt, oder neu und nicht erlaubt)?

Als NEU das ist ja auch eine neue Verbidung die nichts mit der Bestehenden SSH Sitzung zu tun hat.

Obacht... PING ist ICMP also weder UDP noch TCP...das hat auch schon einigen das genick gebrochen...

**Carbonide** · 1. August 2023

Meinst du mit deinem letzten Satz, dass Ping Pakete eventuell durchgelassen werden? Ich habe aber auch versucht das Web Interface des NAS im Hauptnetzwerk aufzurufen und dies funktioniert ebenfalls.

**DoPe** · 1. August 2023

Was beinhaltet die "Gruppe Local IP Adresses" ?

Und was steht in den Regeln vor dem VLAN Blockieren konkret drin?

**Wombert** · 1. August 2023

(hier stand Quatsch, weil ich gelegentlich nicht richtig lesen kann :p)

**DoPe** · 1. August 2023

Zitat von Wombert

Der Fehler hier ist die Nutzung von "LAN Local". Das wird nur auf Traffic vom entsprechenden Netz zur UDM SE selbst angewandt (z.B. für DNS, oder auf das Management-Interface, oder Protect, oder oder oder).

Du musst für inter-VLAN-Verkehr aber "LAN In" und "LAN Out" nutzen. Hauptsächlich ersteres - Traffic aus einem LAN in das Gateway rein, zum Zwecke der Weiterleitung, und du willst es schon blockieren, bevor es die Firewall passiert (z.B. alles aus IoT in alle anderen Netze, es sei denn es ist Established/Related, die Regel kommt ja weit vorher).

Vielleicht hilft auch das: https://community.ui.com/quest…69-4749-b224-0dee15374de9

Brauch ich eine neue Brille? Da steht LAN_IN bei den Screens. Falls Du das Zeug weiter unten in den Regeln meinst, das sind wohl für die Sperrung des Zugriffs auf die Gateway IPs für die VLANs.

**Wombert** · 1. August 2023

Zitat von DoPe

Brauch ich eine neue Brille? Da steht LAN_IN bei den Screens. Falls Du das Zeug weiter unten in den Regeln meinst, das sind wohl für die Sperrung des Zugriffs auf die Gateway IPs für die VLANs.

Jep, du hast Recht. Mein Fehler.

Carbonide, wie ist die IPv4 Address Group "Local IP Addresses" definiert?

Hast du ansonsten noch Traffic Rules zusätzlich definiert, die evtl. dazwischenfunken?

**Carbonide** · 1. August 2023

In der "Local IP Addresses" stand bis jetzt nur 192.168.1.0/24. Ich habe vergessen da auch noch die x.x.50 und x.x.60er Netzwerkadressen der VLANs hinzuzufügen. Jetzt scheint alles korrekt zu funktionieren.

Wiederum ein idiotischer Fehler von mir um den ich mich entschuldigen muss und vielen Dank an alle für die Hilfe.

**DoPe** · 1. August 2023

Trag da diese Netze ein. Das sind alle privaten IP Bereiche nach RFC. Sonst hast Du irgendwann wieder ein Loch wenn Du mal ein neues VLAN dazu packst.

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

**Carbonide** · 1. August 2023

Zitat von DoPe

Trag da diese Netze ein. Das sind alle privaten IP Bereiche nach RFC. Sonst hast Du irgendwann wieder ein Loch wenn Du mal ein neues VLAN dazu packst.

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Gute Idee, danke für den Tip.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Geräte aus VLANs werden nicht blockiert

5 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 60

Wer war online 201