Hallo zusammen
Nachdem ich zwecks Problemlösung gemäss meinem ersten Post (Link) den Controller (UDM Pro) neu aufgesetzt habe, wollte ich zugleich die Netzwerkstruktur überarbeiten und erneuern.
Dies hat soweit ziemlich gut geklappt, ich bin jetzt auf ein Problem gestoßen, welches ich bis dato nicht selber lösen konnte. Ich hoffe ich habe soweit alle relevanten und wichtigen Informationen geteilt, ansonsten bitte nachfragen.
Folgendes Problem habe ich aktuell mit meinem Netzwerkaufbau.
Edit: Wichtiger Hinweis, welcher ich vergessen habe, ist, die DynDNS-Adressen für Synology Fotos und Bitwarden werden via HTTPS auf meinen Proxy-Manager geleitet und von dort Netzwerkintern an die richtigen Stellen weitergeleitet.
Situation 1
Wenn ich von meinem Mobile Device im WLAN (Technik VLAN 3) via DynDNS-Adresse (z.B. Eingabe in einem Browser) versuche auf Synology Fotos oder Bitwarden zuzugreifen, funktioniert die Verbindung nicht und es lädt eine Zeit lang, bis danach die Fehlermeldung "Die Website ist nicht erreichbar", bzw. ERR_CONNECTION_TIMED_OUT erscheint.
Situation 2
Wenn ich von meinem Mobile Device ohne WLAN im öffentlich Netz via DynDNS-Adresse (z.B. Eingabe in einem Browser) versuche auf Synology Fotos oder Bitwarden zuzugreifen, funktioniert dies einwandfrei.
Situation 3
Wenn ich von meinem PC im verkabelten Netz Default VLAN "1" via DynDNS-Adresse (z.B. Eingabe in einem Browser) versuche auf Synology Fotos oder Bitwarden zuzugreifen, funktioniert dies einwandfrei.
Eigentlich sollten doch alle relevanten Geräte miteinander sowie mit dem Internet kommunizieren können. Welchen Punkt übersehe ich hier?
Mein Netzwerkaufbau
- Netzwerkgeräte
- Internet = ab FTTH direkt auf UDM Pro (kein doppeltes NAT)
- Gateway = UDM Pro
- Switch = 1x USW 8-60W, 1x TP-Link TL-SG109E
- AP = 3x AP AC Pro
- Netzwerke
- VLANs = Default (VLAN "1")
- Technik (VLAN 3) / + WLAN Technik (VLAN 3)
- (sowie weitere, nicht relevante Netzwerke für diese Problemstellung)
- Relevante Clients in Default (VLAN "1")
- Alle UniFi-Geräte (fixe IP via Gateway)
- PC (fixe IP via Gateway)
- Synology NAS, u.a. mit Synology Fotos und Docker u.a. mit Vaultwarden (fixe IP via Gateway)
- Relevante Clients in Technik (VLAN 3)
- Mobile Devices
- RPi mit Docker (NGINX Proxy Manager)
- (IoT und weitere... nicht relevant)
- Firewall-Regeln (Schnittstelle "WAN In")
- Erlaube Verbindung ab Internet (IPv4) via HTTP/HTTPS auf lokale IP Proxy Manager
- Firewall-Regeln (Schnittstelle "LAN In")
- Erlaube bestehende und zugehörige Verbindungen
- Default VLAN "1" hat Zugriff auf alle VLANs
- Proxy Manager aus Technik VLAN 3 hat Zugriff auf alle VLANs
- Mobile Devices aus Technik VLAN 3 haben Zugriff auf Default VLAN "1"
- Am Schluss: verbiete jeglichen Verkehr zwischen allen VLANs
- Firewall-Regeln (Schnittstelle "LAN Lokal")
- Erlaube PC und Laptop Zugriff auf Gateway (Web UI und SSH)
- Erlaube Smartphone Zugriff auf Gateway (Web UI und SSH)
- je VLAN: Verweigere Zugriff aus VLAN auf alle Fremd-Gateway-IPs
- je VLAN: Verweigere Zugriff aus VLAN auf Gateway (Web UI und SSH)
- Portweiterleitungen
- HTTP 80 ab WAN / Gateway auf Proxy Manager (RPi mit Docker)
- HTTPS 443 ab WAN / Gateway auf Proxy Manager (RPi mit Docker)
- Einfache Skizze des Netzwerkaufbaus