Probleme mit VLAN (Anfänger)

Es gibt 10 Antworten in diesem Thema, welches 566 mal aufgerufen wurde. Der letzte Beitrag () ist von Frankyspengler.

    Hallo,


    ich habe mir ein Gateway Ultra zugelegt, um mein Netzwerk in VLANs zu unterteilen. Das Gateway hängt hinter einem Kabelmodem.


    Nachdem ich einiges über VLANs gelesen und Videos angesehen habe wollte ich dann das ganze einrichten. Es gibt aber Probleme: Im Gateway habe ich VLAN1 (10.10.1.1) und VLAN2 (10.10.2.1) angelegt und jeweils als natives VLAN auf zwei Ports vom Gateway gelegt. Die Laptops haben somit die gewünschten VLANs.


    Im Gegensatz zu anderen Firewalls ist diese bei UniFi ja "offen", wodurch man Firewall-Regeln oder vereinfacht Traffic-Regeln erstellen soll/muss, um Traffic zu blockieren. Also probierte ich zuerst mal mit einem ping, ob ich ins andere VLAN komme - ging aber nicht.


    Dann habe ich eine Traffic-Regel erstellt: Zulassen -> lokales Netzwerk -> alle lokalen Netzwerke -> Traffic-Richtung alles von und zu --> alle Geräte. Der ping geht aber nicht durch. Ich habe alle möglichen Einstellungen versucht, aber ich bekomme keinen ping auf den anderen Rechner.


    Auch Firewall-Regeln aus Youtube-Videos, wo man komplette Netzwerke freischalten, kann bringen keine Lösung.


    Wenn sich beide PCs im selben Netzwerk befinden funktioniert das anpingen sofort. Dann habe ich mit einem IP-Scanner versucht von VLAN1 aus Geräte im VLAN2 zu finden und umgekehrt und siehe da: ich sehe dort meinen zweiten PC im anderen Netz.


    Dann habe ich die Traffic-Regeln auf blockieren gestellt, ebenfalls wieder allgemein alles und auch speziell die IP-Adressen der beiden PCs auf das andere Netzwerk blockiert, doch der IP-Scanner findet die Rechner im anderen Netz immer noch?! Jetzt bin ich komplett verwirrt. Einerseits bekomme ich kein ping auf das andere VLAN, egal was ich probiere und andererseits findet der IP-Scanner jeden Rechner im anderen VLAN obwohl ich mehrfach alles blockiert habe (nach Anleitung Youtube: Ubiquiti UniFi Netzwerk #7 - Grundregeln für die Firewall der Dream Machine erstellen 4k - von IT-Tweak).


    Da ich in VLANs kompletter Neuling bin wäre es sehr nett, wenn mir einer mein Grundproblem erklären könnte. Im Moment habe ich zwei PCs in zwei VLANS auf die ich nicht gezielt zugreifen aber auch nicht blockieren kann, egal was ich bei den Firewall-Regeln / Traffic-Regeln einstelle.


    Ebenso scheitere ich bei dem Versuch, den Zugriff auf den Controller im Default-Netz 192.168.1.1 zu blockieren. Ich komme immer wieder auf das Gateway aus beiden VLANs.


    Danke.

    Guck mal ins WIKI > Klick


    Such dort nach Firewall. Es gibt 4 Einträge wo eigentlich alles erklärt wird, was Du benötigst.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    Hallo Frankyspengler ,

    ich bin gerade zu müde um auf alle Deine Fragen einzugehen, aber ein, zwei Hinweise:

    • Du brauchst auf jeden Fall eine Firewall-Regel, die eine Rückantwort des angepingten Gerätes ermöglich. Suche hierzu nach "established / related" im Zusammenhang mit Unifi.
    • Sollten Deine PCs Windows-Rechner sein: Die Windows-Firewall blockt in der Standardkonfiguration Pings aus anderen Subnetzen

  • razor

    Hat das Label offen hinzugefügt.

    Danke für die Hilfen.

    Das Verbieten habe ich noch gar nicht weiter verfolgt, da ich an den erlauben-Regeln schon scheitere...

    Ich habe jetzt nach der Anleitung von FIREWALL-REGELN____OLD!!!! BY EJ folgende Regeln und Gruppen erstellt und probiert:


    Regel 1 „allow established/related sessions“


    Gruppe 1 „all private IP-ranges RFC1918“

    192.168.0.0/16

    172.16.0.0/12

    10.0.0.0/8


    Regel 2 „allow admin LAN to access all VLANs“


    Regel 2 habe ich nochmal als neue Regel umgekehrt eingerichet, als:


    Regel 3 „allow all VLANS to access admin LAN“


    Meine Netze sind immer noch: default 192.168.1.1 / VLAN1 10.10.2.1 / VLAN2 10.10.3.1


    Somit sollte ja alles freigeschaltet sein ( bei Aktionen steht überall Akzeptieren)


    Der Ping ist auf beiden Rechner aktiviert und funktioniert auch wenn beide PCs im selben Netzwerk sind!


    Ergebnis: von keinem PC kann ich den anderen anpingen... Ping geht nicht


    Bin jetzt echt ratlos. Vielleicht könnte mir jemand zeigen welche Firewall-Regeln er am Controller einstellen muss, damit der Ping von 192.168.1.x auf 10.10.2.x funktionieren muss?

    Zitat von Frankyspengler

    Regel 2 habe ich nochmal als neue Regel umgekehrt eingerichet, als:


    Regel 3 „allow all VLANS to access admin LAN“

    Moin, sry das macht kein Sinn, dann brauchst du keine VLAN's wenn du eh alles aufmachst, die Regel 1 reicht völlig, da du allow established/related sessions aktiviert hast und so Geräte trotzdem antworten können auch wenn die Firewall eigentlich zu ist (wenn ein gerät vom admin vlan den angefragt hat)


    So jetzt zu deinem Ping Problem:

    In der Regel 1 sperrst du jedliche Kommunikation zwischen allen VLAN's ergo du kannst nicht pingen. Wenn du jetzt vom default lan zum vlan 1 möchtest, musst du eine neue FW Regel bauen mit

    Source: Default
    Destination: Vlan1

    Action: Allow


    Dann geht der ping von 192.168.1.x auf 10.10.2.x

    ...Sinn macht es keinen alles aufzumachen, doch möchte ich endlich die PC anpingen können...


    Die Regel:

    Source: Default

    Destination: Vlan1

    Action: Allow


    war die Erste Regel die ich probiert habe - ging aber nicht.

    Ich kann von jedem der beiden PCs auf die verschiedenen Gateways pingen, also 192.168.1.1 / 10.10.2.1 / 10.10.3.1 usw... nur auf die Geräte im entsprechenden Netzwerk geht der Ping nicht durch.


    Habe jetzt so ziemlich alle Traffic-Regeln die mit Allow zu tun haben auf Netzwerke und IP-Adressen ohne Erfolg ausprobiert.

    Switch Ports mit nativem Netzwerk und alle VLANs erlaubt oder auch Port-Profile ohne natives LAN und alle VLANS erlaubt.


    Windows Firewall bei beiden PCs ausgeschaltet.

    Zitat von Frankyspengler

    Windows Firewall bei beiden PCs ausgeschaltet.

    Steht denn deine Einstellung auf privat?

    Ansonsten verbietet WIndows ICMP

    Und wenn du alle Firewall Regeln deaktivierst?

    Unifi hat ja dann alles default offen. (hast du oben ja schon berschrieben aber trotzdem nochmal schauen) Dann muss es gehen oder du hast eventuell was bei den Clients falsch eingestellt wie falsche Subnetzmaske oder fehlendes Gateway. Sonst wüsste ich gerade nix.

    Ich habe es mit zwei Windows 11 und zwei Windows 10 Laptops getestet und vermute das es wirklich an Windows liegt. Firewall deaktiviert, Netzwerk als privat und Ping unter Windows 11 Drucker und Netzwerkfreigabe für alle ein- und ausgehenden Pings auf aktiv eingestellt... Möchte mich aber nicht länger damit befassen, ich bin auch kein Netzwerktechniker. Vor vielen Jahren hat mal jemand aus der IT-Branche zu mir gesagt, immer zuerst versuchen das Gerät anzupingen - wenn das geht, hast du schon gewonnen. Hätte ich das nicht im Kopf gehabt, wäre mir das mit dem Windows-Ping-Problem gar nicht aufgefallen...

    Ich habe jetzt zwei Loxone-Miniserver an die VLANs gehängt und kann den Zugriff beliebig für andere VLANS zulassen oder blockieren. Ebenso den Wechselrichter und ein paar andere Sachen. Auch WLAN über zwei VLANS und ein gemeinsames Gäste-WLAN geht wunderbar über die APs.


    Danke für Eure Tipps!

  • razor

    Hat das Label von offen auf erledigt geändert.