Beiträge von mille

  • Probleme Kommunikation zwischen VLANs mit Firewall Regeln

    @EJHome , Ronny1978 ,


    ich gebe Euch Beiden hier natürlich recht. Ob ich die Profile hier nun benötige oder ich auch alles

    über die FW Regeln nach meinem Gusto anpassen kann muss ich sehen. Bin für alles offen.


    Habe am WE noch ein wenig herum probiert und alle Ports wieder auf all gestellt.

    Drucken bzw. der Zugriff über die FW auf ein anderes VLAN war aber nach wie vor noch nicht möglich.

    Also irgendwo ist da noch was nicht so wie es soll. Teste natürlich weiter.


    Euch schonmal vielen dank weiterhin. Werde dann doch mal ein paar weitere Screenshots einstellen

    damit ihr da im Bilde seit. Bilder erzählen bekanntlich mehr wie tausend Worte. :winking_face:


    Grüße

  • Probleme Kommunikation zwischen VLANs mit Firewall Regeln

    Hallo EJHome,


    wie bereits erwähnt war mein Weg learning by doing mit Hilfe von YT und Co und das gepaart mit viel try and error.

    Auch das Thema tagged und untagged ist bei mir im Kopf noch nicht wirklich verinnerlicht.


    Was ich auf jeden fall erreichen wollte war, dass nur die Daten der WiFi-Netze XXX-WLAN, XXX-GUEST und

    XXX-IoT über den UAP-nanoHD zur Verfügung stehen und nicht noch irgendwelche Daten von XXX-CAM und XXX-VoIP

    in welcher Art und Weise abgegriffen werden können. Zumindest habe ich es so verstanden, dass ich dem Port wo Bsp. der

    UAP-nanoHD eingesteckt ist dazu auch ein entsprechendes Profil zuweisen muss. Mit dem Profil "all" könnten meiner

    Meinung nach ja Daten aller VLANs abgegriffen werden. Mit nur einem zugewiesenem Profil an dem Port würde

    ich doch nicht alle WiFi-Netze mit den nanoHD abdecken können. Oder habe ich das komplett falsch verstanden?



    Ein anderes gutes Beispiel ist das logische Netz IoT. Bevor ich mich mit Firewall Regeln

    beschäftigt habe war das mein einziger Weg um einen Stream vom iPhone VLAN 10 an die Apple-TV zu senden.


    USW-16-PoE > Port 7 > US-8 mit dem Profil XXX-US-8. In diesem Profil werden dann nur Daten an XXX-LAN VLAN 10

    und XXX-IoT VLAN 30 getagged. Alle anderen nicht. Hätte ich dem Port 7 hier nun nur das native Profil XXX-IoT VLAN 30

    zugewiesen, könnte ich dem entsprechenden Port am Switch US-8 wo die Apple-TV dran ist nicht das Profil XXX-LAN VLAN 10 zuweisen. Dann hätte ich keine Chance auf die Apple-TV vom iPhone aus zu zugreifen. Mann ist das kompliziert

    seine Gedankengänge verständlich niederzuschreiben. :winking_face: Ich hoffe das kommt rüber.

    Ich weiß, das ist nicht wirklich die beste Lösung aber zumindest behelfe ich mir aktuell damit gut aus.

    Ob das ganze nun auch anderes (Firewall Regeln) gestaltet werden kann muss man sehen.


  • Probleme Kommunikation zwischen VLANs mit Firewall Regeln

    Hallo Zusammen,


    vor kurzem erst bin ich auf das Thema Netzwerkeinstellungen hier im Forum aufmerksam geworden,

    welches ich mit Begeisterung verfolgt habe. Die dortigen Probleme scheinen gelöst sodass

    ich hier ein neues Thema aufmache.


    Mein Name ist André aka "mille" und ich muss gestehen, das ein oder andere graue Haar kommt sicher

    durch mein neues Ubiquiti Sortiment ;). Bin kein ITler aber Netzwerk und Co. begleiten mich schon

    gut die letzten 20 Jahre. Wirklich nicht intensiv aber so das ich mein bisheriges Netzwerk immer

    alleine einrichten konnte. Gut, es befand sich immer alles in einem IP Adressbereich aber auch da gibt

    es die ein oder andere Hürde. Erst recht wenn ein Synology NAS und mehrer Clients darauf zugreifen.


    Das ist nun mit Ubiquiti und VLANs, Firewall etc. nochmal was ganz anderes.

    Absolutes Neuland für mich. Auf dieses Forum und besonders dieses Thema bin

    ich erst kürzlich gestoßen. Habe all meine Geräte Ende 2020 nach und nach angeschafft und

    in Betrieb genommen. YouTube hat dabei sehr gut weitergeholfen. Habe mich zunächst

    mit dem Thema VLAN generell auseinander gesetzt, was ich eigentlich immer noch tue. :winking_face:

    Damit konnte ich mir das Netzwerk schön nach meinem Gusto aufsplitten damit nicht

    mehr alle untereinander kommunizieren können. Zumindest auf der IP Ebene.


    Ich wusste ein letztes größeres Thema wird noch die Firewall um jegliche Kommunikation

    untereinander zu kappen bzw. auch zu erlauben. Und genau da stehe ich jetzt.


    An dieser Stelle sollte ich mich wohl mal für den längeren Text entschuldigen.

    Habe das Gefühl zunächst auf die aktuelle Situation hinweisen zu müssen

    als einfach nur gleich mit einem Problem um die Ecke zu kommen.

    Mein Netzwerk steht soweit und alles funktioniert super ABER

    mit den neuen Firewall Regeln, welche ich gemäß EJHome seiner Anleitung

    vorgenommen habe, ist da nun der Wurm drin.


    Also, aktuell sieht es wie folgt aus.

    Networks

    1. ADMIN-LAN > 10.0.1.0/24 [VLAN1 Standard] > USW-16-PoE > Alle Unifi NW-Geräte mit fester IP4. Siehe Sig.

    2. XXX-LAN > 10.0.10.0/24 [VLAN 10] > UAP-nanoHD > NAS + WiFi Clients im Haus

    3. XXX-GUEST > 10.0.20.0/24 [VLAN 20] > UAP-nanoHD > gehen nur die WiFi Gäste drauf

    4. XXX-IoT > 10.0.30.0/24 [VLAN 30] > USW-16-PoE > UAP-nanoHD + US-8 > Pana TV, Apple TV, Denon HiFi

    5. XXX-CAM > 10.0.40.0/24 [VLAN 40] > USW-16-PoE > 3x UVC-G4

    6. XXX-VoIP > 10.0.50.0/24 [VLAN 50] > USW-16-PoE > Gigaset S850A-Go


    WiFi

    1. ADMIN-WLAN = ADMIN-LAN > DHCP gehe ich eigentlich nur mit meinem MacBook drauf um mich selber nicht wegen der

    Firewall Regeln auszuschließen. :winking_face:

    2. XXX-WLAN = XXX-LAN > DHCP 2x MacBook, 2x iPhone, Canon MP640 Drucker

    3. XXX-GUEST = XXX-GUEST (LAN) > DHCP 1x Dell Notebook Win10 + 1x iPhone von der Arbeit

    4. XXX-IoT = XXX-IoT(LAN) > Denon Cocoon


    Des Weiteren habe ich paar Port Profile für die VLANs angelegt wie Bsp.

    XXX-nanoHD wo die entsprechenden Networks XXX-LAN, XXX-GUEST und XXX-IoT getagged werden

    und das Profil dann auch nur dem Port wo der UAP-nanoHD dran ist zugewiesen.

    Mit den Profilen bin ich aber noch nicht wirklich firm. Denke das passt.


    Ich hoffe das sieht nicht zu kompliziert aus. Ich komme damit gut zurecht und alle haben I-Net.

    Wo liegt nun der Wurm drin? Ich möchte den Drucker auch in das XXX-IoT netz bringen

    aber vom XXX-WLAN darauf zugreifen können. Das klappt bei mir leider nicht.

    Das komische ist, sobald ich die FW Regeln scharf schalte komme ich zwar auf die

    Admin Seite vom Drucker, sprich ich habe eine Verbindung aus VLAN 10 zu VLAN 30,

    kann aber nicht drucken. Fehlermeldung. Packe ich den Drucker wieder in's VLAN 10,

    klappt alles reibungslos. Das gleiche Spiel habe ich auch wenn ich mein MacBook VLAN 10

    mit der Apple TV VLAN 30 verbinden möchte. Weise ich dem Port am US-8, wo die Apple TV

    eingesteckt ist, das richtige Profil XXX-LAN mit VLAN 10 zu, habe ich sofort eine Verbindung.


    Tja liebe Leute, so sieht es aktuell aus. Ich hoffe, ihr blickt da noch durch.

    ich kann hier natürlich gerne Screenshots von den jeweiligen Seiten einstellen.

    Sagt mir einfach was genau ihr benötigt. Bis dahin,

    vielen Dank vorab für Eure Unterstützung und allen ein schönes WE.

  • Netzwerkeinstellungen

    Hallo Zusammen,


    ein Thema wie dieses hier habe ich noch nie so intensiv gelesen in meinem Leben.

    Mein ganz großen Respekt für all jene die hier so tatkräftig mitwirken. Besonders "EJHome",

    jemand wie du, der sich so aufopfert, so viel Zeit und Geduld bei der Hilfe von jemanden zu investieren, beachtlich.

    Und frosch, toll das du nicht aufgeben hast.


    Mein Name ist André aka "mille" und ich muss gestehen, das ein oder andere graue Haar kommt sicher

    durch mein neues Ubiquiti Sortiment ;). Bin kein ITler aber Netzwerk und Co. begleiten mich schon

    gut die letzten 20 Jahre. Wirklich nicht intensiv aber so das ich mein bisheriges Netzwerk immer

    alleine einrichten konnte. Gut, es befand sich immer alles in einem IP Adressbereich aber auch da gibt

    es die ein oder andere Hürde. Erst recht wenn ein Synology NAS und mehrer Clients darauf zugreifen.


    Das ist nun mit Ubiquiti und VLANs, Firewall etc. nochmal was ganz anderes.

    Absolutes Neuland für mich. Auf dieses Forum und besonders dieses Thema bin

    ich erst kürzlich gestoßen. Habe all meine Geräte Ende 2020 nach und nach angeschafft und

    in Betrieb genommen. YouTube hat dabei sehr gut weitergeholfen. Habe mich zunächst

    mit dem Thema VLAN generell auseinander gesetzt, was ich eigentlich immer noch tue. :winking_face:

    Damit konnte ich mir das Netzwerk schön nach meinem Gusto aufsplitten damit nicht

    mehr alle untereinander kommunizieren können. Zumindest auf der IP Ebene.


    Ich wusste ein letztes größeres Thema wird noch die Firewall um jegliche Kommunikation

    untereinander zu kappen bzw. auch zu erlauben. Und genau da stehe ich jetzt.


    An dieser Stelle sollte ich mich wohl mal für den längeren Text entschuldigen.

    Habe das Gefühl zunächst auf die aktuelle Situation hinweisen zu müssen

    als einfach nur gleich mit einem Problem um die Ecke zu kommen.

    Mein Netzwerk steht soweit und alles funktioniert super ABER

    mit den neuen Firewall Regeln, welche ich gemäß EJHome seiner Anleitung

    vorgenommen habe, ist da nun der Wurm drin.


    Also, aktuell sieht es wie folgt aus.

    Networks

    1. ADMIN-LAN > 10.0.1.0/24 [VLAN1 Standard] > USW-16-PoE > Alle Unifi NW-Geräte mit fester IP4. Siehe Sig.

    2. XXX-LAN > 10.0.10.0/24 [VLAN 10] > UAP-nanoHD > NAS + WiFi Clients im Haus

    3. XXX-GUEST > 10.0.20.0/24 [VLAN 20] > UAP-nanoHD > gehen nur die WiFi Gäste drauf

    4. XXX-IoT > 10.0.30.0/24 [VLAN 30] > USW-16-PoE > UAP-nanoHD + US-8 > Pana TV, Apple TV, Denon HiFi

    5. XXX-CAM > 10.0.40.0/24 [VLAN 40] > USW-16-PoE > 3x UVC-G4

    6. XXX-VoIP > 10.0.50.0/24 [VLAN 50] > USW-16-PoE > Gigaset S850A-Go


    WiFi

    1. ADMIN-WLAN = ADMIN-LAN > DHCP gehe ich eigentlich nur mit meinem MacBook drauf um mich selber nicht wegen der

    Firewall Regeln auszuschließen. :winking_face:

    2. XXX-WLAN = XXX-LAN > DHCP 2x MacBook, 2x iPhone, Canon MP640 Drucker

    3. XXX-GUEST = XXX-GUEST (LAN) > DHCP 1x Dell Notebook Win10 + 1x iPhone von der Arbeit

    4. XXX-IoT = XXX-IoT(LAN) > Denon Cocoon


    Des Weiteren habe ich paar Port Profile für die VLANs angelegt wie Bsp.

    XXX-nanoHD wo die entsprechenden Networks XXX-LAN, XXX-GUEST und XXX-IoT getagged werden

    und das Profil dann auch nur dem Port wo der UAP-nanoHD dran ist zugewiesen.

    Mit den Profilen bin ich aber noch nicht wirklich firm. Denke das passt.


    Ich hoffe das sieht nicht zu kompliziert aus. Ich komme damit gut zurecht und alle haben I-Net.

    Wo liegt nun der Wurm drin? Ich möchte den Drucker auch in das XXX-IoT netz bringen

    aber vom XXX-WLAN darauf zugreifen können. Das klappt bei mir leider nicht.

    Das komische ist, sobald ich die FW Regeln scharf schalte komme ich zwar auf die

    Admin Seite vom Drucker, sprich ich habe eine Verbindung aus VLAN 10 zu VLAN 30,

    kann aber nicht drucken. Fehlermeldung. Packe ich den Drucker wieder in's VLAN 10,

    klappt alles reibungslos. Das gleiche Spiel habe ich auch wenn ich mein MacBook VLAN 10

    mit der Apple TV VLAN 30 verbinden möchte. Weise ich dem Port am US-8, wo die Apple TV

    eingesteckt ist, das richtige Profil XXX-LAN mit VLAN 10 zu, habe ich sofort eine Verbindung.


    Tja liebe Leute, so sieht es aktuell aus. Ich hoffe, ihr blickt da noch durch.

    ich kann hier natürlich gerne Screenshots von den jeweiligen Seiten einstellen.

    Sagt mir einfach was genau ihr benötigt. Bis dahin,

    vielen Dank vorab für Eure Unterstützung und allen ein schönes WE.