Genau, die allseits beliebte Scheunentorregel (Any->Any), wahlweise als allow oder deny.
Beiträge von Networker
-
-
Eigentlich arbeiten alle FW-Hersteller so. Erst einmal ist alles verboten!
Das habe ich doch genau so geschrieben?
Dass Sonicwall das Regelset andersherum angeht, wusste ich tatsächlich nicht. Widerspricht auf jeden Fall dem "üblichen Markt", wobei es letztlich natürlich aus technischer Sicht keine Rolle spielt, wie herum man es dreht.
-
Andere FW-Hersteller agieren da anders.
Aber nur auf die Basis-Logik bezogen: In einer klassischen Firewall ist erst einmal alles geblockt, was nicht explizit freigeschaltet ist. Diesen Zustand könnte man bei Unifi aber im Prinzip über eine einzige Regel herstellen, wenn man möchte.
Was herstellerübergreifend immer identisch ist: Firewalls arbeiten ihre Regeln von oben nach unten ab, die Reihenfolge des Regelwerks ist also penibel zu beachten.
-
Ein definierter VPN-Client bekommt ja immer dieselbe IPv4-Adresse zugewiesen, darüber solltest Du alle Regeln wie benötigt einrichten können.
-
Für die Telefone war halt die Anschaffung ein Gigaset Go-Box geplant die dann im EG per LAN eingebunden wird. Die FritzBox ist doch dann DECT mäßig raus?
Ja, wenn die GO-Box DECT-Basis ist, braucht es dafür die Fritzbox natürlich nicht mehr.
Habe im Hinterkopf, dass Gigaset insolvent ist.
-
Ich habe jetzt alle "Clients" umgestellt und es funktioniert. Die IP-Adresse der Konsole muss in der Tat diejenige sein, die aus Sicht der Kameras Router im Subnetz ist.
Danke erneut für Eure Unterstützung, wieder etwas über das Ökosystem gelernt.
-
Das war ein wichtiger Denkanstoß, danke. Ich konnte bisher nur oberflächlich testen, aber es scheint genau anders herum zu sein: Ich hatte in der Protect-App die 10.22.22.1 angegeben, das ist die IP-Adresse der UDM Pro im Management-Netz.
Wenn ich die 10.22.50.1 wähle, klappt es augenscheinlich auch über VPN.
Schon mal besten Dank, ich muss das genauer testen (leider auch über Fernwartung mit den Geräten meiner Eltern
). Melde mich dann noch einmal abschließend, wenn es definitiv klappt. -
Was jkasten meint ist, dass Dein Provider Dir keine "echte" IPv4-Adresse gibt. Ich wollte bei Deinem Screenshot fairerweise nicht genau hinsehen, weil Du die Adresse ja eigentlich verschleiern wolltest, daher ist es mir nicht aufgefallen, aber gierig hat hier natürlich Recht: 100.116.x.x ist ein Bereich, in denen Provider Endkunden NATten. Stichwort "Carrier Grade NAT". Darüber wirst Du Dein Heimnetz in der Tat niemals erreichen können.
Wo ich mir bei seiner Aussage nicht sicher bin, ob der Unifi-Wireguard-Server tatsächlich noch immer nicht mit IPv6 arbeitet. Aber er scheint sich da ja sicher zu sein, in sofern kommst Du dann auf klassischen Wege wohl in der Tat nicht weiter.
Der von uboot21 skizzierte Weg ist von alldem aber uneingeschränkt gangbar.
-
Wenn Du Deine IP-Adresse verschleiern willst, musst Du es schon auf allen Screenshots zun.
Also: Mehrere VPN-Server sind quatsch, am besten schmeißt Du mal alle drei raus und fägst sauber von vorne an.
Als ersten stellst Du sicher, dass sämtliche Hardware auf der aktuellsten Firmware ist und "Network" in Version 8.0.28 vorliegt.
Dann erstellst Du einen Wireguard-Server, trägst ggfs. Deine DynDNS-Adresse ein, erstellst dann den ersten Wireguard-Client, mit dem Du dann testest.
Die "Conf"-Dateien, die für Clients erzeugt werden, müssen auf jeden Fall per Hand editiert werden, ansonsten kommt zwar der Tunnel zustande, Du kannst aber möglicherweise keine Ressourcen im LAN erreichen.
-
L2TP zeigt sich in Verbindung mit NAT gerne mal zickig, aber die guten Hinweise von BlackSpy kannst und solltest Du natürlich ausprobieren.
Prinzipiell würde ich aber auch zu Wireguard raten, unter anderen deshalb, weil Du dies dann wieder "früher", also schon in der Fritzbox, terminieren kannst.
-
Auszüge aus einer Config:
Address = 10.22.99.3/32
DNS = 10.22.99.1
AllowedIPs = 10.22.22.0/24,10.22.30.0/24,10.22.40.0/24,10.22.50.0/24,10.22.90.0/24,10.22.99.0/24
Die Netze sind folgendermaßen definiert:
-
Ja, das klappt. Ich kann das Problem mit der App übrigens auch in meiner eigenen Installation nachstellen.
-
und damit kämpfe auf die traditionelle Art zugriff auf meine Synology Diskstation per 443er Port
Bitte tu das auf keinen Fall!
Heimnetzgeräte sollten niemals direkt aus dem Internet erreichbar sein - insbesondere NAS (egal von welchem Hersteller) haben regelmäßig massive Sicherheitslücken.
Alle Verbindungen von außen nach innen ausschließlich über VPN, diese Regel kann man nicht oft genug betonen.
Zum Verständnis: Wenn Dein VPN-Tunnel funktioniert, brauchst Du keinerlei Portfreigaben!
Welches konkrete Problem taucht denn überhaupt auf, wenn Du versuchst, Wireguard einzurichten? Versuche es mal, so simpel wie möglich wiederzugeben, ohne dabei zu interpretieren.
-
Hallo Community,
ich hatte für meine Eltern ein komplettes Unifi-Netz plus Protect eingerichtet. Zentrale ist die UDM Pro, derzeit auf Version 3.2.12, Protect ist ebenfalls aktuell (Version 2.11.21.)
Die UDM Pro ist nicht mit einem Ubiquiti-Account verknüpft und dies würde ich auch gerne so belassen. Es gibt also ausschließlich lokale User.
Das Problem ist nun, dass die Protect-App auf den Android-Smartphones meiner Eltern lokal zwar prima funktioniert, über VPN (Wireguard) aber gar nicht.
Andere Ressourcen aus dem LAN sind über VPN ansprechbar, der Tunnel selbst funktioniert also.
Die Protect-App aber meldet, sobald sie nicht im LAN ist: "Network error / Connection zu local console lost"
Hat jemand hier Hinweise oder Tipps für mich?
-
Hallo Misux ,
vielleicht verstehe ich etwas falsch, aber warum meinst Du, Du benötigst IPv6 für Wireguard?
Wireguard funktioniert über beide Protokolle, auch DynDNS hat nichts prinzipiell mit IPv4 oder v6 zu tun.
Unabhängig davon ist es natürlich Mist, wenn IPv6 an Deinem Anschluss nicht stabil zur Verfügung steht.
-
Ich bitte die vielen Fragen zu entschuldigen.
Das ist gar nicht schlimm, dazu ist eine Community da.
Da ich mir das meiste autodidaktisch beibringe, bin ich für alles offen, was ich selbst machen kann solange es die Sicherheit und Funktionsfähigkeit des vorhandenen Netzes nicht beeinträchtigt.
Dieser Aspekt ist äußerst schwierig, denn Netzwerke sind zwar keine Raketentechnik, aber schon ein vermeintlich kleiner Fehler kann genau das, Sicherheit und/oder Funktionsfähigkeit massiv gefährden.
Gerade wenn man am Anfang steht, sollte man nicht am Produktiv-Netz eines Unternehmen basteln. Jeder fängt mal an klar, aber dann lieber am Heimnetzwerk oder an einem expliziten Testnetz in der Firma, an dem keine Produktivsysteme hängen.
Brauche ich ausser der Cloudkey und den AP's noch weitere Hardware ?
Die APs werden ausschließlich über PoE versorgt, das sollte natürlich sichergestellt sein. Dass Du eigentlich keinen CloudKey brauchst, habe ich ja oben schon geschrieben.
Sowohl DNS und DHCP laufen über unseren Windows Server. Sollte ich davon die Finger lassen
JA! DNS ist der wichtigste Baustein eines Active Directory, welches sicherlich bei Euch betrieben wird. Baust Du hier einen Fehler ein, war es das mit Euren Clients.
Ist das Sicherheitsrisiko hier wirklich so groß ? Welche Möglichkeiten hätte hier ein potenzieller Angreifer im Vergleich zum sauber getrennten Ganznetzwerk?
Das Risiko lässt sich von außen nicht bewerten, da ja niemand weiß, was Du mit dem Gästenetz konkret vorhast und was die sonstigen Rahmenbedingungen sind.
Unterschiede zu einem eigenen Subnetz (also zur sauberen Konfiguration):
- Das Gastnetz ist ausschließlich wireless, keine Einbindung von kabelgebundenen Geräten möglich
- Eingeloggte Gäste kennen den IP-Adressbereich des Firmennetzes
- Du musst Dich darauf verlassen, dass Ubiquiti die Trennung zuverlässig in Software durchführt - andernfalls wäre die Trennung viel "grundsätzlicher" und auch explizit über Firewallregeln zu konfigurieren
- Ein Logging ist meines Wissens nach nicht möglich
- IPv4-Adressen werden schneller knapp
- Das Client-Management im Windows Server wird unübersichtlicher
- Evtl. wird IPv6 zur Sicherheitslücke oder funktioniert pauschal gar nicht im Gastnetz
Darüber hinaus hast Du, wenn Du keinen Zugriff auf den Router hast, keine Möglichkeit, das Netzwerk bei Bedarf zu erweitern oder auch an dieser Stelle mal in Logs zu schauen, Debugging zu betreiben.
Daher möchte ich noch einmal explizit Deinen Enthusiasmus, Dein Engagement und Deine Lernbereitschaft loben, aber Dich trotzdem davor warnen, hier ohne professionelle Unterstützung fortzufahren.
-
Hallo BenD und willkommen in diesem Forum!
Ich blicke ehrlich gesagt nicht ganz durch Deine Raum- und geräte-Verteilung durch, hier würde vermutlich eine Skizze helfen. Ein paar grundsätzliche Dinge:
Ja, Kabelverbindungen sind WLAN grundsätzlich vorzuziehen und Du solltest, wenn Du eine größere Aktion im Haus startest, so viel Kupfer oder auch Glasfaser wie möglich in die Wände einbringen, selbst wenn Du manches davon heute noch nicht brauchst. Nimm bei Kupfer auf jeden Fall geschirmte (S/FTP) und mindestens Cat.7 (höhere Kategorien gehen natürlich immer).
Aktuellere FritzBoxen - selbst die 7490 zähle ich noch dazu - kannst Du nicht mehr als reines Modem betreiben, sie sind entweder Netzwerk-Client oder vollwertiger Router.
Der Modus "Netzwerk-Client" ist dann sinnvoll, wenn Du eine Fritzbox z.B. in einem Unifi-Netz als Telefonanlage betreiben willst. In diesem Modus ist allerdings das VDSL-Modem deaktiviert und die Box wird zwingend hinter den Unifi-Router geschaltet.
Wenn Du Deine Fritzbox als Router betreiben willst, benötigst Du grundsätzlich keinen Router von Ubiquiti und kannst dennoch deren APs und Switches einsetzen. Die dazu nötige Controller-Software kannst Du wahlweise auf einem PC, einem NAS oder auch einem RaspberryPi betreiben.
Wie Misux schon erwähnte, ist aber der "Reinbetrieb" bei Unifi das empfehlenswerte Szenario, weil nur dann alle Features zur Verfügung stehen und die zentrale Verwaltungsoberfläche ihre Stärken ausspielen kann.
Wenn Du einen Unifi-Router einsetzt, kannst Du ein Gerät mit integriertem Controller nehmen, sodass Du direkt alles nötige an Bord hast. In Frage kommen dann als Minimallösung das Cloud Gateway Ultra, als Maximallösung die UDM Pro oder UDM SE oder als Mittelweg der UDR. Vom UX (Unifi Express) würde ich aufgrund der schwachen Hardware abraten, IDS/IPS ist hiermit z.B. gar nicht möglich.
Einen Unifi-Router kannst Du prinzipiell hinter die Fritzbox setzen, hast dann allerdings ein Thema mit doppeltem NAT (dazu gibt es viele Beiträge hier im Board). Möglicherweise schränkt es Dich gar nicht groß ein, ansonsten besorge Dir ein VDSL-Modem (Draytek Vigor-Geräte sind gut) und nutze die Fritzbox wie oben erwähnt als Client hinter dem Router.
Generell zur Telefonie: Wenn IP-fähige Telefone vorhanden sind und lediglich der Bedarf zum "normalen" Telefonieren vorhanden ist, braucht es faktisch keine Fritzbox. SIP-Daten trägt man direkt im Telefon ein, schon ist alles fertig.
DECT-Repeater-Umgebungen, insbesondere von AVM, sind übrigens oftmals grausam für die Anrufer - frage mal bei Deinen Kontakten nach...
Besorge Dir einen PoE-Switch, damit alle APs und ggf. weitere Geräte mit Strom versorgt werden können.
Mein Ansatz wäre es auch immer, etwas mehr zu investieren und alles einmal "perfekt" zu machen. Man sollte es so betrachten, dass man ja für die nächsten 5-10 Jahre in seine IT-Infrastruktur investiert, da relativiert sich mancher Kostenfaktor. Geht natürlich nur, wenn genügend Budget vorhanden ist.
Ich hoffe, die Ansätze helfen Dir weiter, auch wenn Deine Frage nicht konkret beantwortet wird. Es sind mehrere Variablen zu bedenken und wenn Du für Dich genauer weißt, wohin Du willstm kannst Du ja wieder nachfragen.
-
Hallo TreueTomate und willkommen hier!
Wir helfen Dir gerne weiter, allerdings solltest Du Dir bewusst machen, dass Du für alles, was Du in der Firma tust, haftbar gemacht werden könntest.
Außerdem:
Ich bin intern für die IT und Digitalisierung zuständig.
in Verbindung mit
Leider ist Netzwerktechnik nicht meine Stärke.
und
Ich habe leider keinen direkten Zugriff auf den Lancom Router und den Windows Server.
sind denkbar schlechte Voraussetzungen. Bist Du sicher, dass Du diese Verantwortung wirklich tragen willst?
Zum Thema: Die U6-Pro sind prima AccessPoints, kann man machen. Bedenke, dass sie ausschließlich über PoE mit Strom versorgt werden.
Bei Unifi braucht es immer einen Controller, dieser wird auch oft als "Network App" bezeichnet. Ein "Cloud Key" ist so ein Controller als eigenständige Hardware. Diesen brauchst Du aus meiner Sicht aber nicht, denn Du kannst Dir die Network App auch als Windows- oder Linux-Anwendung installieren.
In der Network App oder alternativ im Cloud Key richtest Du alle benötigten SSIDs ein, unterstützt werden acht. Du brauchst vermutlich nur "internes Netz" und "Gastnetz".
Wie genau dies nun eingestellt wird, dazu findest Du hier haufenweise Anleitungen. Du solltest allerdings mit Sicherheit sagen können, welches System bei Euch im Netzwerk DHCP-Server ist.
Netzwerktechnisch wirklich sauber wäre das Ganze, wenn Du im Lancom all die Netze definierst, die dann auch durch die APs verwendet werden - aber an den kommst Du ja offenbar nicht dran.
Es wäre vermutlich sinnvoll, wenn Du weitere, möglichst konkrete Fragen stellst, dann können wir sicherlich noch einige Tipps geben.
Randnotiz: Von einem IT-Dienstleister, der mir nicht sämtliche Zugangsdaten für Geräte in meiner Firma zur Verfügung stellt, würde ich mich umgehend trennen.
-
Hallo Handgasfreund und willkommen in der Community!
Du schreibst ja leider nicht, um welchen Provider es genau geht, aber manche blockieren pauschal alle ihnen nicht bekannte MAC-Adressen. In diesem Fall müsstest Du die UDM Pro beim Provider freischalten lassen.
Funktioniert Deine Internetverbindung denn mit einer anderen Gerätekonstellation?
-
Ähm... Portweiterleitung Internet --> LAN? Keine gute Idee, aktiviere besser einen der VPN-Server auf der UDM SE und richte Deinem Kollegen einen Zugang ein.
LAN-Ressourcen würde ich niemals direkt aus dem Internet erreichbar machen.
