Hi, danke für Dein Feedback. Da man die IP des USG4Pro nicht ändern soll - habe ich zumindest so gelesen - liegt es leider im gleichen Netzt, wie die Clients, NAS, DNS usw.. Ich kann ja mal nachher einen Netzwerkbereich in eine Gruppe stecken und dann die Regel via Gruppen erstellen. Am besten auf LAN Eingehend oder LAN Ausgehen?
Beiträge von PauloPinto
-
-
PPS: untereinander können keine Clients erreicht werden, habe mal mein Handy und nen alten Rechner zur Hilfe genommen. Aber selbst wenn ich explizit eine Regel erstelle, dass *.*.*.1 Lan Ausgehend und Eingehend für Wifi Gäste verboten ist, kann mein Handy das Gateway aus Firma1 erreichen. Hardware ist zwar die selbe, aber ich hatte zumindest erwartet, das die IP gesperrt wird.
-
Moin zsuammen,
danke für Eure Antworten und Tipps.
....Wie hast Du denn das Netz, in dem der VPN-Tunnel endet, behandelt? Welche Regel gilt dort?....
Da ich dieses Netzwerk nicht angezeigt bekomme, wenn ich unter LAN Eingehend eine Regel erstelle, habe ich das via Gruppen getan. Ich habe eine Gruppe VPN angelegt und das Netzt dort angegeben. Danach konnte ich unter LAN Eingehend die Firewall Regel setzten, dass VPN Gruppe nicht auf Firma2 darf und Firma2 nicht in das Netz der Gruppe VPN. Mein Rechner der mit VPN verbunden war, konnte aber fleissig via Ping das jeweilige Gateway erreichen. Ich bin deshalb davon ausgegangen, dass die Regel nicht greift. Clients habe ich ja noch nicht im jeweiligen Netz.
PS:habe festgestellt, dass die *.*.*.1 von allen Netzen via Ping erreichbar ist. Meinen Client via VPN erreiche ich aus dem Netz Firma2 nicht. Grundsätzlich scheinen die FW Regeln zu funktionieren. Ich stöbere mal in der von BlackSpy verlinkten Anleitung. Die Gatewys möchte ich nämlich ebenfalls nicht erreichbar haben.
-
Moin Kollegen,
meine Problem hat quasi 2 Kapitel:
irgendwie habe ich ein Verständnisproblem mit der FW Regel der USG4P. Ich habe verschiedene Netze angelegt und möchte nun verhindern, dass einige dieser Netze auf andere zugreifen dürfen. Grundsätzlich ja kein Thema, in der USG4P gibt es "aber" LAN eingehend und LAN ausgehen und das VPN Netzwerk kann über diese Regeln nicht ausgewählt werden.
Teil 1:
Kurz zum Ziel: Ich habe verschiedene Netze angelegt, wie z.B. Gäste WLAN, Firma1,Firma2,FIrma3, VPN Netz. Nun möchte ich, dass Firma1+VPN User untereinander erreichbar ist, aber die beiden Netze nicht auf Firma2 und Firma3 zugreifen kann. Ebenfalls soll Firma2 nicht auf Firma1+VPN und Firma3 zugreifen und Firma 3 nicht auf Firma1+VPN und Firma 2 zugreifen. Kurzum die Netze untereinander.
Habe unter LAN eingehend nun für jedes Netz eine Regel erstellt. Also Firma1 auf Firma2 = alles verwerfen, Firma2 auf Firma1 = alles verwerfen usw. Da das VPN Netz nicht im dropdown Menü auszuwählen ist, habe ich eine Gruppe erstellt und dort das VLAN Netz eingetragen und darüber dann die Regel erstelt.
Mein PC (klemmt an der FB lokales LAN) via VPN mit der USG4 verbunden (die USG4P hängt mit WAN an der FB weil noch nicht produktiv am finalen Ort aufgestellt) und ich kann alle Netze anpingen, trotz der FW Regeln. Ich mache also irgend etwas falsch, komme aber nicht drauf
Teil2 :
Hab auch eine Verständnisfrage. Wenn ich im LAN Eingehend Einstelle - alles verbieten von Firma1 zu Firma2 und von Firma2 zu Firma1, spare ich mir dann nicht den Eintrag in LAN Ausgehend? Irgendwie habe ich noch ein Verständnisproblem bezüglich LAN Eingehen und LAN Ausgehen. Ich verstehe das so, dass LAN Eingehend bezug auf das Ziel nimmt. Also wenn ich Einstelle von Firma1 zu Firma2 alles verwerfen, gilt das für LAN Eingehend Firma2, oder?
Ich würde dann der Übersicht halber nur LAN eingehend die Regel eintragen, also alles verwerfen von Firma1 zu Firma2 und von Firma2 zu Firma1, damit sollte ich doch den Zugriff beide Netze untereinande unterbinden können?!
Bitte bringt etwas Licht in den dunklen Tunnel
Gruß
Euer Paulo
-
So, kurzes Update.
Danke Eurer Hinweise habe ich mit allen Parteien gesprochen und es wurde sich für die Version entschieden, dass Firma 1+2 und Firma 3 je einen eigenen I-Net Anschluss nutzen. Somit habe ich aktuell kein VPN Thema mehr und kann das USG 4 Pro als VPN Entpunkt nutzen. Wie sich rausstelle wird das doch über einen Dyndns Anbieter gemacht, aktuell.
Dann werde ich mich jetzt mal an die Konfiguration machen, mal sehen wie das läuft
Danke für Eure Hilfe!
-
Danke Samhain für Deine ausführliche Antwort. Ich muss das wohl noch ein zweites Mal lesen, um alles zuordnen zu können :). Bin wie gesagt kein Netzer.
Ich hatte heute noch einen Termin mit allen Beteiligten und das Thema angesprochen. Wenn der Provider 3x Glasfaser legen kann, wird es separate I-Net Anschlüsse geben, 1x der bestehende für Firma1 1x für Firma2 und 1x für den in Kürze zu vermietenden Anbau der nun Baulich fertiggestellt wurde.
Dann bräuchte ich doch nur meine USG 4 Pro an das Glasfaser Modem stecken. Lan1 meinen Unifi Switch Firma1 und LAN2 die Fritzbox Firma2 anstecken? Oder besser auf dem Unifi Switch ein VLAN nur mit Zugang zum Internet und da die Fritzboxx rein? Die brauchen nur einen reinen Anschluss ins Internet für Updates der Software, mehr nicht. Die Systeme werden von den Usern der Firma1 mit benutzt.
-
Danke BlackSpy und Samhain !!!
Dann hatte ich mir das doch leichter vorgestellt und der USG mehr zugetraut. Mir wäre auch am liebsten, wenn Firma 1 und Firma3 einen eigenen Anschluß bekommt, birgt aber politische Stolpersteine
.Die VPN Router mit VLAN Funktion Variante klingt nach einem guten Lösungsansatz.
Aktuell ist auch so, dass der VPN Router je Firma einen "WAN Port" bereitstellt und der jeweils ein Port an einen Switch pro Firma geht. Das Ding ist halt nur Uralt und überfordert.
1. Welche Dienste nutzen die drei Firmen (gemeinsam/getrennt)?
gemeinsam:
das Internet und die lokal installierte Telefonanalagfe. Diese ist via einem ISDN Umwandler? angeschlossen.
Firma 1 und 3 VPN jeweils für Ihr eigenes Netz.
Firma 1 und 2 Drucken via Drucker mit 2 separraten Netzwerkkarten
getrennt:
lokale Netzwerk
2. Welchen Anspruch gibt es bzgl. Verfügbarkeit (insbes. Bandbreite, QoS usw.)?
Firma 1: Internet (Surfen, Mails aus O365 via lokal installiertem Client abrufen) + VPN
Firma2: Internet
Firma3: Internet + VPN
3. Du schreibst "Firma 2 möchte nur eine FB anklemmen". Wozu?
Zulieferer, der ein eigenes lokales Netz inkl. Datenbank betreibt. Also Internet -> Fritzbox -> Switch -> Rechner. Die brauchen nur Zugriff auf das Internet um "nach Haus zu telefonieren". Kein VPN etc. nötig
4. Firma 3: Welche UseCase bzgl. VPN Verbindungen gibt es? Geht es hier um einen sicheren BreakIn oder .... ?
ist der Hauptnutzer mit ~20 Usern; Internetzugang und VPN wird benötigt. Firmendaten liegen lokal im Netz . Z.B. sollen/wollen Außendienstmitarbeiter/Chefs von unterwegs via VPN auf Firmendaten zugreifen können bzw. diese im Netz des HQ zur weiteren Bearbeitung ablegen können.
-
Moin, Danke! Gut zu wissen, wie sich die USG verhält. Da ich selbst für Firma1 VPN benötige fällt der Workaround mit der Fritzbox dann weg. Dann mache ich mich mal auf die Suche nach Infos für das Site2Site VPN mit ner AVM.
Verschiedene VPNs kann ich aber anlegen oder? Also das Firma3 via Site2Site VPN nur auf LAN Port 10 geroutet wird? VPN für Firma1 soll auf alle anderen Ports zugreifen können.
-
OK, danke! Dann kann ich die AVM ja weg lassen und muss mir da weiter keinen Kopf machen.
Was meinst Du zu dem Thema der separaten LAN Port, worüber dann die Site2Site laufen soll?
-
Hi BlackSpy,
danke für Deine Antwort!
Aktuell ist es nur eine 300Mbit Glasfaserleitung. Aber gut dass Du das sagst, da hatte ich gar nicht drauf geachtet.
Ich brauche 1x Site2Site zu einer AVM Fritzbox, geht das? Alle anderen sollen einen VPN Client nutzen. Ich hatte gesehen, dass das wohl ein gängiger Weg ist, über die USG einen VPN Tunnel vom z.B. Notebook zu öffnen.
Die IP ist eine feste Business IP vom Anbieter. DynDns ist also nicht notwendig.
PS: könnte ich anstelle Site2Site nicht einfach ne zweite Fritzbox nach der USG+Switch setzen, also für Firma2? Port für das Site2Site Fritz VPN müsste ich dann ja nur auf der USG an den LAN Port weiterleiten, wo die AVM hängt?
-
Moin zusammen,
habe „leider“ eine größere Baustelle und wollte Eure Meinungen dazu hören. Vielleicht habt Ihr ja auch ein paar Tipps um Stolpersteine zu vermeiden
. Bin zwar IT´ler aber kein Netzer und habe vorher noch keinen Kontakt mit den Ubiquiti Geräten gehabt.Das Umfeld ist wie folgt:
3 Firmen in einem Gebäude, gehen über 1 Glasfaserleitung ins Internet. Sie teilen sich auch einen Schrank mit Patchfeldern, Switchen, Telefonanalage etc. Aktuell ist es so: Glasfaser --> VPN Router mit 4 Ports --> je 1 LAN Kabel auf je einen Switch für Firma 1,2,3. zukünftig wollte ich diesen VPN Router durch die USG ersetzen.
Firma 1 (mein bester Freund) wird Netzwerkseitig inkl. Domäne Exchange usw. komplett umgebaut. Dafür habe ich unter anderem eine USG-PRO-4, KeyCloud gen2 Plus, Switch 48 - US-48 (ohne POE), 2x UAP-AC-LITE, NAS. gekauft. Alter Exchange Und Windows Server kommen weg. NAS übernimmt Filer, Backup und AD Sync zum Azure AD, Exchange geht zu Microsoft 365 in die Cloud, ca. 20 Clients vor Ort 3 in einer Niederlassung, VPN für 8 Clients notwendig, WLAN intern und für Gäste, Drucken usw natürlich auch
Firma 2 (Dienstleister) braucht nur Internetzugang, um seine Fritzbox dort anzuklemmen. Dahinter sind dann seine Clients und Datenbanken ca. 15 Clients
Firma 3 2 Clients vor Ort + 1 Niederlassung mit 2 Clients. VPN für 4 Clients notwendig.
Im Netz der Firma 2 und 3 kann ich nichts an der IT verändern, das machen eigene Admins, die aber wenig Lust auf Veränderung haben
. Alle 3 Netze sollen getrennt voneinander sein, dass wollte ich per USG regeln. Firma 2 und 3 wollte ich je einen Port geben inkl. DHCP für deren Netzwerkbereich. Also quasi --> Glasfaser --> USG --> Switch 1+2+3 (einer pro Firma)Probleme Firma 3: in einer Niederlassung steht eine Frittzbox, die aktuell eine VPN Verbindung zum VPN Router (Site2Site) des Hauptquartiers der Firmen 1,2,3 aufgebaut hat. Darüber kommen 2 Mitarbeiter der Firma 3 in das Netz von Firma 3. Kann man eine Site2Site VPN Verbindung mit der Fritzbox einrichten, wenn ja wie?
Mein Plan war es, dass über den VPN Client zu regeln. Leider darf aber auf beiden Rechnern der Neiderlassung nichts außerhalb des Core Images installiert werden. Den alten VPN Router wollte ich aber auch nicht stehen lassen (stürzt gern mal ab) oder gar ne neue Fritzbox zwischen Glasfaseranschluss und USG stellen.
Firma 2: wollte ich ebenfalls einen eigenen LAN Anschluss am Switch spendieren inkl. DHCP. Dort kommt deren Fritzbox dran, fertig. Funktioniert jetzt ähnlich via Glasfaser --> VPN Router --> Fritzbox. Hier muss auch nix via VPN rein oder so
Firma 1 wird dann alle Unifi Geräte inkl. des 48er Switch nutzen. Dort werden alle genutzten LAN Dosen drauf gepatched. Zusätzlich 2 UAP-AC-LITE für WLAN intern, also mit Zugriff auf Filer, Drucker und Co und reines Internet für Gäste ohne Zugriff auf interne Ressourcen. O365, NAS, Datensicherung, Rechner in die neue Domäne heben usw kommt dann natürlich auch noch auf mich zu.
Passt das so von den Komponenten? Oder habe ich hier einen Denkfehler und das funktioniert so nicht?
Einer der wichtigsten Fragen aktuell ist auch, kann man zuverlässig eine Fritzbox über das Internet via Site2Site mit der USG verbinden?! Oder muss ich dann doch nen VPN Router ggf. Fritzbox und doppeltes NAT einplanen?
Im Voraus vielen Dank und Sorry für den ganzen Text
Gruß Paulo
