Beiträge von knolte

  • VLAN Isolation

    Hallo an alle. Ich habe mich die letzten Tage mit meinem Problem weiter beschäftigt und bin zu einer Lösung gekommen, die ich euch nicht vorenthalten möchte.

    Es war definitiv komplett mein Versagen / mein Fehler.

    Ich war noch im englischen Unifi Forum unterwegs, weil ich allein scheinbar zu doof bin und den Wald vor lauter Bäumen nicht gesehen habe.


    Lange Rede wenig Sinn. Mein Fehler lag in einer UNsauberen Portkonfiguration. Ich habe auf den getaggten Ports "Alle Zulassen" aktiviert gehabt und habe es nicht wahrgenommen. Auf dem angehängten Bild ist es "richtig", wenn man die VLANs ordentlich trennen will. So wollte ich es ja.


    Das einzige, wie ich mir diesen Fehler erklären kann, ist, das es in der alten Oberfläche damals anders war und ich es nicht gecheckt habe.


    Nun ja, sei es drum. Vielen Dank für eure Unterstützung und Geduld. Und ich bitte vielmals um Entschuldigung für diesen .... ja Anfängerfehler. Ich hätte besser meine Einstellungen prüfen müssen.

  • VLAN Isolation

    Hi nochmal. Eigentlich dachte ich, es wäre alles gesagt / geschrieben. Aber Unifi ist manchmal sehr komisch / eigenartig. Das ganze Problem ist ja (eigentlich) geklärt, ABER......


    Zitat von gierig

    .....IPV6.....an ?


    ? Deaktivier das mal auf deinen WIN Büchsen....

    Das hatte ich ja getan und die Isolierung funzte auch so wie man es erwartet. Nun habe ich natürlich, nachdem der Fehler geortet wurde, mein BackUp wieder eingespielt. Ich dachte mir, es ist doch doof, wenn ich bei jedem Gerät IPv6 ausschalten muss, damit die VLAN Isolation funktioniert. Bei manchen Geräten kann ich das im schlimmsten Fall auch gar nicht.


    Also bei den "Win Büchsen" IPv6 ein, bei Unifi IPv6 aus - alles reebootet - ihr ahnt es, die Win PCs (auch meine Linuxe) sehen sich über die VLAN Grenzen hinweg per IPv6.


    D.h. Unifi hat IPv6 wirklich so schlecht umgesetzt (?), dass das eine echte Lücke ergibt. Man muss auf allen Geräten (wenn überhaupt möglich) IPv6 deaktivieren!


    Vielleicht denke ich auch wieder falsch. Meine Erwartungshaltung ist, wenn ich im Controller IPv6 deaktiviere, dass dann auch kein IPv6 zur Verfügung steht. Aber da habe ich offensichtlich ein falsches Verständnis.


    gierig sagte dazu:

    "...

    Trotz IPv6 aus haben der Router aber LinkLocale IPv6 an dem VLAN Interface...


    Das ist suboptimal und würde ich als BUG bezeichnen weil er einen in falsche Sicherheit wiegt.


    Aktiviere IPv6 auf den VLAN (in UniFi) und es sollte auch so mit VLAN Isolation gehen.


    da haben wir dann wieder die Mangelhafte IPv6 Unterstützung bei Unifi."


    D.h. ich muss mich wohl doch früher als gewollt mit IPv6 auseinandersetzen. Denn wenn ich IPv6 aktiviere (in den VLANs) muss ich auch eine v6 Adresse vergeben und wie man meine Unwissenheit weiter oben nachlesen kann, wird das nicht mal eben schnell gehen.


    Die PCs bekomme ich einfach in den Griff, Android wird schon spannender, Google TV keine Plan, ob es da sowas gibt, UnRaid ist einstellbar, Synology auch.


    Letztlich ist es trotzdem sch..ße - ein Haufen Aufwand. Hier sollte Unifi schnellstens nachbessern.

  • VLAN Isolation

    Na super, immer dieses gefährliche Halb- bis gar nicht Wissen. :grinning_squinting_face: . Wie gesagt, ich hoffe ich brauche es noch lange nicht. Das mit dem Buch ist nen guter Tipp. Vielen dank.

  • VLAN Isolation

    Zitat von gierig
    WENN Ipv6 Global aktiviert ist hast du in JEDEM Vlan den

    Schalter um beide Protokolle zu konfigurieren und ein L3 Interface damit auf das Gateway zu bringen.

    NUR wenn Ipv6 auch an ist werden Blick regeln dafür eingebunden die greifen wenn "Port Isolation" bei ipv4

    eingeschaltet wurde. (wie gesagt das ist keine gute art das so verwirrend zu machen, aber UniFi und IPv6....)

    Ah ok. ich hatte global schon aus und damit habe ich es bei den VLAN Einstellungungen nicht mehr gesehen.


    Jetzt verstehe ich auch einen Post von dir gestern besser :face_with_rolling_eyes::grinning_face_with_smiling_eyes: . Oh man. Ändert leider nichts an der schlechten Umsetzung seitens Unifi, wie du gestern geschrieben hast, aber fürs Verständnis sehr hilfreich, auch bezüglich IPv6 in VLANS.


    Wobei ich mich davor hoffentlich noch lange drücken kann. :winking_face:


    Vielen Dank.

  • VLAN Isolation

    Zitat von Networker

    Das ist definitiv falsch. In jedem Subnetz gibt es Einstellungen für IPv6. Wenn man dort den Interface Type auf "None" stellt, wird IPv6 nicht benutzt.

    Hi, kannst du das näher beschreiben, wo das sein soll. Ich habe zwei Screenshots gepostet. Der erste ist von einem VLAN, da sehe ich nichts von Interface Type oder IPv6.

    Der zweite zeigt die globalen Netzwerkeinstellungen, wo ich nur IPv6 an oder aus schalten kann, was dann aber für alle VLANs gilt.


    Hat Unifi das ggf. geändert? Ich habe die neuste Appversion v(.1.127.


    Danke.

    Ich meine auch, was soll das bei den VLAN Einstellungen? Wenn ich eine IPv4 Adressraum vergebe, warum sollte IPv6 dann aktiv sein.


    Gibt es bei IPv6 überhaupt sowas wie VLANS? Kenne mich damit überhaupt nicht aus, ausser das ich weiss, das jedes Device eine einzigartige Adresse hat (und die immer gleich ist?).



    Appversion v 8.1.127 (vertippt)

  • VLAN Isolation

    Um meinen initialen Post / Anfrage abzuschliessen:


    Ich hatte ja bei der Konfiguration meinerseits zu Beginn die neue Einstellung "Netzwerk isolieren", welche jetzt seitens Unifi, bei Netzwerkerstellung, zur Verfügung steht, gewählt.


    Diese funktioniert ebenfalls und trennt die VLANs sicher voneinander ab. Ich habe nochmal alle FW Einstellungen gelöscht und habe bei den VLANs den Haken Netzwerk isolieren gesetzt. So kann man sich das anlegen einiger FW Regeln sparen (geschieht dann automatisch durch Unifi). Es lag auch hier an der IPv6 Einstellung.


    Bei der Einstellung "L3-Netzwerkisolierung (ACL)", bin ich vorsichtig. Die Funktioniert zwar, aber eingeschränt. Hier ist es abhängig davon was man benutzt, welche Switche, UDM, USG usw.. Unifi weisst darauf auch hin. D.h. wer die GW anderer VLANs blocken will, der sollte die Regeln im Tutorial dafür anwenden.


    Ich danke allen, die versucht habe das Problem zu lösen.

    IPv6 kann ich nicht einzeln in den VLANs de- aktivieren, geht nur global.


    nicht mal in der alten oberfläche, die wollte ich eigentlich auch weiterhin nutzen, aber schaut mal, hier geht nix mehr in den FW Einstellungen (bei der neuesten App Version).



    zumindest auf der UDM SE und USG 4p. kann nicht mal mehr beim regel erstellen zw. lan in, lan lokal etc. wählen.


    die alte Oberfläche wird wohl bald aussterben.

  • VLAN Isolation

    ok, ja das habe ich an. habe es mal bei unifi aus gemacht. test kommt gleich.

    Hey, du bist der, auf den ich gewartet habe. VIELEN DANK.


    (Auch wenn wir wohl erstmal aneinander vorbeigeredet haben :upside_down_face: )

    1. IPv6 bei Unifi (global) aus -> ging weiterhin per SMB
    2. Bei beiden Rechnern in den Adapteroptionen der Netzwerkarte IPv6 ausgeschaltet. Dann Unifi neugestartet, PCs neugestartet. -> Es ist per SMB geblockt!

    ENDLICH. Und ich hatte Recht, der Fehler lag bei mir :face_with_rolling_eyes: . Aber ganz ehrlich, darauf wäre ich nicht gekommen, dass die per IPv6 miteinander "quatschen". Der Hammer.

  • VLAN Isolation

    Hey, danke.


    Aber ich habe die Regel doch so umgesetzt, siehe bildl.


    Ich habe lediglich nicht die Gruppe angelegt. Die ist auch nicht wichtig, schon gar nicht bei zwei vlans.


    Und das die regel funktioniert siehst du doch im Hintergrund im Browser. Ich kann die 192.168.20.1 NICHT aufrufen.


    Ich versichere dir, dass der Ping (Bild kommt nochmals), nicht durchgeht.


    Aber du siehst auch, dass ich per smb / Netzwerkwerfreigabe den anderen PC erreiche.

    hier nochmals das Bild:


    GW NICHT erreichbar. :check_mark_button:


    PING wird geblockt. :check_mark_button:


    SMB funktioniert. :check_mark_button:

  • VLAN Isolation

    Zitat von Naichbindas

    Noch einmal LAN IN, LAN Out und LAN LOKAL sind keine Prioritäten sondern eigenständige Regeln.

    Du musst Regeln für die GATAWAY`S auch in LAN Lokal sperren, das ist ein eigenständiger Vorgang.

    Die Prioritäten sind und werden der Reihenfolge nach abgearbeitet in jeder einzelnen Rubrik.

    Ja das ist richtig. Die Lanloka werden aber NACH den Lan in gesetzt!


    Und im Tutorial wird die klar abgegrenzt von einander wie es hier steht.


    Wir haben mit Regel 3 die Kommunikation der Subnetze untereinander eingeschränkt. Geräte können sich über die Subnetz-Grenzen nicht sehen und auch nicht erreichen.


    Die Gateways der Subnetze sind jedoch noch aus den anderen Subnetze erreichbar.

    ABER bevor wir ewig diskutieren. Ich füge die GW Regel hinzu und teste.

    Regel erstellt:


    So sieht es auf dem rechner aus:

    Wie du siehst: GW kann nicht erreicht werden. Per SMB kann ich trotzdem auf den anderen Rechner zugreifen!

    Und hier auch nochmal klar kommuniziert!


    DER Ping wird GEBLOCKT -> Super.


    ABER


    SMB wird nicht geblockt.


    Ich denke das problem liegt nicht an der Regel selbst.

  • VLAN Isolation

    So war das nicht gemeint! Nochmals sorry.


    Schau mal:


    Zitat von Networker

    Kann man aus der Ferne und ohne Screenshots nicht wirklich beurteilen. LAN Out ist auf jeden Fall falsch.

    Außerdem weißt Du sicher selbst: Bei Firewall-Regeln reicht ein falsches Zeichen und sie bewirkt nichts oder sogar das Gegenteil. :smiling_face:


    Auch für Dich gilt natürlich: Erstelle Blockregeln Any-->Any und baue Dir einen Satz an Allow-Regeln obendrauf, wenn Dir die Logik lieber ist.

    Und das aus dem Tutorial:


    Die nachfolgende Regel unterbindet die Kommunikation zwischen den Subnetzen (VLAN’S).


    Regel 3 „block all communication between VLANs“


    SETTINGS>Routing & Firewall>FIREWALL>LAN IN>CREATE NEW RULE


    Name>>>block all communication between VLANs


    Action>>>Drop


    Source Typ>>>Address/Port Group


    IPv4 Address Group>>>all private IP-ranges RFC1918


    Destination Type>>>Address/Port Group


    IPv4 Adress Group>>>all private IP-ranges RFC1918


    >>mit Save abspeichern<<

    Ich kann die Kommunikation unterbinden und trotzdem die Gateways erreichen. oder wie? Habe ich einen Denkfehler :thinking_face:

    Der Vollständigkeit halber:


    Das steht im Tutorial noch dazu:


    Wir haben mit Regel 3 die Kommunikation der Subnetze untereinander eingeschränkt. Geräte können sich über die Subnetz-Grenzen nicht sehen und auch nicht erreichen.


    Die Gateways der Subnetze sind jedoch noch aus den anderen Subnetze erreichbar.


    Beispiel: Von einem Gerät im LAN IoT (10.10.2.x) ist das Gateway des LAN 1 -Admin-LAN- (10.10.1.1) erreichbar. Somit auch USG oder UDM.


    Das wollen wir im nächsten Schritt unterbinden.


    Dazu definieren wir weitere Gruppen.

  • VLAN Isolation

    Hi danke für deine Antwort. Ich denke, was ich jetzt schreibe, werden auch andere bestätigen, es MUSS LAN IN sein! So ist es auch im Tutorial beschrieben. Weiterhin ist es so von anderen, auch You Tubern beschrieben. Ich kann die Funtion der Regel mit dem Ping Befehl auch bestätigen. Habe ich die Regeln nicht geht auch der Ping durch.


    Aslo kann das ganze nicht ganz so verkehrt sein. Weiter ober in meinen posts habe ich das auch gemacht mit Lan local. Schau mal was daruf geantwortet wurde. Im Tutorial wird lan lokal nur für die Gateways eingesetzt.


    Aber ich probiere es. melde es gleich.

    geht auch nicht. ist ja auch logisch, die lan local regel haben eine niedrigere Prio wie lan in. und unfi erstellt ja schon unveränderbare regeln, das die lans sich sehen.

    Firewall-Regeln____old!!!! by EJ


    wo siehst du hier etwas zur Auswahl?

    Sorry, aber ich glaube du kennst unifi nicht. Ich kann nur MEINE Regeln bearbeiten. Die traffic regel sind von unifi und man kann die nicht bearbeiten.

  • VLAN Isolation

    Sorry für die vielen posts, aber ich probiere ein paar sachen aus. Ist der letzte, dann warte ich, ob ihr ideen habt.


    Ich habe mal

    - die 1. Regel (allow established/related sessions) deaktiviert -> keine Auswirkungen

    - die PCs direkt an die UDM bei gleichen VLANs auf den Ports wie am Switch -> keine Auswirkungen

    - Unifi HW komplett aus wieder an -> nichts verändert

    - IP Gruppe um 192.168.0.0/24 erweitert (ja is Quatsch) -> nichts verändert.


    Ich kann machen was ich will, per SMB können die PCs "Quatschen".


    Ich sehe noch 3 Möglichkeiten

    1. Ich bin blind!

    2. Ich bin dumm und verstehe gar nichts.

    3. Unifi hat ein Problem.


    So ich warte und mache was anderes.

  • VLAN Isolation

    Vielleicht könnte jemand das ganze bei sich mal ausprobieren, die diese Blocks haben. ABER bitte denkt daran


    - eure SW Firewalls zu deaktivieren

    - 2 PC mit entsprechenden Netzwerk Freigaben in unterschiedlichen VLANs (mit Block Regel)

    - NICHT NUR den Ping testen, der ist bei mir auch geblockt, Es soll ja schliesslich gar kein Protokoll durchkommen.


    Vielen Dank.

  • VLAN Isolation

    Joa, da bin ich wieder. Ich habe das Tutorial umgesetzt, nicht bis zum Ende, aber so das die VLANS isoliert sein sollten. Und was soll ich sagen, ich kann weiterhin per SMB über die VLAN Grenzen hinweg von einem PC auf den anderen und anders herum zugreifen.


    Was ist hier los. :thinking_face::upside_down_face:


    Die erstellten Regeln -> Übersicht


    Die IP Gruppe


    Die "Erlauben" - Regel


    Die "Erlauben" -Regel von default / admin zu VLANs


    Die "Verboten" -Regel VLAN 1 zu VLAN 2



    Ehrlich, ich bin maximal verwirrt.

  • VLAN Isolation

    Beide PCs in unterschiedlichen VLANs


    Alle FW Regeln auf Standard. Ausser die eine, die ich später erstellt habe, weil die "Netzwerkisolation" seitens Unifi nur bedingt funktioniert.


    Globale Netzwerkeinstellungen.


    Das default Netzwerk. hier ist die UDM und der Switch drin.


    Das VLAN 1


    Das VLAN 2


    Die selbst erstellt Regel, um die beiden VLANs an der Kommunikation untereinander zu hindern (SMB).


    PC 1 mit ipconfig + Ping sowie der Zugriff per SMB auf PC 2. Ping wird geblockt, SMB Zugriff möglich.


    PC 2 mit demselben wie für PC 1 (Bild davor)


    PC 1 SW Firewall -> alles deaktiviert.


    PC 2 SW Firewall -> alles deaktiviert.

  • VLAN Isolation

    Hallo, allen einen schönen Feiertag. Wie angedroht kommen gleich die Screenshots. Noch schnell antworten auf:

    Zitat von DoPe

    1. Also deine beiden Win10 PCs können sich nicht anpingen, weil die Windowsfirewall per Default keinen Ping aus anderen Subnetzen erlaubt.

    2. Du kommst auf die Gateway IPs, weil die in der Firewall unter LAN_LOCAL laufen und LAN_IN da keine Rolle spielt.


    Im Wiki steht wie es funktioniert.

    Zu 1.: Die habe ich natürlich ausgeschaltet. Das habe ich auch in den Screenshots mit abfotografiert. Wenn ich die HW Firewall teste, ist es für mich selbstverständlich, dass ich die SW Firewall deaktiviere. Ist doch sonst wohl auch recht sinnlos der Test.


    Zu 2.: Ja klar. Ich habe es der Vollständigkeit wegen aufgelistet UND weil ich die L3-Netzwerkisolierung (ACL) testen wollte. Die funktioniert sogar, und das ohne (automatisch) angelegte LAN Local Regel. Aber egal, ist nicht das Thema, aber nettes Future.



    Also im nächsten Post bringe ich die Screenshots, in der Hoffnung, dass jemand Zeit und Lust hat sich das anzuschauen und Feedback zu geben.


    Ich werde anschliessend ein Ticket bei Unifi eröffnen.


    Anschliessend werde ich das Tutorial umsetzen.


    Dann gibt es von meiner Seite Feedback, ob die FW Regeln im Tutorial bei mir funktionieren. (Was sie eigentlich sicher tun sollten.)

  • VLAN Isolation

    Zitat von gierig

    Bei gehts. WAS hast du sonst für Regeln die davor stehen und die Kommunikation schon erlauben ?

    Keine, alles auf Standard. keine weitere Regel oder sonst was.


    (Habe das Spiel, wie ich schrieb, schon länger. Hatte alles so konfiguriert wie ich wollte. Dann ging das Testing los und die "Fehler" traten auf. Ich dachte ich habe was falsch gemacht (was ich weiterhin nicht ausschliesse).

    Also (BackUp) Factory Reset, kleine Testumgebung anlegen, praktisch alles auf Standard / Out of the Box belassen, naja der Rest steht oben.

  • VLAN Isolation

    Zitat von Networker

    Wie gesagt, es ist sehr gut möglich, dass dieses Feature nicht funktioniert wie es sollte. Um das final zu klären solltest Du aber mit Ubiquiti Kontakt aufnehmen und denen Logs schicken.

    Ja, das mache ich, du hast Recht.


    Zitat von Networker

    Kann man aus der Ferne und ohne Screenshots nicht wirklich beurteilen. LAN Out ist auf jeden Fall falsch.

    Außerdem weißt Du sicher selbst: Bei Firewall-Regeln reicht ein falsches Zeichen und sie bewirkt nichts oder sogar das Gegenteil. :smiling_face:

    Screenshots kommen. Werde das Donnerstag posten. Hatte gehofft, dass das bekannt ist und ich doof, deshalb wollte ich mal anfragen (weil es das Thema auch nicht wirklich gibt).


    Bezüglich LAN OUT, ja natürlich hast du Recht, das war pure Verzweiflung -> Das habe ich geschrieben:


    Achso Firewall. Die VLAN Isolation legt natürlich Regel an, aber scheinen nicht zu funktionieren. Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

    Ha - geht nicht

    PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert .


    Also, für Heute vielen Dank. Ich werde am Donnerstag meine Einstellungen posten, ein Ticket bei Unifi eröffenen und ich werde die Unifi "VLAN Isolation" und "L3-Netzwerkisolierung (ACL)" deaktivieren und somit euer Toturial nachbilden.

    Ich bin gespannt . . . und wenn du/ihr Recht habt, dann weine ich für Unifi :winking_face:

  • VLAN Isolation

    Zitat von knolte

    Habe selber eine FW Regel erstellt LAN IN von 192.168.20.0/24 nach 192.168.10.0/24, Drop, Protokoll alle, neu/erstellt/entsprechung ausgewählt.

    Ha - geht nicht :angry_face:

    PCs neugestartet, Unifi neugestartet, LAN OUT probiert - egal wie, per SMB Netzwerkfreigaben sehen die PCs sich über die VLAN Grenzen hinweg. Aber die Pings werden blockiert :face_with_rolling_eyes: .

    Fällt mir gerade ein. Warum geht den diese Regel nicht. Die ist zwar nicht "global", aber sie untersagt doch definitiv die Kommunikation zw. den zwei VLANS.

  • VLAN Isolation

    Hey Networker, vielen Dank. Ich hatte gehofft, dass ich die FW Regeln nicht alle benötige und es mit einem Häckchen lösen kann :grinning_face_with_smiling_eyes: . Also ich werde (wie im Tutorial beschrieben) mal die "globale" FW Regel (RFC1918) + IP-Group) einrichten. Heute schaffe ich das nicht mehr, aber hey, wozu sind Feiertage da :thinking_face::upside_down_face::winking_face: .


    Aber jetzt, da du es schreibst, eigentlich hätte ich sowas in den FW Regeln von Unifi erwartet, ich meine es wird ja eine Regel angelegt, wenn VLAN Isolation ausgewählt wird.


    Trotzdem schade, dass Unifi bei solchen Basics noch immer kämpft (scheinbar).


    Ok ich melde mich am Donnerstag wieder, wenn ihr hoffentlich feiern seid.