Beiträge von Bordi

Multikulti DNS war und ist an. Fragt sich was du mit "LAN IN Regel richtig anpassen" meinst?

Ich habs mal so versucht..

2000    drop    all    Network: GUEST/Type: IPv4 Subnet    Groups:HTTPS    LAN in

..dachte das müsste passen.

Hat aber nicht funktioniert.

Hm.. Verstehe...

Ich hab offenbar bei der Zugriffskontrolle (Gaststeuerung) mein LAN für den Zugriff vor der Anmeldung angegeben. Scheint als wäre dies das Problem. Egal welche Regel ich auf der Firewall setze, (drop HTTP auf LAN in usw), sie greifen nicht. Ursprünglich wollte ich noch einen Drucker aus dem LAN für die Gäste frei geben, aber so funktioniert das wohl nicht.

Nö. Weshalb bei LAN IN? Ich hab das bei Geust IN versucht, hat aber nicht geklappt.

Hallo

Wie ich vor einiger Zeit bemerkte ist das LAN mit den Standardregeln nicht vor Gästen aus dem Gästenetzwerk sicher. Ich habe mich versucht auf Youtube schlau zu machen, mitunter auch bei IDomix. Alle sagen Gäste wäre isoliert, "da ginge gar nix". Zumindest bei mir stimmt das aber nicht. Mit den IP's lässt sich's als Gast noch Prima durch's LAN surfen. Ich habe schon selbst einige Block-Regeln versucht, allerdings führen die immer dazu dass sich Gäste nicht-mehr anmelden können. Kennt sich damit jemand aus? Ich finde die Firewall irgendwie verwirrend, pfSense war da einfacher.

EDIT//

LAN ist bei mir ein 10/25er Subnet,

Guest hingegen 172/27

..die beiden sind also nicht "verwandt" oder so.

Äm ja, der pihole ist sein eigener DNS server (mit ipvç und IPv6 localhost als DNS). Doch der ist nur für's LAN zuständig. Jeder Client im LAN bekommt IP und DNS über DHCP vom PiHole. Auch welche die fest vergeben sind. Nur mit dem Gästenetzwerk hat dass nichts zu tun. Das Gästenetzwerk ist durch eine 172.16.x.x-IP Range und VLAN vom LAN getrennt, und erhält die IPv4 und IPv6 DNS Server ebenfalls über DHCP, allerdings nutze ich dafür Dnsmasq vom Unifi Controller (unter gateway). Als DNS für das Gästenetzwerk sind derzeit die von AdGuard eingetragen.

Im Unifi Controller unter Internet/WAN Netzwerk habe ich hingegen nichts eingetragen. Was zu folge hat das der Unifi Gateway die DNS Server vom Anbieter verwendet. M.M.n dürfte es eigentlich nicht sein das diese DNS Server nun für alles verwendet werden, muss aber zugeben dass es derzeit so aussieht. Könnte dass sein?

Weil ich meine eigenen erstellen will, und wei zumindest die eine den Internetzugang mittels V6 blockiert.

Ja, weshalb?

Ja, den Pihole nutze ich für LAN. Der ist da auch DNS Revolver und DHCP. Für Gäste ist AdGuard (nur die DNS) , und für DHCP nutze ich den Controller (UCK). ..und dann ich noch der USG: der steht komplett auf DHCP, bietet aber selbst keinen Service an (DHCP aus). DNS für Internet sind vom Anbieter übernommen. Ich hatte da früher localhost drin, das gab für die Gäste aber Probleme beim einloggen.

Hi

Bei mir findet sich unter Firewall > Guest v6 eine vom System erstellte Firewall-regel die ich gerne löschen würde. Weiß jemand wie man das macht?

Hallo Zusammen

Ich habe das Problem dass die unter Netzwerk eingetragenen DNS Server (mit Filter) für's nicht filtern. Wenn ich mich als Gast einlogge kann ich alles öffnen und abspielen was eigentlich abgesichert sein sollte. Kenn jemand das Problem?

Mir ist nicht ganz klar wo der beipass enstehen könnte. Ich dachte auch zuerst das es am Server liegen könnte, aaber mittlerweile bin ich auch mit CleanBrowsing, UltraDNS und AdGuard durch. Bei allen das selbe; 0% Schutz.

Mich nervt eigentlich mehr das der Admin auf den 8-Gbit Schnittstellen ohne PoE auskommen muss, und bei den 10Gbiters nicht die Transcievers seiner Wahl setzen kann. Soll ja angeblich auch welche geben die ohne Medienkonverter auskommen möchten.^^

Zitat von don_stephano

Die Dream Machine hat ja schon den ein oder anderen Softwareseitigen Nachteil.

Die da währen?

Sorry für die hohle Frage, hab mich noch nicht all zu sehr damit befasst. Zeitmangel. Das Thema steht auch bei mir an. Ich würde das Finanzielle jedoch nicht primär in den Vordergrund setzen. Meinerseits stellt sich vorab die Frage:

UDM-Pro vs UXG-Pro/UCK-G2-Plus/CKG2-RM - Wo sind die Vorteile/Nachteile?

Ich habe aufgrund von Fläche plus Mauerwerk zu mehreren AP's gegriffen.

Hmm.. mit der neuen Maske erstalle das eine WAN in v6 regel. Ob dass so richtig ist? Außerdem wie du dir dass vorstellst. Ist der Client Quelle oder Ziel? Als Ziel ginge eigentlich gar-nicht da die SLAAC andauernd wechselt. Als Quelle könnte der Client mit der MAC Adresse identifiziert werden. Allerdings zeigen mir gewisse Clients mit IPv6 als Mac Adresse "0" und mit IPv4 00:80:41:ae:fd:7e. So nu was jetzt?

-----

Hat sich erledigt. Ich musste die roule mit Mac auf LAN_v6_Local setzen, dann ging's.

Zitat von Gatzi

Du kannst ja einzelne Clients sperren und musst nicht das gesamte Netzwerk sperren.

Ja aber wie?

Wäre es da nicht einfacher auf dem UniFi Controller unter Netzwerke IPv6 gar nicht erst bereit zu stellen? Meine nur. Davon abgesehen wollte ich diesen weg eigentlich nicht gehen. Es sind nur einzelne die eine Einschränkung wie Kinderschutz benötigen. Ich fänd's dh schade wegen ein/zwei Clients ein gesamtes Netzwerk zu kastrieren.

Davon ganz abgesehen ist es auch nicht Zukunftstauglich. ...kann man ja gleich zu VGA-Kabeln greifen.

Hallo

Ich hab gestern ein Update für mein Pi-Hole auf v5.0 gemacht. Falls jemand kennt: Neu wird pro Client gefiltert, was jedoch bei aktiviertem IPv6 -bei mir SLAAC's- komplett aus dem ruder läuft, und den Kinderschutz komplett umschifft. Die Idee war daher zumindest auf einigen Clients IPv6 zu sperren. Ich dachte als erstens an eine block-roule für LAN v6 Local, hab allerdings keinen peil wie die Problematik der immer wieder wechselnden SLAAC des Clients zu lösen ist. Hat da schon jemand Erfahrung?

Noch bisschen info:

Hinter der Cable-Bridge (kein Router) übernehmen erstmal UC-CK und USG das Routing. Der Pi-Hole stellt DHCP und DNS Resolver. DNS Serverz von externen sind keine involviert.

Hallo Zusammen

Hab eben erst dieses Forum eindeckt und mich kurzentschlossen mal eingeloggt.

Ich bin in vielen Bereichen nicht ganz unerfahren, kann aber schon sein dass ich mal ne dumme frage stelle.

Ich hoffe sie wird dennoch beantwortet, kann ja nicht alles wissen.