Beiträge von Stazi

Hallo zusammen,

freue mich über eure sehr konstruktiven Beiträge

Ich glaube da bleib ich wohl besser bei getrennten SSIDs zugeordnet zu den jeweiligen VLANs

Vieleicht kommt dann irgendwann noch die Funktion um diese Zuordnung für bekannte Geräte einfacher bewerkstelligen zu können.

Danke!

Hallo zusammen,

ich habe für einen Freund auch ein kleines Unifi Netzwerk in seinem Mehrfamilienwohnhau eingerichtet.

Es gibt mehrere VLAN´s - System VLAN 10 (192.168.10.0/24), Familie 1 VLAN 20 (192.168.20.0/24), Familie 2 VLAN 30 (192.168.30.0/24),

Kameras VLAN 40 (192.168.40.0/24), IoT VLAN 50 (192.168.50.0/24)

UDM-Pro, USW-24-PoE und noch ein paar lite Switches von Unifi.

Firewallregeln eingerichtet, funktioniert alles einwandfrei.

Mein Plan wäre gewesen ein gemeinsames WLAN zu machen, und nicht für jedes VLAN ein eigenes.

Dieses WLAN habe ich dem VLAN IoT zugeiesen über welches der Teilnehmer ert einmal nur ins Internet kommt.

Jetzt wollte ich dann den über WLAN angebundenen Drucker der Familie 1 auch dem VLAN 20 zuordnen - kann man zumindest theoretisch am Device unter Einstellungen, fixe IP auch auswählen.

Nur ändert sich weder die VLAN zuordnung, bleibt im VLAN 50 IoT, noch die IP Adresse vom Gerät.

Ist das so nicht vorgesehen? Übersehe ich etwas? Bin noch kein Profi also bitte um Nachsicht wenn ich blöde Fragen stelle

Bitte um eure Tipps, danke!

Hallo und danke für deine Anwort.

Genau das habe ich heute schon so getestet, funktuioniert aber nur wenn ich bei der Source keine Ports eintrage sondern nur bei der Destination.

Aber ich glaube es jetzt verstanden zu haben und hab auch bereits damit begonnen das auf die VPN User (VLAN) anzuwenden.

Funktioniert ja im grundegenommen auch so, nur nicht LAN eingehend.

Und ich hab es geschafft ohne mich dabei auszusperren

Jetzt ist mein nächstes Projekt die VLANs an einen nicht Ubiquiti Switch weiterzuleiten.

Anbei auch meine aktuelle Konfiguration wo ich das gelernte auch für ein paar anderen Funktionen angewendet habe.

Bei Fragen dazu, gerne melden - bzw. wenn jemanden was auffällt was nicht so gut geworden ist, immer her damit!

Hallo zusammen,

ich habe jetzt noch einmal alle Regeln raus gelöscht und von grund auf neu angelegt.

Alles mit Gruppen und ordentlichen Regeln so wie auch in eurem Wiki vordefinierte Grundregeln eingerichtet.

Ich hab zwar noch immer nicht herrausgefunden wie ich statt der Gruppe mit IP Adresse einfach Ports von VLAN zu VLAN freischalte, aber der anfang ist gemacht.

Und fürs erste reicht das auch für heute!!

Danke allen fürs mithelfen.

Liebe Grüße

Harald

Das mit den Gruppen hätte ich ja auch schon versucht wie du in meinen ersten Screenshoots sehen kannst!

Leider hat auch das nicht funktioniert.

Source die IP und MAC vom Crestron Controller, Ziel die IP Adresse vom Türschloss -> funktioniert das auf jeden Fall

Source das Netzwerk "Crestron (102)" , Ziel die IP Adresse vom Türschloss -> funktioniert nicht

Source die IP und MAC vom Crestron Controller, Ziel Netzwerk "DATA (101)" -> funktioniert nicht

Source die IP und MAC vom Crestron Controller, Ziel beliebig mit der Port Gruppe NUKI (8080) -> funktioniert nicht

Source das Netzwerk "Crestron (102)", Ziel beliebig mit der Port Gruppe NUKI (8080) -> funktioniert nicht

Das geht nur leider nicht, wenn ich 8080 eingebe werden die Punkte oben rot markiert, und die Rule lässt sich auch nicht speichern.

Sorry, aber ich glaube ich bin einfach blind - wo kann man da Ports eintragen anstatt "all"

Noch einmal danke für deine rasche Antwort, das werde ich auch sicher probieren.

Dann muss ich jedoch für jede TCP/IP Verbindung eine Rule erstellen.

Ich dachte mir, dass müsste doch auch pauschal für den Port gehen:

LAN IN

Accept

All

Source:

Netzwerk "Crestron (102)"

Port 8080

Destination:

Netzwerk "DATA (101)"

Port 8080

Nur das kann man ja so nicht einstellen.

Anderes Beispiel:

Die Bluesound Geräte benötigen alle den Port 11000, dann wäre das so nur eine Rule, anders müßte ich 5 Rules einrichten

da ich 5 Bluesound Geräte vom Controller im Crestron VLAN aus ansteuern können möchte.

Danke für eure Antworten.

Ok das mit den IP Adressen könnte ich einmal testen.

Ja auch die Allgemeinen Firewall Regeln aus dem Wiki kenne ich.

Nur ich verstehe nicht wie man zwischen zwei VLAN´s alle sperrt und dann geziehlt ein paar definierte Ports freigeben kann.

Oder geht das nur mit definierten IP Adressen?

z.B. im DATA VLAN befinden sich auch diverse Audio Streamer (Blusound) bzw. Lautsprecher.

Vom Controller im Crestron VLAN möchte ich die gerne ansteuern, aber die Geräte müssen im DATA VLAN bleiben.

Der Port ist immer der selbe (TCP11000) jetzt dachte ich daran einfach diesen Port zwischen den beiden VLANs freizuschalten.

So ein Beispiel hab ich leider nicht gefunden oder ich verstehe etwas nicht richtig.

Hallo zusammen,

ich bin neu hier in diesem Forum und hab auch "nur" grundlegende Netzwerkkenntnisse.

Irgendwie verstehe ich die Einrichtung der Firewall einfach nicht richtig und kann sie daher auch nicht so anwenden wie ich das gerne möcht

Ich kannte bis vor der UDM-Pro auch immer nur ein VLAN wo alles drinnen war, ich möchte jetzt aber etwas dazulernen und mein Netzwerk besser organisieren.

Daher habe ich einmal VLANs eingerichtet und zugeordnet, WLAN funktioniert etc.

VLAN 1 - Control VLAN 192.168.18.0/24 (Unifi Geräte UDM-Pro, 1x USW-24-POE, 3x UAP-AC-Pro)

VLAN DATA 101 - Geräte VLAN 192.168.25.0/24 (Drucker, NAS, Stand PC, bekannte WLAN Devices, Doorbird Türsprechanlage, NUKI Türschloss, etc.)

VLAN Crestron 102 - Smart Home VLAN 192.168.26.0/24 (Smart Home Steuerung Crestron, Touchpanel, KNX Gateway, etc.)

Mein erstes Ziel war es als erstes einmal die Komunikation der beiden VLAN 101 und VLAN 102 zu blockieren.

Dank der vielen Anleitungen ist es mir das auch schon einmal gelungen. Irgendwie hab ich aber den Eindruck gewonnen - viele Wege füren zum Ziel

Verwerfen/ Quelle: Netzwerk "DATA (101)" / Ziel: "Crestron (102) -> funktioniert, alles wird blockiert.

Dann wollte ich definierte Ports vom DATA (101) ins Crestron (102) freigeben damit ich mit meinen Smart Home Tools (PC im DATA VLAN)

auf die Smart Home Geräte (Crestron Controller im Crestron VLAN) komme.

Dazu hab ich eine Gruppe mit Ports eingerichtet "Crestron Tools" (41794, 41796, 22, 443) und unter LAN eingehnd eine neue Regel hinzugefügt.

akzeptieren/ Quelle Netzwerk "DATA (101)" / Ziel Portgruppe "Crestron Tools" -> wie gewünscht erreiche ich mit meiner Software auf meinem PC die benötigten Geräte im Crestron VLAN mit den dafür vorgesehehen Software Tools.

Jetzt möchte ich umgekehrt ein Gerät im DATA VLAN (NUKI Türschloss) vom Crestron VLAN aus erreichen, den Port kenne ich (TCP8080)

Ich dachte mir ich richtige wieder eine Gruppe ein "NUKI" und trage dort den Port 8080 ein.

akzeptieren/ Quelle Netzwerk "Crestron (102)" / Ziel Portgruppe "Nuki" -> funktioniert aber leider nicht.

Die erlaubten Rules sind vor der blockierenden Rule gereiht.

Vieleicht könnte mir jemand von euch einen Denkanstoß geben wie ich das richtig angehen muss bzw. damit ich die zusammenhänge richtig verstehe und dann auch anwenden kann.

Den es gibt im VLAN DATA noch ein paar mehr Geräte die ich aus dem Crestron VLAN über definierte Ports erreichen können möchte bzw. muss.

Trotz der vielen Anleitungen hier und auf der bekannten Videoplattform check ich das einfach nicht.

Bitte, danke!

Liebe Grüße

Harald