Hi,
mein Freund hat eine Lösung gefunden. Er hat eine NAT Regel eingebaut, die das Iot Netzwerk für tcp maskiert.
Zugriff hat nur eine definierte Admin Gruppe.
Gruß
Ralf
Posts by zweisonnen
Unsere Community hält dieses Forum am Leben. Freiwillige Spenden ermöglichen es uns, komplett auf Werbung zu verzichten.
-
-
Hi,
ich habe aktuell ein Problemchen mit dem Zugriff auf Geräte, die über Mesh verbunden sind, aber auch nicht...
Meine Udm-Pro ist mit US8-60 Switchen verbunden, an denen hängt ein AC Pro und ein U6 Mesh Pro per POE.
Es gibt das normale Lan Netzwerk (200er) und ein Iot Netwerk (15er). Im Iot Netzwerk sind nur Tasmota Steckdosen und Shelly Geräte per Wifi verbunden (15er Netz).
Es gibt Iot Geräte im 1. Stock und im Keller, das ist per Mesh verbunden, U6 Mesh Pro an AC Mesh im Keller.
Sitze ich im 1. Stock und möchte auf Geräte im 1. Stock zugreifen, klappt das perfekt.
Mit Iot Geräten im Keller klappt das nicht, egal ob Tasmota oder Shelly Bulb, Shelly EM3, es kommt aber doch mal vor, das ein Geräte antwortet, meistens dann, wenn ich am Client das WLan aus/einschalte oder das Netzwerk gewechselt habe.
Alle Clients verhalten sich da gleich.
ABER zum test habe ich eine Steckdose im 200er Netz konfiguriert und diese im Keller angesteckt, auf die komme ich immer problemlos.
Achtung: wenn ich mein Wireguard VPN einschalte, komme ich auf ALLE Iot Geräte im 15er Netz.
Anpingen geht immer zu jedem Zeitpunkt.
Beim http Zugriff kommt dann nach mehreren Minuten das der Server keine Antwort sendet.
Bei einem Telnet auf port 80 kommt die Meldung Connection closed bei forein host.
Und wenn ich im Home Office bin, sitze ich auch im Keller und mache auch Videokonferenzen
Ich habe einem Freund schon alle möglichen tcpdumps zur Verfügung gestellt, von den betroffenen APs, Switches, Clients, aber er konnte bisher nichts finden.
Evtl. kennt jemand so ein Problem
Gruß
ralf
-
Frage, hattes du nach dem Factoryreset noch vor dem neuen Einrichten deines Unifi, in deinem Account alles was bisher da war, ich rede von Backups und so weiter, notfalls auch das Gerät selber mal gelöscht und dann alles als ganz neues Gerät eingerichtet, nicht das da sich irgendwas eingeschlichen hat. Muss aber nicht sein nur eine Vermutung, wenn das was du beschrieben hast alles nicht gefruchtet hat.
ich wollte beim ersten Reset ein Backup einspielen, das hatte auch nicht funktioniert. Da bei mir alles überschaubar ist, habe ich dann eine komplette Neueinrichtung, Jungfräulich, durchgeführt, wie auch die anderen male.
Gefühlt habe ich ein Montagsgerät, ein Freund hatte vorher die UDMPro und jetzt die UDMPro Max, der versteht es auch nicht. Er sagte, er habe schon einige, auch in Firmenumgebungen, eingerichtet, aber Probleme kennt er nicht...
ich werde sehen, wo es hinführt.
-
Das würde ich nicht empfehlen, denn diese Option fällt in der Zukunft möglicherweise irgendwann weg. Auch wirst Du hier deutlich bessere Unterstützung zu ZBF als zur klassischen Firewallverwaltung erhalten.
Wenn du die ZBF bei einem frisch resetteten Router aktivierst, ist es nahezu ausgeschlossen, dass irgendwelche Geisterregeln entstehen.Leider muß ich widersprechen, da ich es ja selber miterlebt habe!
Ich hatte wegen den Geisterregeln vor dem ersten Factory Reset sogar den Support kontaktiert, der das Problem analysieren wollte und zu dem Schluß kam, das nur ein Factory Reset hilft. Failed. Nach dem ist es wieder aufgetreten.
Erst hatte ich Regeln auf gestellt und dann auf ZBF umgestellt, nach dem zweite FR bin ich direkt auf die ZBF und es ist wieder aufgetreten, ebenso nach dem dritten, deswegen habe ich Eure Hilfe gesucht.
Leider kennt von Euch auch keiner das Problem und ich stehe wieder alleine da. die alte Firewall läuft hingegen Problemlos.
Sollte es nur noch die neue geben werde ich vermutlich wechseln müssen, zumindest die Firewall, der Rest läuft überwiegend problemlos.
Gruß
Ralf
-
Gude,
Regeln gelöscht, Neustart: Alles beim alten, es gibt immer noch die 192.168.50.0 als Netzwerkschnittstelle, es gibt wieder Undefinierte Firewall Regeln, die immer noch aktiv sind... ich hör mal lieber auf.
Ich habe jetzt einen Factory Reset mit komplettem Neuaufbau gemacht. Aber diesmal aktiviere ich nicht die ZBF, sonder bleibe bei der alten.
Das habe ich jetzt genau so gemacht. Es gibt keine Schnittstellen mehr, die ich nciht definiert habe, es gibt keine undefinierten Firewall Regeln mehr. Ich werde auch nicht mehr auf die ZBF gehen.
Aktuell läuft alles, so wie ich es wünsche. Hoffentlich bleibt das auch so, ansonsten müsste ich mich für andere Hardware entscheiden, was für mich teuer und arbeitsaufwendig wäre. Die Hoffnung stirbt zuletzt, jetzt nach dem 4. Factory Reset innerhalb der letzten drei Monate.
Schaun mer mal und danke erst mal so weit für den Gedankenaustausch
Gruß
Ralf
-
Ich hab mich noch mal auf die UDMPro eingeloggt und wollte mit tcpdump schauen, ob Verkehr von meinem client ankommt, dazu habe ich über ifconfig mir die Schnittstellen auflisten lassen und mir ist folgendes aufgefallen:
br50: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500inet 192.168.50.1 netmask 255.255.255.0 broadcast 0.0.0.0
inet6 fe80::d221:f9ff:fe8b:392f prefixlen 64 scopeid 0x20<link>
ether d0:21:f9:8b:39:2f txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 71309 bytes 10135249 (9.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
das war eine Schnittstelle, bzw. Netzwerk, was ich zum test angelegt hatte, um zu schauen, ob es am IOT Netzwerk liegt, das ich nicht draufkommen. Diese Schnittstelle habe ich aber gelöscht!!!
Was ist hier los? Wie kann ich das korrigieren?
Kann man die ZBF resetten?
Factory Reset ist aktuell nicht möglich, da ich Besuch habe....
achso, nicht nur das die Schnittstelle existiert, ich kann sie auch ansingen
coolcat@MacBookPro ~ % ping 192.168.50.1
PING 192.168.50.1 (192.168.50.1): 56 data bytes
64 bytes from 192.168.50.1: icmp_seq=0 ttl=64 time=37.557 ms
64 bytes from 192.168.50.1: icmp_seq=1 ttl=64 time=2.506 ms
64 bytes from 192.168.50.1: icmp_seq=2 ttl=64 time=2.314 ms
^C
und ja, neu gestartet habe ich
Gruß
Ralf
-
Ok, die Besucher Regel für den Drucker funktioniert einwandfrei, die Rückregel hatte ich nicht aufgelistet, hier mal die komplette Liste
IOT meldet auch per mqtt Daten an den mqtt Server 192.168.200.56
und per VPN vom Handy komme ich auch auf das IOT Netzwerk.
ich bin jetzt mal auf die UdmPro und habe mit die iptables Regeln vom IOT auflisten lassen:
root@UDMPro:~# iptables -L |grep IOT
NFLOG tcp -- anywhere anywhere match-set UBIOS_692bf5faa93934317538ace7 dst match-set UBIOS_692d2437a939343175390e22 dst state NEW limit: avg 50/sec burst 100 nflog-prefix "[CUSTOM1_LAN-A-10000] DESCR=\"MQTT von IOT nach Intern\"" nflog-threshold 16
NFLOG tcp -- anywhere anywhere match-set UBIOS_692d49aea939343175391aea dst match-set UBIOS_692d4966a939343175391ae7 dst state NEW limit: avg 50/sec burst 100 nflog-prefix "[CUSTOM1_LOCAL-D-10000] DESCR=\"Verbiete IOT auf UDMPro\"" nflog-threshold 16
NFLOG udp -- anywhere anywhere match-set UBIOS_692d49aea939343175391aea dst match-set UBIOS_692d4966a939343175391ae7 dst state NEW limit: avg 50/sec burst 100 nflog-prefix "[CUSTOM1_LOCAL-D-10000] DESCR=\"Verbiete IOT auf UDMPro\"" nflog-threshold 16
NFLOG all -- anywhere anywhere match-set UBIOS_policy_src_clients_1 src state NEW limit: avg 50/sec burst 100 nflog-prefix "[LAN_CUSTOM1-A-10000] DESCR=\"Admins erhalten Zugriff auf IOT\"" nflog-threshold 16
NFLOG tcp -- anywhere anywhere match-set UBIOS_policy_src_ip_8 src state NEW limit: avg 50/sec burst 100 nflog-prefix "[VPN_CUSTOM1-A-10000] DESCR=\"VPN darf IOT\"" nflog-threshold 16
NFLOG udp -- anywhere anywhere match-set UBIOS_policy_src_ip_8 src state NEW limit: avg 50/sec burst 100 nflog-prefix "[VPN_CUSTOM1-A-10000] DESCR=\"VPN darf IOT\"" nflog-threshold 16
die zwei Regeln waren mal drin, habe ich aber wieder rausgelöscht und hier die Screenshots
-
hier nochmal Screenshots
Gruß Ralf
-
Hallo,
ich habe eine UDM Pro, Unifi OS 4.4.6, Network 10.0.162.
Vorne weg, ich habe nur wenig Ahnung von Firewalls, gerade os Grundkenntnisse.
Auf der UDM Pro habe ich eingerichtet:
interne Zone: LAN (192.168.200.0/24), Besucher (192.168.100.0/24) und IOT (192.168.15.0/24).
Zone VPN: Wireguard und ein L2TP VPN.
Und Extern ein standart M-Net Zugang
2x US860W Switche, 1x USW Ultra, 1 AC Pro, 1x U6 Mesh Pro an dem 1x AC Pro und 2x AC Mesh APs per Mesh dran hängen
Es gibt eine Regel, in der vom Besucher Netzwerk man sich seinen Drucker einrichten kann, der im LAN ist, das funktioniert auch.
Und eine Regel, ursprünglich auf 3 MAC Adressen begrenzt, jetzt darf (theoretisch) das Netzwerk LAN auf das Netzwerk IOT zugreifen.
Funktioniert aber nicht. Ein Ping auf Adressen des Netzwerks klappen nicht
ping schreibtisch.iot.room
PING schreibtisch.iot.room (192.168.15.198): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
^C
Wenn ich aber vom Handy ein VPN mit Wireguard starte, kann ich auf das IOT Netzwerk Zugreifen.
Mache ich das Gleiche mit meinem Macbook mit seinem eigenen VPN Zugang, klappt es nicht.
Wenn ich einen ping auf das Besuchernetzwerk absetze, klappt es, ohne eine weitere Regel
ping 192.168.100.51
PING 192.168.100.51 (192.168.100.51): 56 data bytes
64 bytes from 192.168.100.51: icmp_seq=0 ttl=63 time=28.205 ms
64 bytes from 192.168.100.51: icmp_seq=1 ttl=63 time=5.408 ms
Achso, ich habe überall die Protokollierung eingeschaltet, sehe aber nichts, d.h. ich sehe z.B. Beispiel das ein iPhone von Besucher Zugriff auf Lan machen möchte, das aber geblockt wird, ich Habe gerade Besuch, die sind im Besucher Netzwerk eingeloggt, welches seinen Dienst tut.Ich sehe nichts, heisst, wenn ich z.B. auf IOT zugreifen will, es aber nicht funktioniert, schliesse ich daraus, das es geblockt wird, ich sehe aber keine Einträge.
Und egal was ich an Firewall Einträgen anlege, von LAN nach IOT, da tut sich nichts.
Was kann ich jetzt noch tun ohne ein Factory Reset (das dritte mal dieses Jahr) zu machen. das habe ich vor ich glaube 6 Wochen gemacht und alles neu von Hand eingerichtet, ohne Restore von irgendwas.
Ich bin echt verzweifelt, es ist nicht das erste mal, das die Kiste spinnt, wenn ich das nicht gelöst bekomme.... brauch ich eine neue Lösung.
Hab ich was vergessen, was ihr wissen müsst?
Gruß
Ralf
-
Na gut,
dann scheint wieder nur ein Factory Reset zu helfen.... schade
Gruß
Ralf
-
nach dem Factory Reset war ja alles schön, leider hatte ich nach dem Neuaufbau zwei Regeln gelöscht und das hätte ich nicht tun sollen... genau das ist der Bug, der wohl mit den folgenden Versionen behoben ist, mein Firewall Freund hat mir das leider eine Stunde zu spät geschrieben:
„Fixed an issue where deleting a client group or network used in Objects could introduce dead-ends.“
Jetzt hab ich ihn schon wieder, es wurde wohl keine Bereinigung der Regeln durchgeführt, ich hoffe, da kommt noch was, aktuell bin ich auf Network 9.5.21
Die jetzigen "Unknown Policy" Regeln können ruhig weiterlaufen. Trotzdem hätte ich das gerne bereinigt.... mal abwadde....
Gruß
Ralf
-
Display More
Noch einmal die Nachfrage, für mein Verständnis:
1. Du löscht die Zone "IoT".
2. Diese Zone verschwindet in der Firewall-Matrix
3. Die Geräte, die vorher im IoT-Netz in der IoT-Zone waren, sind jetzt im Default-Netz (VLAN-ID 1) in der Zone "Internal"
4. Die Zone "Internal" hat keine Beschränkungen beim Internetzugang und hatte auch niemals welche
5. Trotzdem haben diese Geräte aus Punkt 3 keinen Internetzugriff und es wird weiterhin protokolliert, dass ihre Verbindungsanfragen aufgrund der "Unknown Firewall Policy" blockiert werden
So korrekt?
Genau so war es.
Jetzt nach dem Factory Reset erscheint diese Regel nicht mehr.
Gruß
Ralf
-
da fällt mir noch ein, kann ich meine DNS Einträge sichern und zurückspielen?
-
Dann nochmal: Wie kann ein Gerät in der Zone IoT sein, wen Du diese Zone doch angeblich gelöscht hast?!
Vielleicht hatte ich mich unklar ausgedrückt. Das Gerät war in der Zone IoT, nach Löschung dieser war es in der Zone intern.
die Regel, die jetzt noch existiert, wurde in der Zone IoT erstellt und läuft, auch wenn ich die Zone gelöscht habe.
Gruß
Ralf
-
Das evtl der Browsercache noch Sachen drinn hatt und deswegen.
Aber wenn alles nicht hilft was dir bisher hier gesagt wurde dann bleibt wirklich nur ein richtiger Reset noch übrig und eine Neueinrichtung kein Backup einspielen.
das hatte ich befürchtet und werde es morgen vormittag durchführen. Da muß irgendwo ein Bug sein, das ist das zweite Mail innerhalb 1 Woche und muß mit der ZBFW zu tun haben... vermute ich als unwissender
Gruß
Ralf
-
Was ist denn dieses d4:ad:fc Gerät und in welcher Zone ist es?
das ist ein LED Streifen in der Zone IoT
Gruß
Ralf
-
Hast du mal versucht einen anderen Browser zu probieren?
was bringt das?
Ich habe es getestet, mit Firefox und Safari und Chrome, keine Unterschiede
Gruß
Ralf
-
Das ist nicht wirklich logisch. Wenn die Zone nicht existiert, gibt es auch keine Geräte in dieser Zone. Wie könntest Du dann bemerken, dass die Regel existiert?
wie man hier klar erkennen kann, nachdem ich die IoT Zone entfernt habe...... die Regel läuft weiter....
und diese Unknown Firewall Policy
hatte ich in der Zone Iot eingerichtet.
Wenn ich auf einen Eintrag im Log klicke, komme ich direkt in diese Regel, diese Unbekannte Regel ist aber nicht anklickbar, weil angeblich nicht existend.
Verstehe wer will
Gruß
Ralf
-
Ich kann machen, was ich will, diese Regel ist existent, ob die Zone existiert oder nicht.
Aber mir ist noch aufgefallen, das es nur 3 Geräte betrifft, das 3. Gerät wäre mein iPad, wenn ich mich ins Netzwerk einlogge.
Auch wenn ich die gleiche Regel noch mal erstelle, scheint diese nicht zu greifen. Sehr mysteriös.
Gibt es keine Möglichkeit die Firewall zu resetten?
Gruß
Ralf
-
Ich habe jetzt mal IoT gelöscht und warte auf Fehlermldungen....
nach dem Neustart
bevor ich die Zone IoT angelegt habe....
Gruß und gute Nacht
Ralf
