Beiträge von tomily

Hallo,

zu erst mal danke für die schnellen und ausführlichen Rückmeldungen. Leider gingen die etwas am Thame vorbei. Aber ich konnte es analysieren und lösen.

Zur obigen Aussage:
Ja ich habe mich mit den Regeln auseinandergesetzt. Zuerst dachte ich auch, dass es an der Abarbeitungsreihenfolge gelegen hat.
Dann habe ich aber festgestellt, dass die Reihenfolgen bei den TrafficRegeln nicht veränderbar sind.

Da die BlockRegel eine Auswirkung gezeigt hatte, war mir schon klar, dass es in diesem Fall an den Firewallregeln nicht liegen konnte.
Bin auf ein weiteres, eher nicht so schönes Thema der Unifi gestoßen:

Die Domain-Freigaberegel hat in diesem Fall nicht gegriffen, da der anfragende Server einen anderen DNS Server verwendet hat, als die Firewall zum auflösen des Hosts. Da hinter dem Host mehre IPs stehen, haben die Firewall und der Server die IPs unterschiedlich aufgelöst. Sprich die angefragte "IP" hat nicht zur Freigabe gepasst.

Nachdem ich den Server und die Firewall den gleichen DNS fragen lasse, hat es nun geklappt.

Schade, dass die UDM keine DNS-Groups verarbeiten kann, welche alle dahinterliegenden IPs auflöst.

Ich bin an mein Ziel gekommen und kann so damit leben. Es ist auch kein nacharbeiten notwendig, da alles geblockt ist, was ich nicht explizit freigegeben habe. Das mache ich schon seit Jahren auf anderen Systemen auch so.

Mein Fazit ist, dass die UDM ein tolles Gerät ist, aber keine ernstzunehmende Firewall. Zumindest ist es für den gewerblichen Einsatz nicht passend. Für Zuhause genügt es

Vielen Dank euch allen und Grüße
Tom

Moin zusammen,

ein letztes Mal nerve ich euch
Habe übers Wochenende mal meine Regeln umgestellt. Eine Verständnisfrage hab ich leider noch:

Die globale "Internet Block Traffic Rule" sperret tatsächlich alles. D.h. die danach folgende Domain-Freigabe zieht nicht bzw. nur sporadisch.
Was mache ich hier falsch bzw. wie kann ich sicherstellen, dass NUR die von mir eingetragenen Domains für das betroffene Netz erlaubt sind. Alles andere muss blockiert werden, was nicht explizit gewhitelistet wird

Sobald ich die Internet Block Regel pausiere, funktionieren die Zugriffe

Sorry für die späte Rückmeldung. Ich habe alles nochmal durchsucht und getestet. Ich glaube ich habe den Übeltäter gefunden.
Und zwar hatte ich die Initiale Einrichtung anhand einer Anleitung aus dem Netz durchgeführt. Ich glabue die war einfach kacke

Es gibt eine DEFAULT-BLock Firewall Regel (Internet-OUT). In der sind alle privaten Netze hinterlegt.
Ich gehe mal davon aus, dass die Firewall in der Priorität VOR den Traffic-Rules kommt und somit gewinnt.

Wenn ich diese Regel beende, dann greifen die Application-Rules. Ich habe es mit einem Windows-Client getestet. Muss nun nur noch testen, ob ich somit auch die Ziel-Hosts für meine Linux-Systeme die Updateserver freigeben kann. Da kann ich evtl. morgen mehr dazu berichen.

Die Default-Drop muss ich also am besten in die Traffic-Rules verlagern. Dort habe ich erst mal eine "DROP Internet" Regel erstellt. Darunter kann ich dann nach und nach die URLs für die einzelnen Hosts oder VLANs freigeben. Ich glaube das bringt mich deutlich weiter ans Ziel

Sorry wenn ich mich wiederhole oder mich undeutlich ausdrücke

Eine Normale Firewall Blockiert ja erst mal alles. Es wird dann pro Gerät freigegeben was es können darf.
Kommt ein neues Gerät hinzu, darf es erst mal nirgendwo hin, bis man dies wieder explizit erlaubt.

Genau das möchte bzw. muss ich sicherstellen. Aus diesem Grund möchte ich, dass pauschal alles Dicht ist und gebe dann Host für Host die Ziele frei.

Naichbindas

Bei deinem Vorgehen müsste ich ja bei jedem neue Gerät den Deny erst mal händisch wieder hinzufügen. Das ist sehr unglücklich.

Unabhängig davon ist es aber ja so, dass alle Traffic-Regeln nicht greifen. Egal ob ich den Deny nun auf Host oder VLAN Ebene setze, der Client darf ins Internet. Den interessiert das überhaupt nicht, was ich unter den TrafficRegeln veranstalte.

Ich habe zum Test ein Gerät Namens Windows10. Dieses habe ich in den TrafficRegeln blockiert. Es kommt aber trotzdem ins Internet:

Ganz herzlichen Dank für die ausführliche Antwort.

Also ob Firewall oder Traffic-Rule ist mir grundsätlich erst mal egal. Mein Ziel ist es ganz klassisch pauschalt ALLES erst mal zu blockieren.

Anschließend möchte ich einzelne Hosts den Internetzugriff auf bestimmte Ziele Erlauben.

Nur das normale Client-Netz darf "überall" hin. Das sind dann Steuerungen der haustechnik oder Server.

Deine Erklärung leuchtet mir ein. Mein Problem ist ja andersrum..es funktioniert ALLES statt nichts. Deshalb greift die Deny-Rule offensichtlich nicht.

Habe also noch einen Gedankendreher bzw. einfach etwas falsch gemacht :-/

Danke für den Screenshot

Ich habe das mal nachgebaut, aber es funktioniert nicht. Habe das Gefühl, dass die Traffic-Rules bei mir nicht ziehen, wieso auch immer.

Wenn die Firewallregeln alle beende, die ich im Einsatz habe, dann ist der ausgehende Traffic KOMPLETT möglich. Es zieht also auch die Block-Regel nicht.

Ich würde mich von der Config mit den Ports verabschieden. Die Freigabe der Ziel-URLs (somit mit allen Ports) wäre für mich auch okey bzw. ausreichend.

So sollte das doch eigentlich blockiert werden?

Mahlzeit,

wollte nochmal in die Runde fragen, wie ich die Traffic-Rules anlegen muss, damit diese ziehen

Kannst du mir evtl. von deinen Regeln mal einen Screenshot machen?

Es geht mir nicht um die Freigabe von Webseiten, sondern Basisdienste wie EMAIL oder Dateidownload von meinen Servern zu erlauben.

Diese dürfen Dateien von Updateservern herunterladen oder Emails versenden. Aber jeweils halt nur über Ihre Ports von den angegebenen Servern.
Das Beispiel mit dem Mailversand ist ganz gut. In dem Fall ist es eine NAS in dem NEtz, die Emails versenden können soll.

Ich dachte ich hätte es schon geschrieben. Sobald ich die FW-Regel Ausschalte, geht der Mail versand nicht mehr.
Und eigentlich sollte es das ja nach deinen Aussagen durch die Trafficrule trotzdem.

Schade. Werde mal weiter rumtüfteln müssen, bin aber echt enttäuscht :-/

So habe ich die Regel angelegt. Diese Erlaubt die notwendigen PORTS zum Mailversand. Allerdings natürlich ins ganze Internet:

Da ich grundsätzlich alles über das Firewalling erreichen wollte, habe ich schon fleißig regeln eingerichtet.
Ganz klassisch für meine Zwecke je eine Regel. Am Schluss dann die Default-Block. Somit ist alles nicht explizit freigegebene gesperrt.

Das wäre ja dann fast so, wie du es meintest? Wenn ich meine Firewallregel "Emailversand" beende und dafür die Traffic-Rule erstelle, müsste das ja eigentlich klappen?

Wenn das so geht und ich es verstehe, wäre das tatsächlich eine annehmbare Alternative

Die FW-Regeln funktionieren, nur die Traffic Rules nicht

Erst mal herzlichen Dank für die schnellen und kompetenten Antworten. Das kenne ich so nicht aus Foren DANKE!

Es stimmt, ich darf wohl von einem All-In-One-Gerät nicht zu viel erwarten. Dafür ist es ja trotzdem ein Stabiles System.

Die Traffic-Regel steht auf Allow. Allerdings klappt der Mailversand trotzdem nur, wenn ich dafür eine Firewallregel anlege. Benötige ich diese trotzdem?

Nur zum Verständnis. Wenn ich dich richtig verstanden habe benötige ich KEINE Firewallregel, sondern die Traffic-Rule genügt? Hier meine interpretation:

Zitat von sebcodes

Moin, das geht meine ich nur über Traffic Rules:

Ich habs getestet. Leider zieht die Regel tatsächlich nicht, ohne Firewall. Und wenn ich im Firewalling "ANY" eintragen muss, dann ist es ja schon zu spät, bevor die Regel überhaupt greifen kann.

Ich stehe noch auf dem Schlacuh

Hi,

danke! Genau das ist ja das Problem. 90% der Server haben mehrere IPs hinter einem DNS-Eintrag, oder wechseln die IPs so oft wie ich meine Unterhosen

In meinen Augen ist die UDM dann einfach keine ernstzunehmende Firewall?

Toller Controller, aber das ist für mich dann unbrauchbar. Vielleicht habe ich die Lösung aber auch noch nicht gefunden =)

Danke für deine schnelle Rückmeldung. Das ist schon mal sehr nahe dran danke!
Das klappt auch, allerdings ist das keine wirkliche Firewall-Regel.

Am Beispiel eines Mailversands möchte ich z.b. NUR Port25 an einen Mailserver freigeben.

Bei der TrafficRule grenze ich die Destination ein, allerdings nicht den Port. In der Firewallregel ist es genau andersrum.

Bin grad etwas enttäuscht von meiner neuen Anschaffung

Noch ein kleiner Nachtrag. So etwas möchte ich erreichen:

Hallo zusammen,

ich habe mal eine Grundsatzfrage und stehe extrem auf dem Schlauch.

Wie kann ich Hosts im Internet (z.b. mailserver, domänen etc.) anlegen und in einer Firewallregel berechtigen?

Bisher verwende ich eine Sophos Firewall und habe dort (wie auch auf anderen Firewalls) Gewisse Regeln INS internet erstellt.
Ich möchte nicht den kompletten Verkehr erlauben, sondern nur an gewisse Ziele. In der UDM kann ich aber nur fixe IP-Adressen konfigurieren.

Wie erstelle ich denn eine Gruppe mit Hosts im Internet wie z.b. mailserver1.test.de, server2.test.de usw.

Bin neu in der Unifi-Welt, deshalb sorry für die Basisfrage.

Liebe Grüße und Danke

Tom

Danke für die schnelle Rückmeldung. Dann bin ich tatsächlich ins falsche Thema reingekrätscht. Sorry hierfür

Schade, dass das nicht geht. Also beides. Sowohl bei der USG als uach bei der UDM. Finde für den Heimgebrauch die UDM wirklich "schön" und einfach, aber dann hört es auch recht schnell auf. Leider muss ich wohl separat für ein VPN zwischen meiner NAS und der am RemoteStandort (Fritzbox) erstellen. Oder meine bisherige Firewall (SophosUTM) muss das erledigen.

Schade, aber dann liegt es nicht an mir

Grüße

Zitat von Rob901

Hallo zusammen,
hab dank euch nun schon mehrfach IPSec Fritzboxen und USGs verbinden können.
Nun habe ich aber die Herausforderung mit einigen Subnetzen mit VLAN auf dem USG, die sich über den Tunnel nicht erreichen lassen.
Vorweg:

Tunnel kann aufgebaut werden und funktioniert auch zwischen Management Netz vomUSG und der Fritzbox.

In der vpn.cfg der FritzBox habe ich unter accesslist alle Subnetze der USG eingetragen. Im USG in der config.gateway.json lediglich das Local- und Remote- Netz.

Nun bin ich mir unsicher ob und ggf. welche statischen Routen oder Firewall Settings, ich noch vornehmen muss um die Subnetze zu erreichen?
Habt Ihr einen Tipp, welche Setting noch notwendig ist?

Danke!

Alles anzeigen

Hallo Rob901,

du schreibst, dass du dank dem Forum bereits eine Fritzbox mit einer DreamMachin verbinden konntest.

Kannst du mir sagen in welchem Beitrag das beschrieben ist?

Das ist genau mein Ziel, allerdings finde ich nichts und möchte keinen neues Thema dafür aufmachen.

Viele Grüße und Danke

Tom