Beiträge von Patrick089

Hallo zusammen,

bei meinem vorhaben einen VPN einzurichten bin ich auf weitere Hürden gestoßen.

In einem anderen Threat von mir habe ich eine Anfrage bezüglich der Einrichtung eines VPNs, wo ich mich letztendlich für Wireguard entschieden habe.

Eine Voraussetzung für Wireguard ist, das die UDM meine statische öffentliche IP Adresse übermittelt bekommt.

Ich habe eine Fritte 6591 Cable von Vodafone an die die UDM angeschlossen ist. Ja es ist ein doppel Nat.

Nun möchte ich erreichen das die UDM von der Fritte die öffentliche statische IP durchgereicht bekommt. Von der Fritte auf die UDM ist ein Exposed Host eingerichtet. Im Fritten Netzwerk befinden sich keine Geräte, diese sind alle im Netz der UDM.

Wie kann ich das realisieren?

Ich habe mich sehr belesen die letzten 24h und ich kenne die Möglichkeiten Wireguard auf einem NAS oder Raspi zu installieren.

Nur nun habe ich eine tolle UDM und möchte nicht anderweitige Insellösungen angehen und die UDM schon ausnutzen .

Danke vorab für eure Hilfe

P.s Gerne werde ich mich für Hilfreiche Unterstützung erkenntlich zeigen .

Zitat von Networker

Grundsätzlich "ja" zu Wireguard, ist das modernere Protokoll und wenn es bei Dir läuft, solltest Du es auch bevorzugt nutzen.

Dass L2TP mit Windows oft Probleme bereitet, stimmt aber nicht. Ich nutze das seit vielen Jahren zu verschiedensten Destinationen völlig schmerzfrei; Wireguard gibt es ja noch nicht so lange.

Am Client unter Windows (ab 10) musst Du aber definitiv einen Registry-Eintrag setzen. Dann klappt es auch.

Was ich mich nun belesen habe zu Wireguard ist das definitiv eine gute Sache.

Nur muss ich es erst zum laufen bringen, aber ich habe noch die ein oder andere Hürde zum meistern.

Hab mir das alles etwas simpler vorgestellt :-D.

Hab aber einen Fehler gefunden weshalb der VPN grundsätzlich schonmal nicht aufgebaut werden kann, unabhängig von dem Protokoll.

Ich bleib dran und lasse euch dran teilhaben.

Ahh oke, danke das wusste ich nicht.

Dann probiere ich das gerne mal aus

Wireguard ist doch nur ein VPN Client oder?

Was für Einstellungen müssen dann in er UDM dafür gesetzt werden?

Zitat von jkasten

Versuchs mal mit Wireguard, ist schneller und einfacher zu konfigurieren.

Danke, aber leider hilft mir das nicht weiter :-).
In der Regel funktioniert das mit dem WIN Client super. Aber wenn der Fehler in der UDM liegt oder etwas ein Port fehlt dann bringt Wireguar auch nicht viel :-).

Hallo zusammen,

ich bin gerade bei mir einen VPN einzurichten und komme an einem bestimmten Punkt nicht weiter.

Leider helfen die bisherigen Beiträge nicht wirklich.

Vorab: Ich habe eine Fritzbox die als Gateway dient und von meinem Anbieter eine feste IP Adresse.

Die Fritzbox hat Standard 192.168.2.1 und die UDM hat die IP: 10.1.48.1. Von Fritzbox zu UDM ist ein Exposed Host eingerichtet.

Die UDM hat von der Fritzbox im 192.168.2 Netzwerk vom DHCP eine Adresse bekommen und der Rest der Geräte wird über den DHCP Server der UDM mit IP Adressen versorgt.

Folgendes habe ich bereits eingerichtet:

Radius Benutzer:

Name ist selbstverstäbdlich hinterlegt.

Radius Server:

Wo benötige ich dieses Passwort?

VPN Netzwerk:

Im Windows VPN Client habe ich folgendes eingetragen:

Im Feld IP steht meine öffentliche IP, nur ohne Port.

Im Feld "Schlüssel" ist der Schlüssel aus dem VPN Netzwerk hinterlegt.

Beim Verbinden bekomme ich folgende Fehlermeldung:

Kann mir jemand sagen was ich vergessen habe, oder woran scheitert es?

Vorab vielen herzlichen Dank.

P.s Das alte Theme habe ich aktiviert um besser bei Youtube Videos folgen zu können.

So ihr lieben, ich habe mal das Pferd von hinten aufgezäumt.

Ich habe folgende Grundregele erstellt:

Somit sind alle Port von LAN in WAN geblockt.

Dann habe ich zuvor Regeln erstellt mit Portgruppen die von LAN in WAN freigegeben sind.

Kleiner Ausschnitt:

Der Fehler war das ich nicht "Internet out" sondern "Internet in" verwenden musste.

Des weiteren hatte ich in den Regeln Source und Destination Any eingetragen. Somit ist nun Source meine selbst definierte Port Group und Desination = Any.

Somit sind alle Port von LAN in WAN geblockt außer die ich in den davorstehenden Regeln freigegeben habe.

Danke für euere Unterstützung.

P.s Weitere Themen folgen sicher

Zitat von gierig

Ahhh soglangsam wird nen Salami draus..

Wie schau z,.B deine „Standard“ Regel aus ?

Danke gierig für die Infos, hatte deine Nachricht auf anhieb garnicht gesehen.

Ich werde das heute Abend mal versuchen.

Meine Regeln sehen wie folgt aus:

Dabei kannst du die Regel 4000 ignorieren.

Regel 2000 - 2011 sind Portgruppen die von LAN und WAN freigegeben sind. Der Rest sind ja default Regeln.

Ich habe mal Spaßhalber einen Online Portscanner durchlaufen lassen, anscheinend ist alles eingehend von grund auf geblockt.

Ausgehend scheint bisher alles frei zu sein.

Zitat von jkasten

Hast du schon mal versucht das so wie im Screenshot einzustellen... "Before Predefined Rules"... Ich muss zugeben ich bin da aber auch nicht so fit was die Unifi Firewall angeht.

Ja hab ich, funktioniert aber auch nicht.

Dann blockt die Regel von Grund auf alles da die Regel an vorderster Stelle steht.

Zitat von jkasten

Sieht für mich auf den ersten Blick schlüssig aus. Eingehend ist nur die Plex Freigabe offen und ausgehend nur das was du möchtest...

Für mich auch :-).

Wenn ich die Regel 4000 aber aktiviere dann geht nichts mehr. Es wird ausgehend alles geblockt.

Danke für eure Unterstützung. gierig ich bin mir bei deinem Zitat nicht ganz sicher wie das abläuft. So tief bin ich noch nicht in der Materie wie ich es gerne hätte. Aber laut meinem Kollegen ist alles von WAN in LAN dicht. Vielleicht läuft das so ab wie du beschrieben hast.

Ich habe gestern Abend noch etwas herumgespielt, so sehen aktuell meine Regeln aus.

Der Plan war, Regel 2000 bis 2011 die Freigaben von LAN in WAN einzurichten und dir Regel 4000 Block letztendlich alles weg.

Wenn ich die Regel 4000 so einstelle:

dann geht garnichts mehr durch. Dies hatte mir gierig oben ja als Beitrag gepostet.

Von WAN in LAN scheint alles geblockt zu sein. Zumindest schlägt der Onlineportscanner nicht an.

Sry wenn ich mich etwas "dumm" anstelle, ich geb mein bestes Leute :-).

Zitat von gierig

Hat sich was grundlegendes geändert bei SonicWALL ? Default war immer Alles darf raus aber nichts rein.

Bei Sonicwall ist der fefault Zustand so das weder etwas rein noch raus kommt.

Wir konfigurieren die SW so das nichts rein kommt und nur die freigegeben Port raus kommen. Wenn eine Portanfrage von LAN in WAN geht wird der Port automatisch bei der Antwort von WAN in LAN für diese Antwort freigegeben. Deswegen bleibt der default Zustand so dass alle Ports von WAN in LAN geblockt werden. Hoffe ich habe mich halbwegs verständlich ausgedrückt :-).

Mit ist nützlich klar das eine UDM an die Komplexität einer SW nicht ran kommt, aber ich möchte mich damit mal beschäftigen :-).

Zitat von gierig

Das hier blockt alles was in WAN geht, weg...

Ist aber doch eigentlich selbserklärend oder ?

Ja perfekt, das erklärt einiges.

Hatte noch das alte Userinterface und hab das jetzt umgestellt. Das sollte ich nun so hinbekommen. Muss ich heute Abend gleich testen :-).

Zitat von gierig

Üblich sagst du am Ende einfach DROP von ANY zu ANY. Das is Performater, da nicht auf Port geprüft werden muss

und damit am ende ALES gesperrt ist was vorher nicht erlaubt wurde.

Danke für die Info, kannst du mir ma einen Screenshot zukommen lassen wie das einzustellen wäre?

Also zuerst habe ich meine Erlaubt Regeln und zum Schluss dann die Block Regel mit deiner Einstellung?

Danke für eure Unterstützung.

Ich glaub ich lasse einfach meine Sonicwall vor der UDM dann bin ich safe

Ich habe soweit das meiste hinbekommen was ich wollte, danke trotzdem.

Aber dennoch habe ich eine Frage zu generell gesperrten Ports. Muss ich den alle Port (von bis) die ich sperren möchte in eine Gruppe packen und die dann einer Regel zuweisen.

Ich habe Gruppen und Regeln erstellt in denen ich die Ports freigegeben habe die ich freigeben möchte und als letzte Regle, habe ich alle Ports gesperrt. Eigentlich arbeitet ja die UDM von oben nach unten.

Oder was lief an der Stelle falsch?

Zitat von swag

In Wiki sind gute Artikel dazu

Z.B.

Firewall-Regeln 2.0 by defcon

Hallo Swag,

danke für die Info.

Leider ist der Beitrag für mich viel zu umfangreich das ich damit etwas anfangen könnte,.

Generell geht es mir im ersten Step nur darum, alle Ports (bis auf die Ausnahmen) zu sperren.

Ich habe ein Produktiv und-Gastnetz die bereits getrennt sind. Geräte untereinander dürfen Netzübergreifend nicht kommunizieren. Computer und Mobilgeräte dürfen im Produktivnetz alles. lediglich die Ports müssen von LAN in WAN gesperrt werden.

Danke

Hallo zusammen,

ich habe mir vor kurzem eine Dream Machine Pro zugelegt.

Ich arbeite selbst beruflich in der IT Branche und habe viel mit Ubiquiti zu tun. Nur habe ich bisher nichts mit Gateways von Ubiquiti zu tun gehabt. Firewall technisch arbeite ich beruflich sowohl privat mit Sonicwall. Da ich aber ein großer Ubiquiti Fan bin und sämtliche Hardware davon zuhause habe, wollte ich mein Setup mit dem Security Gateway vervollständigen.

Ich weis das die UDM nicht wie eine herkömmliche Firewall arbeitet und zunächst mal alle Ports freigegeben sind. Nun möchte ich aber dass wie bei meiner Sonicwall alle Ports (außer die ich freigegeben habe) z.B. von LAN in WAN gesperrt sind.

Wie kann ich das am einfachsten umsetzten?

Danke vorab für eure Unterstützung.

Grüße

Patrick