Beiträge von sausi81
-
-
Kurze Frage: Mit welcher Regel kann ich in der Firewall der UCG-Ultra festlegen, dass Clients aus bestimmten, in der UCG-Ultra definierten Netzwerken keinen Zugriff auf die Admin-Gui der UCG-Ultra haben?
Danke schion mal für Eure Hilfe.
-
Danke für Deine Antwort!
Die in die Windows-Domäne eingebundenen Windows-Clients sind momentan noch im Netzbereich 192.168.1.0. Die bekommen ihre DNS-Einstellungen auch komplett vom DHCP-Server der Windows-Domäne (ist genau genommen ein Samba-Server). Als DNS-Server ist hier natürlich die Adresse des Domänen-Servers eingetragen. Das oben geschilderte Problem besteht nicht bei den Windows-Clients. Die haben mit dem Unifi-Gateway (noch) nichts zu tun. Es besteht nur mit Netzen, die ich im Unifi direkt angelegt habe, die also hinter dem Gateway liegen. Also die WLAN-Netze, (192.168.5.0 usw.) mit denen ich momentan teste. Auch in diesen Netzen stehen die DNS-Server auf "AUTOMATISCH". Die einzige Stelle, wo ich das jetzt heute auf "manuell" umgestellt habe und händisch lokale DNS-Server eingetragen habe , ist bei INTERNET. Nachdem ich das getan habe, sind die Probleme erstmal verschwunden. Ich hoffe, dass das so bleibt. -
Dann sollte die Kommunikation auch da sein. Die Routen für die Unifi Netze sind in der Fritte, mehr muss da auch nicht gemacht werden fürs routing. Firewallregeln im Unifi Gateway angelegt? Wenn nicht blockt da auch nichts in Richtung WAN der Unifi.
Ich habe keine eigenen Firewallregeln angelegt. Da sind nur die generischen von Unifi.
ZitatZum DNS. In welchem lokalen DNS hast Du was genau eingetragen?
Ich habe genau genommen bei zwei lokalen DNS-Servern etwas eingetragen: auf dem Domänenserver sowie zur Sicherheit auch auf dem Unifi-Gateway. Auch dort sind ja Überschreibungen möglich. Die AA-Einträge sind aber identisch.
Zitat
Einmal bitte ein ipconfig /all von so einem Testclient.Das ist jetzt der Eintrag von ifconfig bei einem Mac:
Code(...) en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=6460<TSO4,TSO6,CHANNEL_IO,PARTIAL_CSUM,ZEROINVERT_CSUM> ether a8:8f:SCHNIPP inet6 fe80::SCHNIPP prefixlen 64 secured scopeid 0xc inet 192.168.120.65 netmask 0xffffff00 broadcast 192.168.120.255 nd6 options=201<PERFORMNUD,DAD> media: autoselect status: active (...)Zitat
Einmal bitte die VLAN Konfiguration des Testnetzes mit aufgeklappten DHCP OptionenBenutzerdefinierte DHCP-Optionen habe ich keine.
Nachdem ich bei INTERNET die DNS-Einstellungen von AUTO auf Manuell geändert und dort einen lokalen DNS-Server eingetragen habe, scheint es momentan zu funktionieren. Bin mir aber nicht sicher, ob nicht vielleicht doch noch irgendwelche alten Einstellungen wirken und es über kurz oder lang wieder nicht funktioniert.
P.S. Und danke für Deine Antwort!
-
Danke für Deine rasche Antwort!
Da habe ich mich dann ungenau ausgedrückt. Es ist umgekehrt. Genau genommen möchte ich aus dem Adressbereich eines WLANs (also z.B. 192.168.5.0; liegt hinter dem Gateway) auf den Bereich 192.168.1.0 zugreifen. Das gelingt zumindest auf IP-Ebene schon, aber eben nicht mittels der DNS-Aufflösung. Ping kann ich jetzt aus dem Kopf nicht sagen, traceroute ist sehr langsam. -
Bislang habe ich auf verschiedene Komponenten gesetzt, um mein Netzwerk zu strukturieren und zu administrieren. Insbesondere eine OPNSense mit Segmentierung, DHCP usw. sowie einen VLANfähgen Switch mit mehreren Subnetzen ist im Einsatz. Das Ganze hinter einer Fritzbox. Jetzt wollte ich mit dem Cloud Gateway Ultra eine zentrale Administration (weiterhin hinter einer Fritzbox) ermöglichen. Wichtig finde ich auch die Filter-Funktionen des Gateways, damit Clients besser vor Ads geschützt sind und bestimmte Anwendungen wie Tiktok und dergleichen gesperrt sind. Das Problem ist, dass ich das Netz nur schrittweise umbauen und das Gateway nur langsam in das Netzwerk "einschleichen" wollte und es dann sukzessive immer mehr Aufgaben übernimmt. Das Netz sieht aktuell so aus:
Die rot unterlegten Bereiche sollen im ersten Schritt ersetzt werden durch das Unifi-Gateway (grün hinterlegt). NAT auf dem Gateway ist abgeschaltet, die Routen sind auf der Fritzbox eingetragen.
Ich weiß natürlich, dass zwischen Gateway und Fritzbox allenfalls eine DMZ oder dergleichen sein sollte und kein komplettes Netzwerk mit Anwendungen. Das soll in weiteren Schritten dann sukzessive lehrbuchmäßig umgebaut werden, zum Beispiel indem das Default-Netz des Gateways auf den 192.168.1.0 Bereich umgesetellt wird, die WAN-Adresse des Gateways und die LAN-Adresse der Fritzbox entsprechend angepasst werden.
Worum es mir nun geht: Ich teste momentan, dass das Unifi Cloud Gateway schon für bestimmte Netze (insbesondere die Netze der WLAN-Accesspoints) anstelle der bislang zuständigen OPNSense die Gateway- und DHCP-Funktion übernimmt. Als DNS-Server hab ich dann für diese Netze jeweils die Gateway-Adresse (zum Beispiel 192.168.5.1) oder den DNS-Server 192.168.1.185 eingetragen. Bei DNS für den "Internet"-Anschluss/WAN auf dem Gateway steht momentan "Auto".
In beiden Konstellationen kommt es beim Testen aber dazu, dass die Clients aus diesen Test-Netzen Server aus dem Bereich 192.168.1.0 über die im lokalen DNS eingetragene Adresse nicht erreichen. Ein an ein solches Test-Netz angeschlossener Cleint bekommt auch eine IP-Nummer und den vorher eingetragenen DNS-Server zugewiesen, via "nslookup" wird auch die richtige IP-Adresse für die jeweiligen DNS-Namen angezeigt, aber die eigentliche Verbindung zu den Servern wird nicht aufgebaut und ein kurzes Traceroute über 2 Hops dauert ewig (2-3 Minuten) und gelegentlich wird dabei sogar auf Ergebnisse von DNS aus dem Internet zugegriffen.Auf dem Gateway läuft auch bereits ein VPN-Server. Wenn ich über diesen eine Verbindung aufbaue (sowohl von extern als auch aus den Test-Netzen oder von Lan-Clients aus dem Netz 192.168.1.0, klappt alles.
Ich bin mir bewußt, dass das oben keine lehrbuchmäßige Konstruktion ist, aber hat jemand eine Idee, welche Einstellungen ich vornehmen muss, damit wenigstens erstmal die Test-Netze hinter dem Gateway richtig funktionieren.
