Beiträge von Dany250

Zitat von Networker

Ich fürchte, hier besteht ein grundsätzliches Missverständnis: Es braucht genau eine Regel, um jeglichen Traffic zwischen VLANs zu blockieren. Diese muss im Regelwerk unterhalb der "Erlauben"-Regeln stehen, eine Firewall arbeitet die Regeln von oben nach unten ab.

Google-Stichwort: block inter vlan traffic

Das habe ich schon verstanden und auch so umgesetzt. Ich blockiere die VLANs jeweils mit einer Regel, (Beispiel "VLAN ARBEIT" darf nicht zu "VLAN Zuhause" und "VLAN IoT"). Vereinzelt lass ich dann einzelnen Geräte wieder Zugang zu manchen Dingen. Ich hoffe stark das ist so richtig, denn in der Praxis klappt das genau so bei mir.

Zitat von Networker

Woran genau scheitert es denn? Du gibst als IP Group lediglich die Netzmaske an, die Du schon beim erstellen des Wireguard-VPN-Servers angegeben hast...

Ich habe die Gruppe wie folgt erstellen können

Typ: IPv4-Adresse/Subnetz

Straße: 192.168.X.0/24

Ist das so richtig? Die von mir eingegebene Hostadresse für das VPN lautet 192.168.X.1.

Mit einer "Einfachen"-Regel habe ich als Quelle nur die einzelnen VLANs oder alle einzelnen Geräte zur Auswahl, hier kann ich die IP-Gruppe gar nicht auswählen. Und sobald ich die "Erweiterte"-Regel nutze kann ich nicht bequem die einzelnen VLANs blocken, sondern kann immer nur eins auswählen, die Regel lässt sich dennoch nicht speichern.

Mein Ziel soll sein, dass ich über das VPN erst mal gar nichts machen kann. Ich möchte wenn alles gesperrt ist einzelne Geräte dafür freigeben, so wie ich es mit den VLANs auch gemacht habe.

Ich bekomm es mit den IP Gruppen nicht gewuppt. Selbst wenn ich eine erfolgreich (wobei schwer zu überprüfen, sagen wir ich konnte Sie erstellen), lässt sich damit keine Firewallregel erstellen. Und kann es sein, dass ich das dann für jedes VLAN getrennt sperren muss, also keine Mehrfachauswahl geht?

Zitat von Dany250

Ich probier es heut auch mal mit Wireguard aus, ich denke die Einrichtung wird nicht anders sein als die des normalen VPNs, oder?

Kurze Rückmeldung, auch mit Wireguard hats problemlos geklappt...

Warum klappt hier einfach alles auf Anhieb ? Da muss doch irgendwas faul sein...

Gibts irgendwie als Nutzer einen Unterschied zwischen den beiden VPN Varianten? Ich hab ein Hebel in den Einstellungen des Handys und beide leg ich um und komm da hin wo ich hin muss...

Zitat von Networker

Nein, der Server ist ja mittlerweile in allen Fritzboxen und Unifi-Routern enthalten und den Software-Client kannst Du Dir für alle gängigen Betriebssysteme kostenfrei herunterladen.

Ich probier es heut auch mal mit Wireguard aus, ich denke die Einrichtung wird nicht anders sein als die des normalen VPNs, oder?

Zitat von Networker

Unifi-Router blocken im Standard auch keinen Verkehr im zwischen Subnetzen. Wenn Du Deine VLANs prinzipiell getrennt haben willst, musst Du dafür eine Firewallregel erstellen (dazu gibt es hier und auch auf offiziellen Seiten sehr viele Anleitungen und Dokus).

Für das VPN musst Du Dir noch ein "Objekt" erstellen: Settings --> Profiles --> IP Groups

Dieses kannst Du dann für Firewallregeln nutzen und alles so freigeben oder beschränken, wie Du es benötigst.

So hab ich es mit jedem meiner VLANs angestellt, erst mal mit Regeln alles blocken und dann Stück für Stück freigeben was ich brauche, dass hat mich auch etwas stutzig mit dem VPN gemacht.

Kannst du mir das mit dem Objekt bitte noch ein bisschen genauer erklären? Ich würds gern verstehen, seh aber nur die drei Punkte "Profilname", "Typ" und "Anschluss". Was muss ich hier eintragen und wie danach damit umgehen?

Zitat von Networker

Du hast Dir doch ein UCG mit deutlich mächtigerer Firewall als die in der Fritzbox angeschafft, wieso möchtest Du jetzt doch die Fritzbox zurück?

Ich bin irgendwie etwas skeptisch, weil ich monatelang irgendwie Angst vor dem Aufbau und der Einrichtung hatte. Jahrelang Fritzbox, alles recht einfach und dann was ganz was neues, was irgendwie komplizierter schien.

Mittlerweile muss ich aber sagen, sooo kompliziert fand ich die Einrichtung (als Laie) gar nicht und alles läuft bisher ziemlich reibungslos. Fast schon zu einfach, weshalb ich das Gefühl habe irgendwas übersehen oder vergessen zu haben .

Ist Wireguard nicht kostenpflichtig?

Das mit der nicht mehr notwendigen Portweiterleitung habe ich verstanden. Ich habe jetzt auch verstanden was VPN macht, ich habe es eben mal getestet und konnte mich von extern mittels der internen IP auf ein Gerät im Haus schalten, klappt also.

Was ich meinte war falsch von mir gedacht, ich komme durch das VPN ja mit der internen IP des NAS direkt drauf, das passt denke ich.

Ich hab nur schon so viel von Regeln gelesen, dass ich mich jetzt wundere, dass ich nun von extern auf alle Netzwerke zugreifen kann. Wie erstelle ich denn Regeln für das VPN? Es taucht bei den üblichen Regeln nicht auf.

Und eine grundsätzliche Frage noch zum Exposed Host. Mit dieser Funktion habe ich nun endgültig die Firewall der Fritzbox umschifft, bin ich jetzt eigentlich noch ausreichend geschützt? Irgendwie fühlt es sich nicht so an…

So, ich hab es wohl geschafft, danke für deine Unterstützung.

Ich habe erfolgreich dynDNS auf der Fritzbox aktiviert und sie auch als exposed host eingerichtet. Ebenso hat es auf Anhieb mit dem VPN auf dem UCG hingehauen. Ich hab dort einfach unter "VPN" --> "VPN Server" ein neues L2TP VPN erstellt und mich auch erfolgreich mit dem iPhone verbunden, zumindest konnte das iPhone die VPN Verbindung herstellen und in der UniFi Oberfläche steht nun auch 1 aktiver Client.

Seltsam finde ich, dass ich unter Netzwerke nichts einrichten kann. Wo erstelle ich denn Regeln zur Verwendung?

Ich muss gestehen, dass ich Stand heute noch keine Verwendung habe, weil ich mein NAS noch nicht wieder reaktiviert habe, ich wollte nur das Thema hier schon mal erledigt haben. Ziel ist es, von außerhalb dann auf das NAS zugreifen zu können.

Wie gestalte ich das denn am besten? Früher habe ich das eben über Portweiterleitungen eingerichtet und damit dann direkt Zugriff gehabt. Nehmen wir das Beispiel meiner Synology App, hier einfach die Domain eingetippt, den Benutzer und dessen Passwort und schon war ich auf dem NAS. Das geht sicher mit dem VPN genauso leicht, nur was muss ich wie einrichten?

Ich habe mich jetzt mal ein bisschen damit beschäftigt wie ich mittels VPN Zugriff auf mein Netzwerk erstelle (ich muss gestehen es in der Vergangenheit mit der Fritzbox immer ohne VPN gemacht zu haben ).

Hier habe ich aber direkt mal ein paar weitere Fragen, zuerst nochmal meine Konstellation.

Ich habe eine Fritzbox, die ich vor dem Aufbau meines Unifi Netzwerks zurückgesetzt habe. Danach hab ich einfach nur wieder die Zugangsdaten meines Internetanbieters in die Fritzbox eingegeben und den UCG-Ultra mit der Fritzbox per LAN Kabel verbunden. Also alles fast jungfräulich auf der Fritzbox.

Die Frage die sich mir jetzt stellt, muss ich die VPN Verbindung nun auf der Fritzbox erstellen oder auf meinem UCG? Ich habe eine eigene Domain bei Strato und mein Internet Anbieter hat noch IPv4, bedeutet ich sollte ja problemlos über DynDNS zugreifen können. Auch hier die Frage, muss ich das auf der Fritzbox einrichten oder auf dem UCG?

Die Einrichtung an sich ist glaube ich nicht wirklich schwer, vielleicht könnt ihr mir aber bei den beiden Fragen behilflich sein und mir dann noch sagen, ob ich was beachten muss, vielleicht Portweiterleitung oder irgendeine Firewallregel, etc.?

Vielen Dank und viele Grüße

Dany

So ich habe jetzt mal eine Regel erstellt, mit der ich gewissen Clients den Zugriff in das Netzwerk des AppleTVs gestatte, aber nur in diese Richtung. Seit dem geht auch der Zugriff auf die Videos...

Guten Morgen ihr Lieben!

Also viel hab ich noch gar nicht in der Firewall gemacht, ganz am Anfang habe ich jedem Netzwerk verboten mit einem anderen Kontakt aufzubauen und das auch so belassen. Vereinzelt habe ich dann wieder Rechte vergeben wie zum Beispiel die Verbindung von meinem PC zum Wechselrichter.

Ich habe eben mal den Block vom Netzwerk "Handy" (heißt jetzt nur als Beispiel so) UND Netzwerk "HomeKit" aufgehoben und siehe da, ich kann auf die Live-Cams zugreifen. Mach ich den Block wieder rein gehts nicht mehr, ich muss aber beide aufheben.

Seltsam finde ich aber noch immer, dass alles außer die Live Videos gehen, selbst Aufnahmen in HomeKit kann ich abspielen.

Könnte ihr mir sagen, was ich nun aber mit dieser Information anfangen kann? Was muss ich für Regeln erstellen, dass es auch au einem anderen Netzwerk geht, denn alles ausschalten klingt nicht gut .

Ich hatte vorher auch schon versucht von der einen IP (Handy) zur anderen (AppleTV) den Zugriff zuzulassen, das hat aber nicht geklappt, bzw. es gab keine Veränderung.

Habt ihr wieder Ideen?

Huhu,

ich hab mal wieder eine kleine Zwischenfrage.

Ich habe gestern mal etwas mit HomeKit rumprobiert und bin auf etwas seltsames gestoßen für das ich keine Lösung finde.

Ich habe 3 Kameras in HomeKit eingebunden. Mein AppleTV ist die Steuerzentrale. Alles funktioniert prima, egal ob ich im (selben) WLAN bin oder unterwegs über das Mobilfunknetz darauf zugreife.

AAABBBERRR:

Wenn ich im selben WLAN verbunden bin geht alles reibungslos, sobald ich aber das WLAN wechsle, habe ich keinen Zugriff mehr auf die Kameras und zwar nur auf die Kameras, Lampen, Jalousien, etc. funktionieren weiterhin reibungslos. Die Fehlermeldung lautet:

Keine Antwort

Diese Kamera antwortet nicht.

Ich kann mir dieses Phänomen überhaupt nicht erklären, gerade weil es von außerhalb geht und weil alles andere außer die Kameras auch aus dem anderen WLAN klappt? Fremde WLANs funktionieren übrigens auch einwandfrei...

Habt ihr eine Idee?

Viele Grüße

Dany

Vielen Dank für deine Ausführlichen Antworten!

Ich werde die Ratschläge nun erst mal beherzigen und alles geschriebene verarbeiten, ist doch etwas mehr und etwas komplizierter als irgendwann einmal gedacht...

Aber Stück für Stück wird das schon, ich verstehe (glaube es zumindest) immer mehr...

Das heißt dann praktisch, dass diese Geräte auch wenn es den Anschein hat, dass sie es könnten, eigentlich nur diese eine Verbindung nutzen "dürfen" und sonst nichts?

Ich hatte immer meine Bedenken, dass der chinesische Saugroboter auch wild mein gesamtes Netzwerk ausspioniert, da er ja sogar das WLAN Passwort bekommen hat...

Tomcat

Ich werd mir das mit der Matrix genauer anschauen!

Die anderen Dinge die von dir aufgezählt wurden sind durch, Haus ist fertig, Verkabelung entsprechend auch und die "erste" Hardware sitzt da wo sie sein soll, siehe eben diesen Thread. Da lässt sich jetzt nichts mehr dran rütteln...

Aber wie gesagt, die Matrix scheint meine nächste Hürde zu werden...

DoPe

DANKEEEEE!!!!! Für deine Ausführliche Antwort!

Was das Mesh anbelangt, meine ich verstanden zu haben, dass das ungefähr die Aufgabe darstellt, die bei AVM Repeater haben. Das WLAN wird einfach nur weitergegeben, aber es kommt eben immer schwächer an jedem Punkt an. Und wenn ich dich weiter richtig verstanden habe, ist deine Empfehlung für mich (weil ich alle APs per Kabel anbinden konnte) nach gierig Anleitung mesh bei mir auszuschalten.

Ich werde mit einer Matrix anfangen, danke! Kann nur etwas dauern... Was aber meinst du mit Verbindung starten, A zu B und B zu A. Wenn ich beispielsweise eine Verbindung zum Receiver möchte, dann muss er nicht direkt eine Verbindung zu mir haben, was aber, wenn ich an seine Aufnahmen möchte? Oder wie schlüssle ich das mit dem Drucker auf?

Wie ist das eigentlich mit all den Geräten die ohne jegliche von mir freigegebene Weiterleitung dennoch von außen angesprochen werden können (Lampen, Kameras, Saugroboter, Thermometer, etc.). Warum können die das und sind diese Geräte nicht eine potenzielle Gefahr (auch für sich untereinander)?

Natürlich habe ich in der Vergangenheit alles über Portforwarding erledigt . Noch nie irgendwas über VPN erledigt...

Zitat von gierig

Settings -> System -> Advance ->Wireless Meshing ausschalten.

Schon sind es 8 Pro Band..

Alles anzeigen

Das kann ich sicher machen, aber ich möchte verstehen was ich da tue... Was schalte ich damit aus?

Ich weiß was mesh bedeutet und tut, aber was macht es hier im Unifi System?

Zitat von DoPe

Was willst Du eigentlich erreichen?

Entschuldige, irgendwie schein ich deine Antwort übersehen zu haben .

Ich möchte ehrlich sein, so wirklich weiß ich es selbst noch nicht. Ich möchte ein möglichst sicheres Netzwerk erstellen und nicht genau so schludrig weitermachen wie bisher. Deshalb versuche ich auch irgendwie alles zu trennen was möglich ist, merke aber schon, dass mir das später auch wieder auf die Füße fallen kann, weil kein Gerät mehr mit dem anderen reden kann.

Bisher habe ich mit meiner Fritzbox eigentlich alles umsetzen können was mir in den Sinn gekommen ist. Auch wenn ich nicht wirklich Ahnung von der Materie hatte läuft alles. Ich nehm beispielsweise mit einem Sat-Receiver bei den Schwiegereltern Formel 1 aus dem österreichischem TV auf, lad mir die Aufnahmen danach auf mein NAS, welches an meinem Kabel-Receiver angeschlossen ist und schau dann einfach über den Aufnahmenordner meines Receiver Formel 1. Ich betreibe einen eigenen Mail-Server den ich eigentlich nicht brauche, etc. Mit anderen Worten mach ich lauter Dummheiten und hatte bisher einfach nur Glück, dass in der Vergangenheit noch nichts schlimmes mit all meinen Daten passiert ist. Ich bin sicher, meine "Haustür" steht das ganze Jahr über sperrangelweit offen, bisher hat sich einfach nur noch niemand für mich interessiert.

Ich hab das Gefühl, dass es dumm ist einem ungesicherten Receiver Zugriff von außen auf mein NAS zu geben, auf dem all meine persönlichen Dinge abgelegt sind. Zudem hat ein weiterer Receiver Zugriff auf mein NAS im selben Netzwerk, der an meinem mit dem Internet verbundenen Fernseher hängt. Im selben WLAN/Netzwerk hängen chinesische Thermometer, Saugroboter, Kameras, etc.

Das muss jetzt anders werden. Im neuen Haus hängen fast alle zum Leben notwendigen Systeme am Netz, es fängt mit der Lichtsteuerung über Hue an, Außenjalousien von Somfy, Haustür über eKey und Nuki, Fenstersensoren von Eve, Raumthermostate und Rauchmelder von Bosch, Kameras von XY, es hört kaum, Wärmepumpe, Lüftungsanlage, Wechselrichter, Kühl- und Gefrierschrank, Backofen, Spülmaschiene, usw, usw. usw. Und am Ende soll noch alles über Apples HomeKit und einem iPad an der Wand und über die Stimme via Amazons Alexa gesteuert werden können. Das funktioniert sicher alles, aber es fühlt sich sooo unsicher an... Alles hängt irgendwie im Internet und darf keinen Kontakt zu meinen persönlichen Dingen haben und auch nicht zu den sensiblen Geräten, die das Haus eigentlich schützen sollen.

Ich weiß nicht wie ich das unter einen Hut bekommen soll, beispielsweise soll der Drucker aus dem Büro nicht nur vom Arbeitsrechner aus genutzt werden sollen, sondern eigentlich im ganzen Haus via AirPrint, das Büronetzwerk soll aber eigentlich getrennt werden, da ich nicht will, dass irgendein ITler aus der Firma meine privaten Urlaubsbilder anschauen kann...

Ich weiß, dass ich das irgendwie kann, aber es scheitert aktuell schon am Anfang, in dem ich scheinbar nicht mal verstehe was VLAN tut und warum ich einem WLAN nur immer ein VLAN zuordnen kann... Ist grad ein bisschen demotivierend...

Ich kann nur vier erstellen, erst wenn ich einem WLAN ein Band nehme, kann ich ein weiteres erstellen (siehe Anhang).

Darf ich dich zu deiner Konfiguration noch fragen, wie viele VLANs du erstellt hast?

(Es gibt übrigens keinen Grund euch nicht zu glauben, natürlich glaube ich euch Profis erst einmal alles. Ich habe noch überhaupt keine Ahnung und versuch mich grade in diese neue Welt einzuarbeiten. Es ist alles sehr viel anders als mit einer einfachen Fritzbox zu arbeiten, aber ich will es verstehen und umsetzen. Je mehr Videos ich jedoch anschaue und Beiträge darüber lese, desto komplizierter scheint alles für mich zu werden. Ich hoffe sehr auf euer Verständnis zu all meinen „dummen“ Fragen und hoffe wirklich dieses Vorhaben mit euch umsetzen zu können.)

Ja, wenn ich die Bänder splitte…

Eure Antworten zeigen mir, dass ich richtig liege und mein Vorhaben ohne weiteres nicht möglich ist.

Heißt aber auch, die Welt scheint damit gut klar zu kommen, also kann ich das sicherlich auch.

Mein Gedanke kreist darüber, potenziell unsicheren Geräten nicht einen WLAN Schlüssel zu geben, den andere Nutzer auch nutzen.

Wie macht ihr das dann, gebt ihr tatsächlich jedem Gerät den Schlüssel und verbietet ihm dann händisch unerwünschte Aktivitäten?

EDIT:

Zitat von DoPe

Genau 8 SSIDs wenn Du Wireless Mesh Systemweit deaktivierst.

Was bitte bedeutet das nun wieder?

Das geht ja nicht, ich kann nur 4 WLANs erstellen…

Das mit den Nutzergruppen war nur beispielhaft gemeint, aber nimm einfach:

- Zuhause

- IoT

- Arbeit

- Gast

- Server

- Dingsbumsausprobiernetz

Danke! Ich denke im Grunde habe ich es verstanden.

Was aber, wenn ich beispielsweise 6 VLANs betreiben möchte und auch will, dass entsprechend jedes VLAN über eine eigene SSID ins Netz kommt (LAN Ports lass ich jetzt mit Absicht außen vor, es geht also nur um WLAN).

Als Beispiel habe ich 6 WLAN Benutzergruppen, jeder Gruppe möchte ich eine eigene SSID geben um über entsprechende Regeln (in den VLANs) jeder dieser Gruppen Dinge zu erlauben und wieder nicht.

Mir ist klar, ich könnte nach dem Login jedem einzelnen Nutzer in einer Gruppe Regeln zuweisen, dass möchte ich aber nicht, ich möchte das jeder Neuankömmling allein durch die SSID in seine Schranken verwiesen wird.

Wenn ich dich richtig verstanden habe, geht das mit meiner Konfiguration aber dann gar nicht. Somit nutzen mir auch mehr VLANs nichts, oder (immer noch so lange ich die LAN Anschlüsse außer Betracht lasse)?