Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Danke für eure Hilfe ich konnte mein vorhaben nun umsetzen:
Etwas verstehe ich jedoch nicht:
Warum sind alle Gateways der geblockten Subnetze erreichbar ausser das 192.168.0.1 ?
Ping:
Mir ist klar das es nur ein Gateway gibt und das ist meine UDM jedoch wir diese in jedem Subnetz separat angesprochen.
Nicht nur gelesen, sondern eben so abgearbeitet und dann gilt eben "First match", die erste Regel, dei zutrifft, wird genommen, die danach für den Request nicht mehr beachtet.
Dann müsste ich zuerst erlauben und danach Blocken
Irgend etwas Blockiert hier noch:
Ich habe pings an die drei ins in der Gruppe (connect to RDP) gesendet:
Für das Letzte VLAN gibt es noch keine Block Regel
Im log tauchen nur dies bei der Allow Regel auf:
| 2024-07-10 | 21:48:33 | Hinweis | UDMPRO | user | DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13845 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=542 MARK=1a0000 | |
| 2024-07-10 | 21:48:32 | Hinweis | UDMPRO | user | DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13844 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=541 MARK=1a0000 | |
| 2024-07-10 | 21:48:31 | Hinweis | UDMPRO | user | DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13843 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=540 MARK=1a0000 | |
| 2024-07-10 | 21:48:30 | Hinweis | UDMPRO | user | DESCR="Allow Konsole RDP" IN=br222 OUT=br500 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=10.98.4.3 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=13842 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=539 MARK=1a0000 |
Scheint so als kann die VM nicht antworten: den zu dieser zeit gibt es keinen LOG eintrag bei der oberen Allow Regel
| 2024-07-10 | 21:56:58 | Hinweis | UDMPRO | user | DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000 | |
| 2024-07-10 | 21:56:54 | Hinweis | UDMPRO | user | DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000 | |
| 2024-07-10 | 21:56:52 | Hinweis | UDMPRO | user | DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000 | |
| 2024-07-10 | 21:56:51 | Hinweis | UDMPRO | user | DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 MARK=1a0000 | |
| 2024-07-10 | 21:56:50 | Hinweis | UDMPRO | user | DESCR="Allow VM 304" IN=br0 OUT=br222 MAC=7a:45:58:c1:51:54:24:5e:be:81:7a:ce:08:00 SRC=192.168.0.86 DST=172.29.222.51 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=51174 DPT=3389 SEQ=1768065761 ACK=0 WINDOW=65535 SYN URGP=0 |
Die Block Rolle greift trotzdem noch:
SRC 172.29.222.51 DST: 192.168.0.86 was eigentlich durchgelassen werden sollte
| 2024-07-10 | 22:15:36 | Hinweis | UDMPRO | user | DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=40 TOS=00 PREC=0x00 TTL=127 ID=43863 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587101 ACK=742075705 WINDOW=0 RST URGP=0 MARK=1a0000 | |
| 2024-07-10 | 22:15:30 | Hinweis | UDMPRO | user | DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43862 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000 | |
| 2024-07-10 | 22:15:22 | Hinweis | UDMPRO | user | DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43861 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000 | |
| 2024-07-10 | 22:15:21 | Hinweis | UDMPRO | user | DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=40 TOS=00 PREC=0x00 TTL=127 ID=43860 DF PROTO=TCP SPT=3389 DPT=55760 SEQ=3591442538 ACK=3472527513 WINDOW=0 RST URGP=0 MARK=1a0000 | |
| 2024-07-10 | 22:15:18 | Hinweis | UDMPRO | user | DESCR="Konsole To Home-Lan" IN=br222 OUT=br0 MAC=78:45:58:c1:51:5d:62:95:7f:17:cc:fc:08:00 SRC=172.29.222.51 DST=192.168.0.86 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=43859 DF PROTO=TCP SPT=3389 DPT=55771 SEQ=3086587100 ACK=742075705 WINDOW=64000 ACK SYN URGP=0 MARK=1a0000 |
So sie sieht es jetzt aus
sind dies alles LAN in müsste die Letzte nicht eine LAN Out Regel sein ?
Du willst also Alle vlans dürfen zu konsole reden aber konsole darf nicht reden richtig?
Korrekt
Das Blockieren hat funktioniert:
Das mit dem Erlauben leider nicht, ich bin soweit gegangen das ich es auf die Einzelne VM unterbrechen könnte da es dort nur eine gibt:
Geht leider nicht.
iTweek
Hallo
Danke für den Input
"Also Regel erstellen in LAN IN. Drop. Netzwerk a zu b"
Mich verwirrte das er alles gedroht hatte bis auf das Vlan 1 ( 192.168.0.0/23) ob wohl dies auch gedroht werden soll.
"Dann Regel erstellen welche Gerät darf denn drauf zugreifen?"
Die Idee war Konsole zu Allen anderen VLan darf keine komunikation passieren.
Alle Vlan zu Konsole jedoch
Mein Gedanke wäre jetzt das Vlad zu isolieren und dann gezielt zu öffnen dies hätte doch den selben Effekt ?
Oder ist dies etwas anderes ?
Hallo zusammen
Ich scheitere grade an einer einfachen FW Rule
Alle clients im Vlan Konsolen sollen keine Verbindung mehr in ein anderes Vlan machen können. Jedoch möchte ich noch Verbindung zur VM haben
das Vlan ist nicht isoliert.
Ich greife aus dem Home lan ( 192.168.0.0/23) auf die VM zu
Bei allen anderen in der Gruppe ist der Gateway nicht zu erreichen beim HomeLan jedoch schon wie kann dies sien?
Screenshot 1 Ping aller Gateway
Screenshot 2 Firewall Regel und Inhalt der ip Gruppe ( alle ausser Konsole )
Meine Netzwerke / Vlans die alle Offen sind bis auf das Gast Lan.
Besten dank im voraus für eure Hilfe
zur Zeit sind 81 Mitglieder (davon 3 unsichtbar) und 265 Gäste online - Rekord: 129 Benutzer ()
