Wie Gehrsr du Ins Intenet mit der Büchse ? PPOE direct oder oder Nachgelagerter Router und ner Direkten IO auf dem WAN ?w
Ins Internet wählt ne´ AVM Fritz! Cable. Hängt am WAN1.
Posts by Dynamix
-
-
Mhh Welche Version von Network und Controller hast du ?
Netzwerk 9.1.112
Ich habe hier nur die "Internen VLAN + VPN" zu Auswahl und nicht das WAN interface.
Frage weils mich wundert das du das nen WAN Interface stehen hast. Das solle eigentlch das sein wo
der Cleint Drinnen steht, damit das DNAT gleich in der Prerouting am Inerface eingang greifen kann
(also sobald das ding Packet auf den Router aufschlägt und nicht wenn es den router wieder verlassen soll)
Ah, ok. Das könnte der Fehler sein. Ich trage mal das VLAN der Philips Hue (in diesem Beispiel) ein und mal schauen, was passiert.
Ja, bei mir sind tatsächlich VLANs und auch die WAN-Anschlüsse zur Auswahl. -
Destination NAT (Settings / routing / NAT)
https://help.ui.com/hc/en-us/artic…rading-in-UniFi
Sowas wie das hier.. wahlweise kann das über Source / Port / Protokoll noch spezifischer eingestellt werden.
..
Es scheint leider nicht zu klappen...
Evtl. bin ich zu blind, oder die Methode haut doch nicht hin?
-
https://help.ui.com/hc/en-us/artic…rading-in-UniFi
Sowas wie das hier.. wahlweise kann das über Source / Port / Protokoll noch spezifischer eingestellt werden.
..
Exakt sowas habe ich gesucht. Danke!
Wenn in Chinaschrammel der DNS Server fest verdrahtet ist, dann kannst Du daran mal eben nichts ändern. Selbst wenn Du den Traffic verbiegst, kannst Du davon ausgehen, dass dieses Gerät nicht das tut was es soll, denn wegen dem fehlenden DNS scheint ja irgendwas nicht erreichbar zu sein. Und eben dieses nicht erreichbar sorgt offenbar für das nichtfunktionieren der Kamera. Die Kamera würde ich entsorgen, denn eine Kamera sollte problemlos lokal im LAN funktionieren ohne irgendwelche Anbindungen nach draußen.
Hast Du im Grunde recht. Aber bis ich da eine Alternative (hier: besonders klein!) gefunden habe, muss das leider erst Mal so bleiben.
Hostnamen die bei DNS Servern abgefragt werden kannst Du immer dann verbiegen, wenn zum einen der DNS im Gerät eintragbar ist und dieser auch wirklich genutzt wird. Da kommt dann ein eigener DNS rein und dort kann man Einträge nach Wunsch hinterlegen. Prinzipiell kann Pihole und Co. das, die arbeiten ja exakt nach diesem Schema mit den "Werbelisten".
Einen Pihole hätte ich sogar noch. Werde ich mal in Erwägung ziehen. Danke!
Warum bashen eigentlich alle China und Russland?!? Es glaubt doch wohl niemand im ernst, dass unsere "Freunde" auf der anderen Atlantikseite auch nur einen Hauch besser sind.
Vielleicht übertriebene Paranoia, aber wie auch immer, traue ich zumindest beiden Ländern weniger als den Yankees. Statistiken "belegen" ja auch dass die meisten Cybekriminellen Angriffe angeblich aus diesen beiden Ländern und ähnlichen wie Nordkorea kommen sollen. Da ich es nicht prüfen kann, ich aber auch nicht unbedingt toll finde, wenn Chinese DNS- und NTP-Server abgefragt werden, würde ich diese lieber auf lokale Dienste beschränken. NTP kann ja auch die Fritz mit erledigen und DNS mal sehen...
-
Hi allerseits,
ich habe in der UDM Länder-Blockaden aktiviert. Vor allem Länder wie China würde ich gerne draussen behalten.
Nun versucht eine Kamera jedoch bei Neustart immer auf einen Server 114.114.114.114 (scheint wohl ein DNS zu sein) zuzugreifen. Ohne versagt sie scheinbar ihren Dienst.
Meine Frage:
Kann man den Zugriff "verbiegen", die Anfrage irgendwie z.B. an 8.8.8.8 weiter leiten?
Ich habe weitere Devices (z.B. die Philips Hue Bridge (NTP) oder einen Samsung Monitor (mit Azure) die ebenfalls gerne mit China reden möchten. Diese funktionieren wohl auch ohne die Verbindung. Da sind es aber keine IPs sondern Domainnamen. Auch dafür wäre es super, wenn man diese verbiegen könnte. In dem Falle dachte ich an einen lokalen DNS-Eintrag für derartige Anfragen. Bei der Bridge wird das ja vielleicht noch gehen, aber beim Monitor wird das wohl nicht klappen, wenn der irgend ein Update haben möchte.
Wie geht Ihr mit so etwas um? -
Es gibt wohl auch eine Möglichkeit von der Fritzbox direkt auf Netzwerke zuzugreifen. Es gibt hier ein paar threads zum thema das doppeltes nat durch eine statisches routing zu ersetzten. Evt kannst Du dann auf die DNAT Regel verzichten und viellecht greift dann die Regeln korrekt.
Für mich sieht sie korrekt aus aber wenn das Aktivieren den traffic blokiert scheint es ja ein Problem damit zu geben. Kannst Du sehen welche source IPs durchkommen wenn wenn die Regel nicht aktive ist. Evt könnte hier ein versetecktes SNAT diese verändern. Evt z.B. eine lokal IP statt eine deutsche?
Das mit dem direkten Zugriff der Friz also durch einfaches NAT habe ich gelesen. Ich hatte bisher (für mich) keinen Vorteil darin gesehen, das so anzuschließen, da ja sonst alles problemlos läuft und ich dann ja wieder die Frtiz damit zum DHCP mache, wenn ich das richtig gesehen hatte. Genau das wollte ich eigentlich nicht. Lieber alles an einer Stelle. Aber ich schaue nochmal und werde das die Tage mal testweise umschalten - vielleicht wirkt sich das ja dann wirklich an der Firewall negativ aus.
-
(Du hast keine Router wie eine Fritz vor Deinem Unifi Gateway und Du hast Forwarding aktiviert ?)
Ja, ich habe ein FritzBox. Da hängt aber die UDM direkt dran und dort ist bereits das Portforwarding auf den WAN-Port der UDM eingestellt. Dort ein weiteres Port-Forwarding auf den ABUS-Recorder.
Für sich funktioniert das auch. Nur eben diese Blockierung auf Länder-Ebene schaltet dann ab.Wenn ich Dich richtig verstehe funktioniert der Zugriff ohne die allow Regel aber dann für alle Länder die nicht im Länderfilter komplett gefiltert wird ?
Ja, genau.
-
Die allow Regel steht vor oder nach der block?
vor
-
Dann poste mal ein paar Screenshots was du da eingerichtet hast.
Ok. hier die betreffenden Bereiche
-
Das mit dem Geoblocking machst du auch bei den Länderblockaden und nicht in der Firewall. Aber letzendlich wirst du nie alles blockieren können ohne massive Einschränkungen zu bekommen. IDS/IPS aktiv lassen, dann sollte das meiste eh dadurch geblockt werden. Wenn du eingehend alles außer Deutschland blockierst wirst du schnell merken das viele Dinge nicht mehr gehen.
Ja, genau. Das habe ich ja auch gemerkt. Somit habe ich in den Länderblockaden nur die Länder geblockt, wo ich sicher keinen Kontakt habe (China, usw.) oder nicht haben will. Bisher läuft damit alles, was laufen muss.
Nun geht es aber darum, beim Zugriff auf diesen einen Port noch wirklich alles, außer Deutschland zu blockieren. Das wird dann auch gehen, denn es geht ja nur um den einen Port.
Aber genau hier klappts eben nicht. Wenn ich eine solche Firewallregel aufsetze, dann ist der Zugriff auf diesen Port auch aus Deutschland im Anschluss nicht mehr möglich. Genau an dieser Stelle liegt also mein Problemchen. -
Hast du denn mal nur die Portweiterleitung und Region Blocking versucht? Das geht aus deinen Beiträgen noch nicht hervor.
Vielleicht antwortest du Dynamix mal darauf und wir findet evtl eine Lösung: Probleme mit Regeln und Portweiterleitung
Ja, ich habe den Port weiter geleitet und auch Regionen geblockt. Aber eben nicht alle Weltweit. Z.B. USA ist nicht in der generellen Länder-Blockade, da ich diese noch in anderem Punkt offen halten muss.
Die Überlegung geht ja eher dahin, dass ich den Zugriff immer weiter einschränke:
Also zu erst die Länder-Blockade. Dann zwar noch dieser Port offen, speziell diesen dann aber auch für den Zugriff aus der USA weiter einschränken. Die meisten Angriffe erfolgen nämlich auf diesen Port über die USA. Da ich ja den Ort des erlaubten Zugriffs auf Deutschland beschränken kann, schien mir das logisch. Das macht es zwar nicht "perfekt" sicher, das ist mir klar, aber es dürfte doch mindestens die Angriffsmöglichkeit etwas reduzieren.
Also, Länderblockaden: ja, aber nicht alles aussser Deutschland.
Dann in den FIrewall-Regeln der Versuch alle Länder ausser Deutschland zu blockieren.
Aber entweder funktioniert das nicht, weil die Portweiterleitung (viellieicht?) von der UDM anders (oder z.B. vorrangig?) gehandhabt wird, als die Firewallregeln oder ich mache vielleicht auch einfach was falsch. -
Nein, hast Du nicht, Du hast immer von "Regeln" geschrieben. Und mit Firewallregeln hat es halt nichts zu tun.
Oh, man, ich dachte hier bekommt man auch als Einsteiger ernsthafte Hilfe... Statt dessen Erbsenzählerei, Hinterfragung der Dinge die man vor hat, obwohl das mit der grundsätzlichen Frage nichts zu tun hat. Ok. Schon kapiert hier bleiben Nerds lieber unter sich. Dann ist es ok. und ich suche mir ein anderes Forum, wo die Leute statt ihren Frust abzuladen hilfsbereiter sind.
Schönen Tag noch!
-
Ich versuche es noch ein drittes (und letztes) Mal: Nutze das Region Blocking, welches DoPe Dir schon in Beitrag #2 genannt hat!
Das habe ich aber auch schon drei Mal erklärt: das habe ich doch und es funktioniert nicht. Das ist doch genau der Grund meiner Anfrage hier!
-
Naja, ich glaube ich habe das nicht gut genug erklärt, denn es scheint wir reden leider aneinander vorbei...
Also VPN geht nicht. Die User sind wechselnd und ich kann nicht immer bei den Leuten eine VPN-Einwahl einrichten. Das muss unkompliziert gehen.
Aber ist wie gesagt auch hier gar nicht relevant.
Bzgl. der Lösungsansätze:
Das geht leider so nicht. Lösung 1. wäre immer für die gerade gemeldete IP. Das wäre ja quasi endlos und ist ein Katz- und Mausspiel, weil das jeden Tag andere IPs sind.
Das mit den Regeln ist ja genau mein Problem. Das greift irgendwie nicht.
Und zwar:
Portweiterleitung erlaubt den Zugriff von draussen auf diesen einen Port. Das geht zunächst aus jedem Land.
Also blockiere ich per Firewall Regel alle Länder und erlaube dann den Zugriff auf diesen Port aus Deutschland. -
Also, eine APP ist
Von welchen Regeln redest Du eigentlich permanent? Dir kann hier niemand was sagen wenn Du nicht mal konkret zeigst, wo Du überhaupt was konfigurierst.
Wenn Du z.B. von policy based routing Regeln redest, dann haben die mit dem Portforwading erstmal nicht so rasend viel zu tun.
Von den Firewall Regeln in der Zone Based Firewall...
Von welcher App reden wir hier.
Da gebe ich aber auch DoPe recht, nimm VPN.
Damit geht auch deine App die nur aus Deutschland erreichbar sein muss.
Nein, VPN-Einwahl geht nicht, denn es ist eine Kamera-App mit der mehrere User von außen auf Kameras zugreifen. Diese können sich nicht erst per VPN einwählen.
Im Kern möchte ich ja nur wissen, ob wenn eine (zunächst weltweit erreichbare) Portweiterleitung eingerichtet habe, es eine Möglichkeit gibt, alle Länder ausser Deutschland von diesem weiter geleiteten Port wieder auszusperren und wie das dann einzurichten wäre? Wie gesagt; meine Versuche endeten immer in entweder ganz auf, oder ganz zu.
-
Ja, aber das ist für dieses Thema nicht so entscheidend.
Leider bekomme ich diese Einschränkung per Regeln immer noch nicht hin. Ich bin nicht sicher, ob die Portweiterleitung vielleicht "anders" abgefrühstückt wird, als die restlichen Regeln. Fakt ist, es scheint irgendwie nur "an" oder "aus" (je nach Reihenfolge der Regeln zu geben. Diese Zwischenlösung die ich anstrebe versagt den Dienst. -
Das mit der VPN bringt mich hier nicht weiter. Der Port muss aus Deutschland erreichbar sein, sonst funktioniert eine bestimmte App nicht.
Die Ländersperren allgemein existieren in den Einstellungen -> Sicherheit -> Schutz
Weitere kann man dann aber für einzelne Regeln einrichten.Ja, die Regel entstand durch den Müpunkt der Anschlussweiterleitung. Leider lässt diese sich im Nachhinein dann nicht mehr editieren.
Es gibt auch im Portforwarding selbst keine Möglichkeit Länder zu beschränken.
Somit war die Idee im Nachgang diese Öffnung einfach durch eine übergeordnete Regel wieder weiter einzuschränken.
Ich habe also generell alle Länder (China, usw.) mit denen ich gesichert nichts zu tun habe, schon mal unter Sicherheit geblockt.
Aber es gibt ja schon Länder, mit denen man im Alltag in Berührung kommt. Also USA, usw.
In den Threats kann ich dann aber sehen, dass es viele Angriffe auf diesen Port gibt, allerdings fast nichts aus Deutschland.
Die zusätzliche Regel sollte dann eben nur beim Zugriff von aussen auf diesen einen Port alles ausser Zugriffe aus Deutschland schließen.
Das ist natürlich nicht der perfekte Schutz, aber besser als nichts.
-
Hallo allerseits,
bin relativ neu in diesem Thema und habe da durchaus noch Verständnisprobleme, aber vielleicht kann mir hier jemand helfen...
Ich habe eine UDM und diese schon auf die Zone Based-Firewall aktualisiert.
Für einen einzelnen PC habe ich eie Portweiterleitung eingerichtet.
Soweit so gut.
Nun kommt es jeden Tag zu Threat-Meldungen, weil vor allem aus dem Ausland z.B. Portscans auf diesen Port laufen.
Ich greife auf diesen Port ausschließlich aus Deutschland zu.
In der Konfuration der Portweiterleitung, kann ich leider keine Zugriffsländer festlegen.
Nun war die Idee, eine Regel zu definieren, die Zugriffe aus allen Ländern auf die IP dieses PCs komplett verbietet. Das klappt auch soweit.
Nu wäre der nächste Schritt Zugriffe ausschließlich aus Deutschland und zwar nur auf diesen einen Port wieder zu erlauben. Das klappt aber nicht.
Ich denke, hier liegt genau mein Verständnisproblem und ich mache was falsch.
Hat jemand da eine einfache Erklärung, wie ich das einzurichten hätte?
Danke für die Hife schon mal.
VG,
Micha
