Firewall von Unifi - Die Funktionsweise

  • Firewall von Unifi - Die Funktionsweise

    Was wollen wir?

    Wir wolllen uns mal die Funktionsweise vor Augen halten.


    Warum wollen wir das?

    Damit wir verstehen wie alles funktioniert, brauchen wir

    zuerst den Baustein auf dem sich alles aufbaut.

    Das Grundprinzip sollte verinnerlicht werden, um damit dann

    vernünftige und sinnvolle Firewallregeln zu erstellen und anwenden zu können.


    Und wie geht das genau?

    Hier klären wir, was passiert eigentlich und mit diesem Wissen können wir arbeiten.

    Das soll helfen ein Verständniss dafür zu bekommen, um dann weitere im Wiki erklärte Firewallregeln zu verstehen und um zu setzen.


    Die Firewall von Unifi ist ein wenig anders.

    Die meisten sind es vlt. gewohnt das Firewall´s erstmal alles blocken und man jedes einzelne erst freigeben muss.

    Bei Unifi ist es genau anders herum. Da darf erstmal jeder mit jedem und allem kommunizieren.

    Lege ich also VLAN´s an sind die auch untereinander erstmal sehr auskunftsfreudig und unterhaltsam.

    Schauen wir uns das mal genauer an.

    Die Firewall ist zu erreichen unter Einstellungen - Anwendungsfirewall - Firewall-Regeln.

    Zuerst ist die Firewall aufgeteilt in :

    Alle, Internet, LAN, Gast, Internet v6, LAN v6 und Gast v6.

    Die Aufteilung lautet wie folgt:

    Alle : Alle Firewallregeln aufgelistet für IPv4 und IPv6,

    Internet : Hier werden die Internetregeln für IPv4 erstellt,

    LAN : Hier wird der LAN Verkehr der einzelnen VLAN´s geregelt für IPv4,

    Gast : Hier werden die Regeln für die Gastnetzwerke für IPv4 gelistet.

    Internet v6, LAN v6 und Gast v6 : Hier gelten dann die gleichen Bestimmungen,

    wie bei IPv4 aber halt das ganze nur für IPv6.

    Unifi bringt von Haus aus schon ein paar unveränderliche, vorkonfigurierte Firewallregeln mit,

    die für den Betrieb der Unifi Produkte, Vorraussetzung sind.

    Um das ganze noch ein wenig zu verfeinern sind die jeweiligen Punkte, Internet, Lan und Gast für IPv4 und IPv6 jeweils in drei Kategorien unterteilt.

    Diese da nennen sich, "IN", "Out" und "Lokal".

    Die Regeln werden entsprechen dann angewendet für:

    In : Betrifft den Datenverkehr der aus dem Netzwerk kommt und über diese Schnittstelle für andere Netzwerke bestimmt ist,

    Out : Betrifft den Datenverkehr der aus andere Netzwerken stammt und über diese Schnittstelle für dieses Netzwerk bestimmt ist,

    Lokal : Betrifft den Datenverkehr der UDM / USG selbst.

    Dieses gibt es jeweils für Internet, LAN und Gast im IPv4 und IPv6 Bereich.

    Das wird uns klar, sobald wir auf Eintrag erstellen gehen und dann werden wir gleich ganz oben unter "Typ", danach gefragt.

    Hier können wir dann wählen für Internet, LAN, Gast - In, Out oder Lokal.

    Weiterhin können wir wenn gebraucht der Firewallregel, einen Status zuordnen.

    Das wären dann, "Neu", "Etabliert", "Verwandt" und "Ungültig".

    (Die Übersetzung in der Oberfläche von Unifi lässt noch ein wenig zu wünschen übrig)

    Neu : steht für den Datenverkehr aus einer neuen Verbindung,

    Etabliert : betrifft den Datenverkehr aus bereits bestehenden oder bekannten Verbindungen,

    Verwandt : betrifft den neuen Verkehr einer bereits bestehen oder bekannten Verbindung,

    Ungültig : trifft dann zu, wenn keiner der zuvor Genannten Zustände zutrifft.

    Mit diesem Grundwissen können wir dann die Unifi Firewallregeln verstehen und aufbauen.

    Diese werden auch sehr anschaulich im Wiki erklärt.

    Was bleibt noch zu sagen?

    Die Unifi Firewallregeln könnt ihr gut mit Traffic Regeln kombinieren, um eine geziehlte Wirkung zu erreichen.

    Informiert euch auch noch über das Thema, "Gruppen".

    Das vereinfacht einem das erstellen, sowie das spätere arbeiten mit den Firewallregeln.

    Wenn ihr Firewallregeln anlegt, ist noch zu beachten, das erlauben Regeln vor den blockieren Regeln sein müssen.

    Dieses könnt ihr erreichen, in dem man die Regeln an die richtige Position verschiebt.

    Die Firewallregeln bei Unifi werden der Reihe nach abgearbeitet.

    Soll heissen, wenn ich vorher alles blockiere kann danach nix mehr erlaubt werden.

    Nachtrag: Das mit der Reihenfolge betrifft auch die Regeln untereinander. Also die erlauben Regeln werden auch der Reihe nach abgearbeitet und genauso die blokieren Regeln.

    Unifi spricht da von einem Indexing. Desto geringer der Wert um so eher wird diese Regel angewandt.

    Man kann das heute aber nur noch über die alte Oberfläche erkennen. In der neuen leider nicht mehr.

    Also auch innerhalb der Regeln die Reihenfolge beachten. Nicht erst alle VLAN´s untereinander blockieren und dann erst die Gateway´s und so weiter.

    Wenn ich schon vorher die Regel "blockiert die gesamte Kommunikation zwischen VLANs" anwende, kommen die nachfolgenden Regeln garnicht mehr zur Anwendung.

    Nein zuerst die normalen Regeln, dann Gateway´s und zum Schluss, wenn keine der Regeln zutrifft, dann alles sperren.

    Beim erlauben Regeln verhält sich genauso.

    Nun viel Erfolg und wünsche euch viel Spaß, bei der täglichen Arbeit in der Unifiumgebung.


    Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.

    Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.

    Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.

    Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder. :winking_face:

Share

Comments 6

September 28, 2024 at 2:57 PM

Ich komme über einen VPN-Tunnel mit einer öffentlichen IPv4 als VPN-Client über den WAN-Port (Telekom) rein. Die VPN-Verbindung ist aktiv und zeigt auch grün an. Eine Route ist erstellt und ein dazugehöriges Netz (192.168.5.0/24) mit VLAN 5 ist erstellt. Ein Traceroute zu heise.de zeigt auch an, dass die Pakete über diesen Tunnel gehen ins Internet. Ich möchte über die mir zugewiesene öffentliche IPv4 nun Geräte im VLAN 5 von außen erreichen. Ich habe mehrere Firewall-Regeln versucht, ohne Erfolg. Ein Ping auf die zugewiesene IP schlägt fehl. Der Tunnel funktioniert. Ich habe die VPN-Client-Verbindung mal versuchsweise angehalten, und in einer Windows-Maschine den Open-VPN-Client erstellt und aktiviert. Ich kann dann die Maschine per RDP unter Angabe der öffentlichen IPv4-Adresse erfolgreich verbinden. Daher nehme ich an, dass ich etwas in den Firewallregeln übersehen habe. Eine Portweiterleitung kann ich nicht einrichten, da dies ja nur über die WAN-Ports möglich ist. Vielleicht kann mir hier jemand weiterhelfen. Ich wäre sehr erleichtert.

Beste Grüße

Aseidel57
September 28, 2024 at 3:45 PM

Hallo

Habe das ganze mal ebend versucht. Schnell eine Wiregard Verbindung eingerichtet und komme drauf auf meine UDM und wenn ich eine IP im Browser eingebe dann komme ich auch auf die Geräte die ich ansteuern will.

Ich muss dazu sagen das dadurch ebend auch erst ein VLAN erstellt wurde durch WireGard und da ich dafür noch keine Regeln eingerichtet habe geht das natürlich auch VLAN übergreifend.

Erst wenn ich durch Firewallregeln dieses neue VLAn einschränke, erst dann geht das nicht mehr so.

Was hast du denn bisher gemacht und hast du dazu irgendwelche Reglen eingestellt?
September 28, 2024 at 5:17 PM

Meine WireGuard Verbindungen funktionieren auch ohne Probleme, habe WireGuard als Server auf der USG eingerichtet und Firewall-Regeln als LAN IN für jeweils raus und rein erstellt. So erreiche ich von außen auch sauber die entsprechenden Netzwerke dahinter. Da ich noch eine zweite öffentlich IPv4-Adresse brauche, habe ich mir bei portunity eine geholt, die über einen Open-VPN-Tunnel auf die USG als VPN-Client eingerichtet ist. Dieser Tunnel steht und funktioniert. Es ist eine Route eingerichtet, die den gesamten Traffic des eingerichteten Netzwerk mit der VLAN 5 über den Open-VPN-Tunnel leitet. Firewallregeln für dieses Netzwerk sind nicht definiert, also müsste eingehender Traffic auch in das Netzwerk VLAN 5 geleitet werden. Für die anderen eingerichteten Netze sind entsprechende Firewallregeln eingerichtet, die die VLANs entsprechend isolieren.
September 29, 2024 at 3:57 PM

Also wenn ich das etzt richtig verstehe dann hast du einen eigenen Wiregard VPN Server am laufen, da geht ja alles wie es soll.

Über eine Zweite Verbindung hast du dir aber VPN bei portunity geholt, und dein Unifi System ist diesmal nur der Client?

Dann sollte auch evtl mal bei deinem VPN Provider mal nach gesehen werden welche Regeln dort vorgegeben sind.

Ein Client kann nur as machen was ein Server einem vorgibt und nicht umgekehrt. Bin mir nichtmal sicher ob das so geht was du da vor hast. Warum richtest du dir keine weitere VPN Verbindungen von deinem System ein?

Ich glaube auch das diese Konstellation besser als Frage / Problem im Forum sogar besser aufgehoben gewesen wäre.
September 26, 2023 at 11:18 AM

Vielen Dank für Deinen Beitrag!

Out : Betrifft den Datenverkehr der aus andere Netzwerken stammt und über diese Schnittstelle für dieses Netzwerk bestimmt ist,

Der Begriff OUT bezieht sich auf den Datenverkehr aus dem Internet (andere Netzwerke).

richtig?

beste Grüße

georgios
September 26, 2023 at 11:52 AM

Hallo georgios

Nein damit ist das VLAN zu VLAN gemeint.

Was aus dem Internet kommt wird über WAN gesteuert.

PS: wenn du aber dieses dierekt auf den WAN IN beziehst dann ja