Die Unifi Firewall mal ganz anders nutzen.
Warum wollen wir das?
Unifi hat seit geraumer Zeit neben der üblichen Firewall, noch etwas mehr zu bieten. Das wird angepriesen als Traffic-Regeln, und ich zitiere:
"Verwenden Sie Traffic Rules als Firewall der nächsten Generation, die über erweiterte Sicherheitsfilterung verfügt, um bestimmten Datenverkehr zu blockieren, zuzulassen oder die Geschwindigkeit zu begrenzen."
"Wie unterscheiden sich Traffic-Regeln von Firewall-Regeln?
Firewall-Regeln werden im Allgemeinen verwendet, um bestimmte Ports und IP-Adressen abzugleichen.
Traffic-Regeln können nach Kategorien wie einer App oder einer Domain abgeglichen werden und ermöglichen Ihnen, den Datenverkehr auf intuitive und optimierte Weise zu filtern."
Daher setzen wir uns hier damit mal auseinander.
Und wie geht das genau?
Wir kombinieren halt beides. Firewall- und Traffic Regeln. Ein mächtiges Werkzeug.
Ich habe halt im Internet mir diverse Webseiten und Videos angeschaut und bin da auf etwas gestoßen was ich auch so umgesetzt habe und euch daran teil haben lassen möchte.
Darum möchte auch gerne mal meinen Senf dazu geben wie die Firewall und deren Einrichtung aussehen könnte.
Auch habe ich hier bewusst auf Pihole und andere Geschichten verzichtet oder weg gelassen.
Das sind alles weitere Sachen die aber erstmal mehr als das Grundprinzip hinaus gehen und Verwirrung stiften könnten, wie jemanden der keinen hatt oder neu in der Materie Unifi und Netzwerke sowie Firewall und Co ist.
Fangen wir mal an.
Gehen wir mal davon aus, ganz klassisch das MGMT Lan 192.168.1.0/24 als Standard ist.
Dann legen wir mal als Beispiel folgende VLAN´s an.
1. Heimnetz 192.168.2.0/24
2. IOT 192.168.3.0/24
3. Gäste 192.168.8.0/24
Dazu habt ihr evtl. die entsprechenden WLAN´s dazu eingerichtet.
Jetzt legen wir unter "Einstellungen" - "Profile" - "IP-Gruppen", folgende Gruppen an:
Hänge das als Bilder drann weil die sind ja selbst erklärend.
ubiquiti-networks-forum.de/attachment/22108/
Diese IP Bereiche decken halt sämtliche privaten nutzbaren Adressen ab, und erleichtert uns die Arbeit falls später weitere Netze / VLAN´s hinzukommen.
Somit haben wir das schonmal abgedeckt und müssen später auch nicht nachbessern mit weiteren Netzwerk- und oder Gateway Adressen.
Somit ist es halt einfacher und schon alles abgedeckt.
ubiquiti-networks-forum.de/attachment/22110/
Hier kommen alles ausser Heimnetz rein.
ubiquiti-networks-forum.de/attachment/22113/
Hier kommen alle ausser IOT rein.
ubiquiti-networks-forum.de/attachment/22112/
und hier kommen alle ausser Gast rein.
Dann brauchen wir noch:
ubiquiti-networks-forum.de/attachment/22114/
ubiquiti-networks-forum.de/attachment/22115/
ubiquiti-networks-forum.de/attachment/22116/
Zu guter letzt legen wir noch eine Gruppe an.....
ubiquiti-networks-forum.de/attachment/22117/
Damit können wir dann arbeiten und unser System sicher machen.
Unter Einstellungen - Anwendungs-Firewall - Firewall-Regeln, wählen wir den Reiter LAN aus.
Dann unten auf "Eintrag erstellen" gehen und folgende Regel´n in "LAN In" erstellen:
ubiquiti-networks-forum.de/attachment/22133/
und abspeichern. Das ist die Regel "erlaube etablierte / verbundene Sitzungen".
ubiquiti-networks-forum.de/attachment/22132/
auch abspeichern. Das ist die Regel "erlaube dem MGMT-LAN den Zugriff auf alle VLANs".
ubiquiti-networks-forum.de/attachment/22134/
das speichern nicht vergessen. Das ist eine neue Regel für "alle ungültigen Zustände löschen".
Damit wird alles was nicht mehr gültig ist terminiert, also getrennt.
ubiquiti-networks-forum.de/attachment/22135/
und zum Schluss wieder speichern. Das ist die Regel "blockiert die gesamte Kommunikation zwischen VLANs".
Die weiteren Einträge werden jetzt unter "LAN Lokal" eingetragen.
ubiquiti-networks-forum.de/attachment/22136/
Hier blockieren wir das Heimnetzwerk für alle anderen Gateway´s.
Aber da fehlt ja noch etwas, das machen wir jetzt mit der nächsten Regel.
ubiquiti-networks-forum.de/attachment/22137/
Damit blockieren wir den Endgeräten aus diesem Netzwerk / VLAN den Zugriff auf das eigene Gateway.
Das gleiche machen wir jetzt noch mit IOT und Gast.
ubiquiti-networks-forum.de/attachment/22138/
Gesperrt wird wieder der Zugriff auf die anderen Gateway´s.
ubiquiti-networks-forum.de/attachment/22139/
Damit blockieren wir den Endgeräten aus diesem Netzwerk / VLAN den Zugriff auf das eigene Gateway.
ubiquiti-networks-forum.de/attachment/22140/
Wieder der Zugrif auf die anderen Gateway´s gesperrt.
ubiquiti-networks-forum.de/attachment/22141/
Damit blockieren wir den Endgeräten aus diesem Netzwerk / VLAN den Zugriff auf das eigene Gateway.
Somit haben wir das Grundgerüst erstellt und einsatzbereit.
Wir haben die VLAN´s untereinander abgeschottet und die Gateway´s gegen Zugriff der Endgeräte verhindert.
Den Rest kann man etwas anders einrichten, als wie wir das bisher gewohnt waren.
Das ganze machen wir jetzt "Traffic-Regeln".
Dort greifen wir sensibler in die Materie ein um gezielter blockieren, zulassen oder sogar die Geschwindigkeit zu steuern.
Hier können wir für einzelne Geräte oder ganze Netzwerke Regeln erstellen, ob ich Zugriff auf eine Resource haben oder nicht.
Es können geregelt werden, welche Geräte mit ein ander reden dürfen oder auch nicht, welche App´s erlaubt sind oder nicht,
ob Internet erlaubt ist oder nicht und so weiter, aber das wird ein weiterer Wiki Eintrag werden.
Jedenfalls soll uns das ganze dabei helfen weitere Regeln mit wenigen Klick´s zu erstellen, zum täglichen Gebrauch.
Sonst haben wir das ja immer direckt in den Firewallregeln unter "LAN In", aufwändiger gemacht.
Ich hoffe euch damit weiter helfen zu können.
nun viel Spaß beim Networken... 
Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder. 
Kommentare
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Kuenstler
Könnte man die lokale IP-Adresse des PiHole nicht auch einfach unter der Internetkonfiguration hinterlegen? Bei den manuellen Einstellungen der WAN-Schnittstelle lässt sich doch ein DNS für die entsprechende Internet-Leitung angeben.
Naichbindas
Hallo
Klar könntest du das auch so tun, aber dann sei dir bewusst das alles, egal ob rein oder raus über dein Pihole geht,
Jeglicher Traffic, und wenn dann mal was nicht geht ist es schwerer den Fehler zu finden.
Übersichtlicher ist es dann doch besser im Netzwerk das ganze zu regeln.
mfg
MarkusMe
Danke für die Anleitung!
Eine Frage, ich brauche die Verbindung von IOT zu meinem Heimnetz (ist auch MGMT). Geht das dann noch?
Naichbindas
Moin, Du meinst aus deinem IOT VLAn zum MGMT Netz ?
MarkusMe
Ich habe einen Server im Heimnetzwerk, mit dem müssen IOT Geräte kommunizieren können
Naichbindas
Achso ja, as geht das kannst du durch weitere Firewallregeln oder durch Traffic-Regeln bewerkstelligen.
Die von mir beschriebenen Firewallregeln hier, sind nur das Grundgerüst.