Die UniFi Firewall des Security Gateway einstellen. UniFi Firewall Regeln erstellen und mit einer VLAN Isolation den Datenverkehr verschiedener Netze beschrรคnken. Eine Einfรผhrung fรผr Anfรคnger.
Vorwort
Vorab ist wichtig zu wissen, die UniFi Firewall ist in der Grundeinstellung perfekt eingestellt. Es wird wie gewollt und รผblich kein Datenverkehr รผber das Internet in das Netzwerk gelassen. Das tut auch eine FRITZ!Box oder ein Speedport ebenso wenig. Wenn die Gastrichtlinien wie in meinem Beitrag hier eingerichtet sind, dรผrfen Gรคste auch nur im Internet surfen und nicht in private Netze nach RFC 1918 zugreifen.
Demzufolge sind Einstellungen in der Firewall nur dann nรถtig, wenn zum Beispiel das Sperren von Ports oder VLAN Isolation angedacht sind.ย
- UDM-PRO
- Entwickelt, um ein ausgezeichnetes Kundenerlebnis zu bieten
UniFi Security Gateway Firewall
Was bedeuten die Firewall Regeln genau?
WAN ist das Internet oder externe Netzwerk
LAN ist irgendein internes Netzwerk, ausser Gast
GUEST internes Netzwerk, welches als Gast definiert wurde
LOCAL Netzwerkverkehr auf die Firewall selbst
WAN IN (WAN eingehend)
Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prรผft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.
WAN OUT (WAN ausgehend)
Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Mรถchte ich zum Beispiel fรผr alle Netzwerke dahinter den Port 22 fรผr SSH blockieren, ist hier der richtige Ort. Allerdings heiรt das auch, fรผr wirklich alle Netzwerke dahinter.
WAN LOCAL (WAN lokal)
Hier sind keine Einstellungen nรถtig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerรคt im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.
LAN OUT (LAN ausgehend)
Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.
LAN IN (LAN eingehend)
Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort fรผr Regeln. รbrigens ist es sinnvoll, hier die Regeln fรผr die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nรคmlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.
LAN LOCAL (LAN lokal)
Der Datenverkehr der USG Firewall fรผr die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.
Analog dem LAN ist die Aussage fรผr das Gastnetzwerk zu verstehen.
- gerรคtetyp: switch
- lan: 10/100/1000 mbit/s, auto-mdi/mdix
VLAN Isolation
Um die privaten Netzwerke via VLAN Isolation voneinander zu trennen, lege ich eine Regel in LAN IN an. Diese Regel soll vor den vordefinierten Regeln angewandt werden, diese erlauben nรคmlich den Datenverkehr zwischen den VLANs. Die Datenpakete sollen den Zustand Neu, Hergestellt und Bezogen auf haben. Als Quelle gebe ich das Quellnetzwerk an, von dem auf ein anderes Netzwerk nicht zugegriffen werden soll. Wichtig ist, NETv4 um das gesamte Netzwerk zu definieren. Das Ziel ist das Zielnetzwerk, auf welches nicht zugegriffen werden soll und ebenfalls NETv4.
Das ist so oft zu wiederholen, bis alle gewรผnschten Zugriffe von einem auf das andere Netzwerk definiert sind.
UniFi Netzwerk einrichten von A-Z
69,90 €
inkl. 19 % MwSt.
Inkl. 19% MwSt.
Das UniFi Netzwerk einrichten von A-Z, fรผr privat und den geschรคftlichen Einsatz. Dabei kommen auch spezielle Eigenschaften der Dream Machine zum Einsatz, als auch einem ordinรคren UniFi Netzwerk mit Access Points und Switch. Der Aufbau ist zunรคchst fรผr alle Einsatzzwecke gleich und weitere Kapitel sind hierbei optional. Ob 802.1X und MAC basierte Anwendung mit dynamischer VLAN Zuordnung zum Einsatz kommt oder nicht, kann jeder selbst entscheiden. Zusรคtzlich zeige ich, wie man ein eigenes Kameranetzwerk mit einer Synology DiskStation und dediziertem LAN-Port realisiert und den Kameras den Internetzugriff verwehrt. Ebenfalls wird ein Netzwerk fรผr die Forschung und Entwicklung als Beispiel angelegt, welches von anderen VLANs komplett abgeschottet ist, dennoch aber Internetzugriff hat. Weiter ein drahtloses Netzwerk, bei dem man sich mit Benutzernamen und Kennwort der Synology DiskStation (lokal, LDAP oder Domรคne) anmeldet, statt einem Schlรผssel.
Dieser Kurs basiert auf UniFi 6.0.43 in der klassischen Ansicht der UI!
Einfach erklรคrt in รผber 2 Stunden Videomaterial.ย Hier geht es zum gesamten Kurs mit den Beispiel-Lektionen. Bitte lesen Sie fรผr alle Details zum Kurs dieย detaillierteย Beschreibung!
Hallo Dominik,
wie stark weicht der Kurs zum aktuellen UI und der jetzigen OS Version ab?
Im Voraus vielen Dank.
Gruร Michael
Hallo Michael,
da ist einiges passiert, allerdings รคndert Ubiquiti so viel, dass eine Anpassung andauernd erfolgen mรผsste.
Viele Grรผรe
Dominik
Hallo,
ich habe den UMD Pro.
Ich habe VLAN 20 192.168.101.xxx und VLAN 30 eingerichtet 10.10.1.xxx
An beiden ist ein PC angeschlossen.
Ich mรถchte nun, das VLAN 20 in VLAN 30 kommt jedoch nicht VLAN 30 in VLAN 20
Was muร ich fรผr Regeln erstellen um das zu realisieren?
Ich kann nur in beiden Richtungen frei geben oder halt in beiden Richtungen Speeren.
Ich weiร nun nicht mehr weiter. Ich habe das beim laufenden Ping geprรผft.
Bei Deinen Beispiel mit der CAM sah das recht einfach aus.
Kannst Du mir einen Tipp geben?
Hallo Frank,
ich habe dies sehr ausfรผhrlich in meinem UniFi A-Z Kurs gezeigt. https://idomix.de/produkt/unifi-netzwerk-einrichten-von-a-z
Hi Dominik!
Was meinst Du mit “Die Datenpakete sollen den Zustand Neu, Hergestellt und Bezogen auf haben.” (also speziell mit “auf haben”)?
Ich nehme an, die Regeln sollen fรผr alle Zustรคnde gelten, oder? Ich lege das gerade auf einer UDM Pro mit Controller-Version 5.14 an. Da gibt es die Zustรคnde Neu, Hergestellt, Ungรผltig und Zugehรถrig. Das alles im Abschnitt “Erweitert” und standardmรครig alle Kontrollkรคstchen deaktiviert.
Ich gehe jetzt mal davon aus, dass die Regel fรผr alle Zustรคnde gilt, wenn ich alle Kontrollkรคstchen deaktiviert lasse, oder?
Hallo Dominik
Gerne wรผrde ich wissen ob es bei Dir auch Kurse fรผr Unifi Gerรคte gibt.
Demnรคchst mรถchte ich ein Hotel mit nur einer Marke ausstatten, Zyxel ist mir nicht so symphytisch.
Unifi AC Pro ist bereits dort im Einsatz und ich wรผrde das alles gerne so erweitern.
Bisher habe ich nur Kurse รผber Synology auf Deiner Seite gesehen.
Ich wรผnschte mir einen Firewall Kurs.
Alles mit versuchen aneignen ist viel aufwรคndiger als ein Kurs bei jemandem mit Deinem Know How.
Beste Grรผsse vom Zรผrichsee
Pesche
Hey Pesche,
vielen Dank fรผr die Anregung! Ich denke darรผber nach und habe vor, dies zu realisieren.
Allerdings stehen im Juli gerade andere Projekte an, weshalb ich hier etwas kรผrzer treten muss.
Viele Grรผรe
Dominik
Hi!
Ich komme gedanklich nicht dahinter was mit…..
LAN IN (LAN eingehend)
“Nutze ich nรคmlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.”
Wenn ich was im gleichen Subnetz anspreche benutze ich das USG ja nicht somit kann keine FW-Regel greifen.
Ist hier der Fehlerteufel am Werk oder wie ist das gemeint?
Hallo.
Ich verzweifle gerade daran , dass ich keine Firewall Regel zustande bringe die die Kommunikation von einem VLAN in ein (oder mehrere) andere VLANS unterbindet, ABER den Weg andersrum zulรคsst.
Konkret:
– Kein Gerรคt aus VLAN 4 (CamLAN) darf ins VLAN 1 (ProduktivLAN)
– Ein oder mehrere PCs / Server aus VLAN 1 dรผrfen aber auf die Kameras in VLAN 4 zugreifen
Soweit so einfach…
Dazu hรคtte ich nach meiner Logik erwartet, dass es reicht eine LAN_IN Regel zu definieren, die dem gesamten VLAN 4 (Quelle) den Zugriff auf das gesamte VLAN 1 (Ziel) verbietet (drop).
Wenn ich das mache, ist aber jeglicher Verkehr in beiden Richtungen gesperrt ???
Wenn ich jetzt einem PC aud VLAN 1 per IP-Adresse oder MAC erlaube ins VLAN 4 zu kommunizieren, geht das zwar, aber eben leiuder auch wieder andersrum. Also das ganze CamLAN hat dann wider Zugriff auf den einen PC.
Was lรคuft denn da falsch? Kann das das USG nicht anders, oder denke ich falsch?
Danke schon mal fรผr jeden Hinweis oder natรผrlich eine tolle Lรถsung ๐
Grรผรe
@Janine
Hallo janine,
bei mir hat es so funtioniert:
Name der Regel: Block ( LAN Name) to USG
Zustand= Neu und hergestellt anklicken
Quelle= Netzwerk (komplette IPV4 Subnetz
Ziel= IP Adresse vom USG ( Beispiel: 192.168.1.1)
Die gleiche Regel muรte ich nochmals fรผr das VLAN Subnetz anlegen, da sonst die IP gerootet wurde
Name: der Regel: Block (LAN Name to Controller)
also Quelle= Netzwerk (komplettes IPV4 Subnetz
Ziel= VLAN IP (Beispiel: 192.168.2.1 wenn das VLAN diese IP hat)
und schon ist der USG nicht mehr pingbar und das Webinterface nicht mehr erreichbar.
1. VLAN Alexa rennt,
2.VLAN PI rennt, die Port freigaben laufen auch ohne Probleme.
Gruร
@Kurt,
Hallo Kurt,
sorry das ich mich jetzt erst melde, aber ich war auรer Gefecht gesetzt.
Bin jetzt dazu gekommen die Firewalleintrรคge zu machen. Ja diese Regeln greifen endlich.
Alexa funktioniert in meinem V-LAN so wie es soll.
Vielen Dank
Hallo Michael.L,
vielen Dank fรผr Deine Infos. Darf ich nochmal (so doof) Fragen: Was hast Du jetzt genau eingestellt dass das alles so funktioniert?
Vielen dank im Voraus
Dennis.
Hallo Kurt,
Ja die V-LANS habe schon lรคnger erstellt, ich dacht Du hast das Problem mit dem Gatwy lรถsen kรถnnen.
Aber ich bin schon einen Schritt weiter.
Habe diese Regel nochmals erstellt,
Block V-LAN zu USG
IPV4Protokoll: Alle
Zustand: Neu; Hergestellt
IPSEC: Nicht auf IPSEC-Pakete ansprechen
Quelle: Mein VLAN/Netzwerk
Ziel:Mein LAN/USG-IP-Adresse,
und dann einzelene Firewall Regeln erstellt, (sprich Port-Freigaben gemacht), so das Alexa auch rauskommt und die Befehle dann weiterleiten kann.
Ganz funzt das ganze noch nicht, denn das Licht bleibt noch aus. Aber Radio etc. funktioniert schon.
Gruร
Hi Michael.L,
ich weiss nicht ob wir da aneinander vorbeireden. Durch meine Regel ist nun kein Zugriff mehr auf das Cloud Key und dem Security Gateway mehr mรถglich aus den VLANS heraus. Darรผber habe ich noch eine Regel fรผr meinen Laptop anhand der MAC Adresse gesetzt, das dieser sehr wohl auf die beiden Unifi Gerรคte zugreifen kรถnnen soll. Ins Internet kommen hingegen alle Gerรคte.
Welches Problem mit dem Gateway meintest du?
Hallo Kurt,
was hast Du fรผr Einstellungen vorgenommen? Hatte in der Firewallregel folgendes eingestellt:
Block V-LAN zu USG
IPV4Protokoll: Alle
Zustand: Neu; Hergestellt
IPSEC: Nicht auf IPSEC-Pakete ansprechen
Quelle: Mein VLAN/Netzwerk
Ziel:Mein LAN/USG-IP-Adresse
Resultat: Kerine Internetverbindung
kannst Du da weiterhelfen?
Wรคre Super; Danke
@Michael.L
Ich habe 3 VLANS, ergo habe ich eine Gruppe “VLAN ALL” erstellt mit den Eintrรคgen 10.4.10.0/24 / 10.4.11.0/24 / 10.4.12.0/24
Dann eine Regel “VLAN ALL No Management” unter “LAN LOKAL” erstellt.
IPV4Protokoll: Alle
Zustand: Nichts
IPSEC: Nicht auf IPSEC-Pakete ansprechen
Quelle: Adressen/Port-Gruppe: “VLAN ALL” (die erstellte Gruppe)
Ziel: Netzwerk: Management / IPv4 Subnetz (Management heiรt meine Subnetz unter “Netzwerke” wo sich alle Unifi Gerรคte befinden)
Jetzt mรผsste ich nur noch herausfinden wie ich den Zugriff auf das Webinterface des Modems unterbinden kรถnnte…
Ich konnte mittlerweile den Zugriff von VLAN auf das Management Lan per Firewallregel unterbinden. Sprich von keinem VLAN heraus ist es mรถglich auf das Webinterface der Security Gateway noch der Cloud Key zuzugreifen.
Was mich noch stรถrt ist das es immer noch mรถglich ist auf das Webinterface des Routers, den ich per Bridge als Modem degradiert habe, zuzugreifen.
Wie kann ich das unterbinden?
Hallo Dominik
Hab eine Frage zum USG gibt es eigentlich eine Alternative um die Lan Clients im Unifi Controller angezeigt zu bekommen und zu sie Verwalten.
Hallo Dominik,
Ich habe da eine kleine Frage! Ich habe an meinem Unifi einen Dell Poweredge Server, dieser hat die IP: 192.168.0.xx. Auf diesem Server greifte eine externe IP 251.11.41.xx drauf. WIe kann ich die Firewall so einstellen dass NUR die externe IP und localhost auf der Server zugriff haben?
Danke fรผr deine Hilfe!
Hallo Dominik,
diese Aussage verstehe ich nicht:
“LAN IN (LAN eingehend)
Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort fรผr Regeln. รbrigens ist es sinnvoll, hier die Regeln fรผr die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nรคmlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.”
was meinst du mit “im gleichen Subnetz auf einen Rechner zugreifen” ist bei der LAN OUT Regel mรถglich?
LAN OUT = was AUS dem Netzwerk kommt. Blocke ich also SSH geht es nicht “raus”.
Konfiguriere ich es bei LAN IN geht das SSH Paket raus aber wird dann ankommend am anderen Subnetz blockiert.
So generiere ich doch unnรถtig traffic….
Hallo,
offensichtlich haben sich im Controller die Bezeichnungen geรคndert. Vorher hieรen die ADDRv4 und Netv4, jetzt IPv4 Subnetz und USG IP-Adresse.
Ich bin verwirrt. Kรถnnte mich bitte einer aufklรคren.
VG
Marc
Hallo Zusammen
Danke vor weg Dominik fรผr die guten Videos sie haben mir bei einigen Problem sehr geholfen.
Nun meine Frage ist es mรถglich das ein bestimmtes Netzwerk (zb. 192.168.15.1/24) nur รผber den WAN port 2 in das Internet geht und die anderen Netzwerke รผber den WAN port 1. Und sie trotzdem im Netzwerk untereinander kommunizieren kรถnnen ?
Verwendete Komponenten:
โข UniFi Securety Gateway 3P
โข UniFi Switch 8 POE-60W
Hallo zusammen,
zuerst mal ein groรes Dankeschรถn an Dominik fรผr die vielen Videos.
Ich hab mir jetzt auch schon viele davon angesehen, jedoch bin ich nicht sicher wie ich folgenden Fall abbilden kann.
Ich habe eine Photovoltaikanlage mit einem Batteriespeicher. Diese Anlage “muss” ins Internet, damit der Hersteller u.a. den Zustand der Batterien prรผfen kann. Es gibt auch keine Mรถglichkeit etwas daran zu รคndern, da sonst der Garantieanspruch erlischt.
Fรผr mich ist es nicht ersichtlich welche Daten von der Anlage ins bzw. aus dem Internet geladen werden.
Daher mรถchte ich gerne eine Firewallregel erstellen, die der Anlage verbietet auf meine Rechner im lokalen LAN zuzugreifen.
Der Zugriff von der Anlage zum Internet muss weiterhin funktionieren.
Ich hab jetzt eine Regel “LAN LOCAL” erstellt, bei der ich alles verwerfe.
Als Quelle hab ich mein Netzwerk mit IPv4 Subnetz und die MAC Adresse der Anlage eingegeben und
als Ziel nochmal mein Netzwerk mit IPv4 Subnetz.
Kann mir jemand sagen ob das so korrekt ist?
Oder soll ich VLAN fรผr die Anlage erzeugen?
Bin neu in der Materie und fรผr alle Hinweise dankbar.
Karl
Hallo,
vorerst einmal vielen Dank fรผr die wirklich sehr hilfreichen Videos! Vieles konnte ich dadurch schon umsetzen bzw. erlernen.
Ich komme leider an einer Sache nicht weiter bzw. evtl verstehe ich diese auch falsch.
Folgendes Szenario:
Ich habe ein neues Netzwerk erstellt, mit folegenden Einstellungen:
-Name: test1
-Adressbereich 192.168.50.1/24
– VLAN-ID 50 getaggt / soll รผber die LAN-Schnittelle genutzt / auf einem Unifi-Switch 8 60W auf Port 4 zugeordnet
– Erstellt als Unternehmensnetzwerk.
Dieses Netzwerk (test1) soll kein Zugriff auf das standardmรครig angelegte Management-LAN (192.168.1./24) bekommen.
Also habe ich wie im Video erklรคrt, eine entsprechende Firewall-Regel angelegt.
Mein Cloud-Key mit der IP: 192.168.1.8, lรคsst sich nicht anpingen bzw, auch nicht erreichen, richtig so!.
Das Security-Gateway lรคsst sich allerdings pingen und erreichen und hier ist der Punkt, falsch! Warum?
Erstelle ich das Netzwerk (test1) nicht als Unternehmensnetzwerk, sondern als Gastnetzwerk, kann ich das Gateway zwar anpingen,
aber per Browser nicht รถffnen. Also so wie es gewรผnscht ist.
Ich mรถchte das Netzwerk (test1) aber nicht als Gastnetzwerk erstellen, da beim Verbinden immer die Vorschaltseite erscheint.
Auch dies verstehe ich nicht, Ich dachte diese Seite erscheint nur, wenn ich ein WLAN-Netz erstelle und hier den Haken bei “Gastrichtlinien anwenden (Portalseite, Gastanmeldung, Zugriff” setze.
Fรผr einen Rat wรคre ich wirklich sehr dankbar.
Viele Grรผรe und Dank im Voraus.
Arne
Ich hatte das gleiche Problem und konnte das Problem mit einer Regel in “LAN LOKAL” behelfen.
Sรคmtliche VLANยดs verbiete ich dort den Zugriff auf Management LAN.
Hallo Leute,
weiร jemand ob man die die FB 7490 nur als Modem und Telefonanlage nutzen kann und das dann die USG das DHCP etc. macht was nun derzeit die FB alles macht.
Kann man bei den USG Modellen auch Seiten Sperren und gibt es Vordefnierte Listen (Porno/Glรผckspiel etc.)
Was ich bis jetzt vermisse in den Anleitungen sind Virenschutz und Surfschutz (Malware) gibt es solch Modelle von Ubi?
Danke fรผr Antworten.
LG
Dirk
Hallo ich habe eine frage zu den Vlan.
Was muss ich einstellen damit ich auf ein Rechner der in Vlan zugreifen kann einstellen?
zum Beispiel mein Pc(Windows) ist in Netz 192.168.1.1 der andere Pc(Windows) im Netz 192.168.2.1 mit der Vlan 11.
Ich kann auf den Rechener Im Vlan nicht zugreifen und auch nicht an pingen.
Geht das nicht oder hab ich da was falsch eingestellt.
Besten Dank im Voraus
Hallo Daniel,
ich kenne mich leider nicht mit unifi Produkten aus,
aber vielleicht hilft Dir das weiter.
Damit Du von einem Netz zum anderen gehen kannst brauchst Du einen Router.
Hast Du im jeweiligen Netz einen Router und ist das den PCs bekannt ?
Wie kann ich denn dem Netz VIDEO den kompletten Zugang zum Internet sperren?
Hallo Dominik
Besten Dank fรผr Deine Videos. Sind kompetent und gut nachvollziehbar.
Hast Du mir zu dieser Problematik einen Tipp?
Ich habe an 2 Standorten 1 USG und 1 USG-Pro4 Router, die ich auf einem CloudKey verwalte. In den Einstellungen Netzwerk kรถnnen die beiden USG Router (in 2 Zonen) mit LAN zu LAN VPN verbunden werden. Nach dem Provisionieren erscheinen auf der Site auch der Aktive Tunnel auf grรผn. Trotzdem kann ich die gegenรผberliegende Seite nicht ansteuern. Fรผr mich fehlt der typische Firewall Eintrag LAN eingehend/ausgehend accounting defined network IPadresse/24 erlauben.
Besten Dank im Voraus
Georges
Hallo Dominik,
danke fรผr Deine informativen Videos.
Ich mรถchte unser Netzwerk nun auch langsam auf UNIFY umrรผsten und dabei helfen mir Deine Videos ungemein.
Jedoch bin ich (auch weil ich ein SmartHome Betreibe) bei meiner Recherche auch auf Securepoint (https://www.securepoint.de/produkte/utm-firewalls/black-dwarf-utm.html).
Kannst Du mir auch was zu diesen Produkten sagen?! Zumindest wenn wir im Zusammenspiel mit UNIFY sprechen ob das zusammen passt oder ehr nicht?!
Vielen Dank im Voraus
Dennis.
Da fragst am besten den Hersteller, ich kann da nichts sagen.
Danke Dominik fรผr die tollen Videos, sehr hilfreich!
Ich hรคtte noch eine Frage zur VLAN Isolation Regel: Ich habe versucht diese Regel wie im Video beschrieben anzulegen, allerdings nicht mit 2 VLAN Netzwerken, sondern mit meinem VPN L2TP Netz (angelegt wie in dem Video von dir tum Thema) und meinen Standard LAN. Beide haben keine VLAN IDs. Wenn ich nun das VPN Netz als Quelle wรคhle und das LAN als Ziel, lรคsst sich die Regel nicht speichern/anlegen mit der Meldung “Es ist ein Fehler aufgetreten”. Leider sagt mir der Controller nicht exakt was Ihm nicht passt. Wenn ich das VPN Netz durch ein VLAN ersetze geht es. Es muss also daran Liegen das VPN netz als Quelle verwenden zu wollen.
Plan ist das VPN Netz generell Zugriff auf das LAN zu verbieten, auรer selektierte MAC Adressen von Clients die es dann mit Ausnahmeregel dรผrfen. Hintergrund ist das ich sicher gehen mรถchte das wenn jemand irgendwie doch zugang zum VPN erlangen sollte dann dort trotzdem erstmal nicht auf meine lokalen Netzwerkgerรคte/adressen kommt.
Danke fรผr jeglichen Tipp was ich da falsch mache! Viele Grรผรe, Florian
Hallo Florian,
ich habe exakt das gleiche Problem wie du. Ich habe bis jetzt leider auch noch keine Lรถsung gefunden. Ich wรผrde mich freuen wenn Dominik dieses Thema aufgreifen kรถnnte.
Nachdem der Netz-Ansatz nicht funktioniert hat, habe ich versucht Adress-Gruppen zu machen (VPN-Adressbereich (vom vpn remote user Netz) auf LAN-Adressbereich blockiert). Dies hat leider nicht funktioniert. Ich konnte dennoch รผber VPN auf das gesamte LAN zugreifen.
Ich bin fรผr jegliche Unterstรผtzung dankbar!
Beste Grรผรe,
Markus
Hi Markus,
Schรถn das ich nicht der Einzige mit dem Problem bin ๐
Ich vermute ja das es ein “missing feature” seitens Unifi ist und hoffe das da in Zukunft das einfache selektieren vom VPN direkt unter networks mรถglich wird als Regel.
Ich hatte auch exakt deinen Ansatz probiert und fรผr den Adressbereich meiner VPN Gerรคte eine Gruppe eingerichtet, allerdings hatte das wie bei dir dann gar keine Effekt. Die Regel schien nichts zu bewirken und die User hatten alle zugriff, nach wie vor. Ich konnte lediglich bei LAN OUT damit bewirken das pauschal alle VPN user nicht mehr zugreifen kรถnnen. (was aber ja nicht das Ziel ist)
Somit hatte ich das wieder rรผckgรคngig gemacht und auch keine weiteren Infos mehr im Netz dazu finden kรถnnen. Ich verlasse mich jetzt einfach mal auf die Sicherheit meines VPN Zugangs samt langem KEY. Da in dem Fall zum reinen Privatnutzen auch erstmal nicht weiter schlimm. Trotzdem fรคnde ich den extra Layer an Sicherheit in Form der Einzelfreigabe von Clients von VPN auf Network schรถn ๐
Ich geb Bescheid sobald ich da was neues rausfinden sollte.
Viele Grรผรe, Florian
Hallo Andreas,
vielen Dank fรผr Deine prompte Antwort.
Ich habe ebenfalls ein Synology NAS (DS1517+). Beim externen Zugriff habe ich ebenfalls meine Selfhost Zugangsdaten eingetragen.
Somit sollte ich vermutlich auch keine Probleme mit der tรคglichen Zwangstrennung haben.
Ich kann mit meiner aktuellen Konfiguration problemlos den VPN Tunnel (L2TP) รผber die DiskStation oder รผber das USG aufbauen.
Wenn Du den Tunnel รผber das USG aufbaust, muรt Du eine Portweiterleitung (UDP 500, 1701, 4500) zur WAN – Adresse des USG definieren.
Das gleiche muรt ebenfalls tun, wenn Du den Tunnel zur Synology aufbaust. Dann muรt Du nur die o.g. UDP Port’s an die IP – Adresse zum NAS
weiterleiten.
Gruร Olaf
Hallo Olaf,
dann hast Du das mit den Regeln ja schon clever hinbekommen. ๐
Somit wรผrde ich erst einmal nicht sehen, warum Du zum Vigor wechseln solltest. Oft liest man, von Leuten, die sich auskennen, dass man das doppelte NAT mรถglichst vermeiden sollte, aber ausser meinem Thema mit VPN ist mir kein Nachteil aufgefallen. Wahrscheinlich sind da aber auch meine Ansprรผche nicht so hoch.
Als ich mit den Firewall Regeln probiert hatte, war im Unifi Controller das VPN feature noch nicht via GUI mรถglich. Mittlerweile hat sich da ja bisschen was getan. Es werden beim VPN einrichten die Regeln gleich angelegt. (So wie Du es beschrieben hast.) Wahrscheinlich wรผrde es heute mit meiner Fritzbox als Modem auch funktionieren. Aber ich werde natรผrlich mein Setup nun so lassen. ๐
Mit dem VPN Setup der Synology hatte ich die entsprechenden Ports auch weiter geleitet, aber es hat von auรen nie funktioniert. (Warum auch immer?) Ich war dort mit meinen Kenntnissen am Ende und habe dann den Vigor angeschafft. Damit funktioniert das nun super.
Bin mal gespannt, ob Du dennoch auch zum Vigor wechselst und natรผrlich auch auf weitere Berichte gespannt. ๐
Lieben Gruร und danke fรผr deine Tipps.
Andreas
Hallo Andreas, bin nun doch auf den DrayTek Vigor 130 umgestiegen. Funktioniert alles einwandfrei mit Vodafone als Provider!
Die FRITZ!Box 7490 ist nur noch als Telefonanlage in Betrieb. Jedoch habe ich keine spรผrbare Verbessung in der Latenz bzw. im Down- oder Upload feststellen kรถnnen. Mit diesen neuen Erkenntnissen weiร ich nicht, ob ich nochmals die Investition von knapp 100โฌ machen wรผrde.
Gruร Olaf
Hallo zusammen,
bitte erwartet fรผr Euch keine spรผrbare รnderung der Latenz. Ich hatte mit USG und FB7490 eine Latenz von 15ms und nur mit vigor und USG 13ms.
Trotzdem liefen beide Konfigurationen einwandfrei bei mir. Klar, doppeltes NAT bedeutet mehr Konfiguration, darauf wies Dominik ja hin.
Fรผr den Privatgebrauch sind meine Werte top und mehr als ausreichend.
Hallo Dominik,
vielen Dank fรผr das Video. Zu USG Firewall Regeln finde ich sonst wenig brauchbare Anleitungen. Prima gemacht! Vielen Dank.
Noch eine Frage. Ich habe die USG hinter einem Draytek Vigor 130, also das gleiche Setup, was Du in einem anderen Video beschreibst.
Die Oberflรคche des Vigor 130 ist vom internen Netzwerk dadurch nicht erreichbar, auรer ich schlieรe einen Laptop direkt ans Modem.
Wรคre denn mit einer entsprechenden Firewall Regel der Zugriff auf den Vigor 130 mรถglich? Wenn ja, wie mรผsste ich das konfigurieren?
Vielen Dank!
Hallo Andreas,
ich habe leider keine Antwort auf Deine Frage, jedoch kannst Du mir vielleicht meine beantworten.
Du sagst, daร Du den DrayTek Vigor 130 als Modem nutzt und die eigentliche Internetverbindung รผber das USG
per PPPoE aufbaust. So weit, so gut.
Wie realisierst Du die Erreichbarkeit per DDNS zu Deinem Netzwerk. Trรคgst Du beim USG einen dort aufgefรผrten DDNS Anbieter ein?
Ich nutze z.Z. Selfhost und bin sehr zufrieden mit diesem Dienst. Diesen kรถnnte ich vermutlich dann nicht mehr nutzen, oder?
Ich mรถchte per VPN (L2TP IPSec) รผber das USG vom Internet auf mein Netzwerk zugreifen.
Wie realisierst Du die tรคgliche Zwangstrennung durch Deinen Provider bzw. welchen nutzt Du ?
Ich nutze z.Z. noch die Fritz!Box 7490 und รผberlege jedoch den Vigor 130 anzuschaffen. Hast Du irgendwelche Einschrรคnken
รผber das allseits so diskutierte “Doppelte NAT” spรผrbar merken kรถnnen? รber Deine Antwort wรคre ich sehr dankbar.
Gruร Olaf
Hallo Olaf,
da ich eine Synology NAS habe, nutze ich deren Dienst (Externer Zugriff). Also das DDNS Setup innerhalb von Synology DS. Das funktioniert prima. Auch die 1&1 Zwangstrennung stรถrt da nicht. Dadurch nutze ich das DDNS Feature der USG nicht und kann da leider nix dazu sagen. Prinzipiell hatte ich keine Sorgen mit doppelten NAT. (hatte auch eine Fritzbox als Modem). Einzig VPN hat in keiner Weise mehr funktioniert. Weder via Fritzbox, noch mit dem Setup der USG oder mit dem VPN Setup der Synology. Von auรen war kein Zugang zum internen Netz mรถglich. Vielleicht wรคre das alles nur eine Frage der Regeln, aber da bin ich irgendwie nicht schlau geworden.
Mit dem Vigor lรคuft das jetzt alles super. Der macht stabil seinen Job. Eigentlich nicht nรถtig auf seiner Oberflรคche zu schauen, ob alles i.O. ist. ๐
Aber schรถn wรคre es schon, wenn das ginge…
Lieben Gruร Andreas
Hallo Dominik, erstmal vielen Dank fรผr das super Video! Ich habe mal eine Frage, wie die Regel in der Firewall aussehen mรผรte.
Ich habe ein Kamera LAN und ein Management LAN. In meinem Management LAN lรคuft die DS 1517+ mit der Surveillance Station.
Wenn ich nun ein verhindern mรถchte, daร das Kamera LAN Zugriff auf das Management LAN zugreifen kann, ist natรผrlich auf die
Surveillance Station auรer Betrieb (Kamera’s sind nicht verbunden).
Auch mit einer Freigabe fรผr die MAC Adresse der DS 1517+ funktioniert es leider nicht.
Hast Du eine Idee, wie die Regel aussehen mรผรte?
Vielen Dank im Voraus.
Hallo Dominik, habe mein Problem lรถsen kรถnnen.
Die Antwort hast Du in Deinem Beitrag bereits gegeben.
Man muร nur mal richtig lesen und zuhรถren.
Mach weiter so!
Lieber Dominik,
liebe Leser,
erneut vielen Dank fรผr das sehr aufschluรreiche Video. In diesen Zusammenhang beschรคftigt mich folgende Frage. Kann man รผber diese Mรถglichkeiten auch LAN-Netzwerke absichern (nicht WLAN).
Ich habe z.B. einem Doppel-Lan-Anschluss in der Garage. Die Garage ist grundsรคtzlich Videoรผberwacht, Alarmgesichert und vor allem abgeschlossen.
Wenn man jetzt die letzten drei Punkte jedoch ausblendet, so kรถnnte ja jeder mit LAN-Kabel und Laptop Teil meines Netzwerks werden.
Kann man diese Ports dann noch mal separat irgendwie absichern? MAC-Adressenfilter gibt es fรผr LAN nicht, oder?
Hat sich jemand eventuell schonmal dieselbe Frage gestellt?
Meine Hardware:
Draytek Vigor 130
USG Pro-4
CloudKey
Unifi Switch 24 250Watt
2x Unfi Switch 8
3x Unifi AC AP Pro
Wo kรถnnte ich mich da eventuell tiefer einlesen?
Viele Grรผรe,
Michael
Hallo Michael,
ohne jetzt jetzt selber getestet zu haben, wรผrde ich behaupten, dass es geht.
Man kann in der Konfiguration des Switches fรผr jeden Port Regeln erstellen. So kann Port X beispielsweise deaktiviert, fรผr alle Netze zugelassen sein oder eben nur bestimmte Netze bedienen. So kann man ein getrenntes VLAN/Gastnetz auf einen Port legen und sein internes Netz dort abtrennen.
Man kรถnnte vielleicht auch ein VLAN fรผr ein einzelnes Gerรคt erstellen, welches dort angehangen werden soll. zu diesem VLAN erstellt man eine “Drop all” Firewall Regel und davor eine Regel, die der MAC Adresse des Gerรคts wiederum alles erlaubt. (Mac Adressen kann man ja auch in eine Firewall Regel bringen) Das sollte deinem Szenario doch entsprechen, oder?
Was mit “enable Port isolation” gemeint ist, weiร ich auch nicht, aber das hรถrt sich auch nach deiner Frage an ๐
Hallo Michael, ja ich habe mir die gleiche Frage gestellt!
Ich habe nun die Firewall – Regeln angepaรt, um ein gewisses Maร an Sicherheit zu gewรคhrleisten.
Jedoch wรผrde ich gern รผber MAC – Adresse festlegen, wer sich im Netzwerk authentifizieren darf.
Hast Du mittlerweile eine Lรถsung gefunden?
Vielen Dank fรผr Deine Antwort im voraus.