8
Unifi - Firwall Regeln greifen nicht
Hi,
ich bin auf der Suche nach jemanden, der sich mit Unifi auskennt
und vielleicht kann mir hier jemand weiterhelfen?
Ich habe ein Unifi Setup aufgebaut mit:
Unifi Scurity Gateway, Claud-Key, Unifi Switche, Unifi AP-Pro
Ich habe im Controller drei Lan’s erstellt:
1. Core-Lan (IP: 192.168.11.0/24 mit Gateway, Cloud-Key und Swtiche),
2. Management-Lan (IP: 192.168.12.0/24, VLAn-ID: 20) und
3. WLAN (IP: 172.16.0.0/21, VLAN-ID: 30).
Dazu ein Wireless-LAN mit der Verwendung der VLAN-ID 30).
WLAN funktioniert und ich bekomme auch den richtigen DHCP am Client-Gerät zugewiesen.
Jetzt möchte ich aber, dass das WLAN (bzw. die Endgeräte der WLAN-Clients) mit VLAN id: 30 nicht auf das Management-Lan mit VLAN ID: 20 zugreifen kann.
Ich habe dazu eine Firewall-Regel „LAN-Eingehend“ erstellt, mit den Einstellungen: DROP, ALL, Quelle: WLAN (VLAN-ID 30) mit IPv4 Subnetz. Ziel: Management-Lan VLAN-ID 20 mit IPv4 Subnetz.
Auf dem Switch habe ich auf dem Port, wo der AP angeschlossen ist, das Switch-Profil: WLAN eingestellt.
Im Switch-Profil sind folgende Einstellungen:
Natives Netzwerk: Core-LAN
Tagged Netzwerke: WLAN(30)
Wenn ich nun mit dem WALN verbunden bin, kann ich einen Ping auf 192.168.12.1 machen und bekomme eine erfolgreiche Antwort. Somit scheint meine Firewall-Regel nicht zu greifen.
Hat jemand einen Tipp?
Danke
Jens
ich bin auf der Suche nach jemanden, der sich mit Unifi auskennt
und vielleicht kann mir hier jemand weiterhelfen?
Ich habe ein Unifi Setup aufgebaut mit:
Unifi Scurity Gateway, Claud-Key, Unifi Switche, Unifi AP-Pro
Ich habe im Controller drei Lan’s erstellt:
1. Core-Lan (IP: 192.168.11.0/24 mit Gateway, Cloud-Key und Swtiche),
2. Management-Lan (IP: 192.168.12.0/24, VLAn-ID: 20) und
3. WLAN (IP: 172.16.0.0/21, VLAN-ID: 30).
Dazu ein Wireless-LAN mit der Verwendung der VLAN-ID 30).
WLAN funktioniert und ich bekomme auch den richtigen DHCP am Client-Gerät zugewiesen.
Jetzt möchte ich aber, dass das WLAN (bzw. die Endgeräte der WLAN-Clients) mit VLAN id: 30 nicht auf das Management-Lan mit VLAN ID: 20 zugreifen kann.
Ich habe dazu eine Firewall-Regel „LAN-Eingehend“ erstellt, mit den Einstellungen: DROP, ALL, Quelle: WLAN (VLAN-ID 30) mit IPv4 Subnetz. Ziel: Management-Lan VLAN-ID 20 mit IPv4 Subnetz.
Auf dem Switch habe ich auf dem Port, wo der AP angeschlossen ist, das Switch-Profil: WLAN eingestellt.
Im Switch-Profil sind folgende Einstellungen:
Natives Netzwerk: Core-LAN
Tagged Netzwerke: WLAN(30)
Wenn ich nun mit dem WALN verbunden bin, kann ich einen Ping auf 192.168.12.1 machen und bekomme eine erfolgreiche Antwort. Somit scheint meine Firewall-Regel nicht zu greifen.
Hat jemand einen Tipp?
Danke
Jens
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 563510
Url: https://administrator.de/contentid/563510
Printed on: April 26, 2024 at 22:04 o'clock
8 Comments
Latest comment
Hi,
kannst auf andere Services auch zugreifen? Vll hat das Gerät einen Ping-Master-Button?
sg Dirm
kannst auf andere Services auch zugreifen? Vll hat das Gerät einen Ping-Master-Button?
sg Dirm
Moin,
@Jens19
Und das USG ist auch der Host der zwischen den Subnetzen routet? oder macht das ein anderer Host im Netz?
lg,
Slainte
Ping-Master-Button
einen was bitte?!?@Jens19
Und das USG ist auch der Host der zwischen den Subnetzen routet? oder macht das ein anderer Host im Netz?
lg,
Slainte
Hatte nur im Kopf, dass es bei Sophos Global ICMP settings gibt. Wenn ich die Hilfe richtig verstehe, dann überschreiben die auch Firewall rules. hab's aber nie ausprobiert.
Vll weil jeder ein sicheres Netz will, aber mal schnell pingen is schon schön, dass man sieht ob noch alles da ist.
sg Dirm
Vll weil jeder ein sicheres Netz will, aber mal schnell pingen is schon schön, dass man sieht ob noch alles da ist.
sg Dirm
Das hast du verstanden?: https://community.ui.com/questions/Create-New-Network-greater-Purpose-gr ...
Was es mit LAN in, LAN Out, und LAN local auf dich hat, hast du auch verstanden?:
https://community.ui.com/questions/Unifi-controler-difference-between-ne ...
Was es mit LAN in, LAN Out, und LAN local auf dich hat, hast du auch verstanden?:
https://community.ui.com/questions/Unifi-controler-difference-between-ne ...
Hallo,
Danke für eure Antworten.
@SlainteMhath: Ja, das Unifi Security-Gateway ist auch der Router
@142583: Ja. Zu GAST Network. Ich möchte kein GAST Netzwerk mit Gast-Portal. Ich habe es dennoch mal mit einen Unifi Gast Netzwerk getestet und mit diesem Netzwerk auch Firewall-Rules angelegt.. Problem bleibt damit auch bestehen.
@DeDe-76: Ja, genau so habe ich es nach Anleitung angelegt, ohne Erfolg. Ich habe natürlich auch mit allen zur Verfügung stehenden Einstellungen in der Firewal-Regel getestet.
Ich habe mir auch per SSH die Konfig auf dem Gateway angesehen, die Regeln sind dort auch angekommen. Die Konfiguration wird nicht direkt auf dem Gateway vorgenommen, sondern über die Unifi Controller Software.
Im Prinzip, funktioniert alles andere, außer die Firewall.
Wenn jemand noch eine Idee haben sollte, wäre das Toll.
Danke
Jens
Danke für eure Antworten.
@SlainteMhath: Ja, das Unifi Security-Gateway ist auch der Router
@142583: Ja. Zu GAST Network. Ich möchte kein GAST Netzwerk mit Gast-Portal. Ich habe es dennoch mal mit einen Unifi Gast Netzwerk getestet und mit diesem Netzwerk auch Firewall-Rules angelegt.. Problem bleibt damit auch bestehen.
@DeDe-76: Ja, genau so habe ich es nach Anleitung angelegt, ohne Erfolg. Ich habe natürlich auch mit allen zur Verfügung stehenden Einstellungen in der Firewal-Regel getestet.
Ich habe mir auch per SSH die Konfig auf dem Gateway angesehen, die Regeln sind dort auch angekommen. Die Konfiguration wird nicht direkt auf dem Gateway vorgenommen, sondern über die Unifi Controller Software.
Im Prinzip, funktioniert alles andere, außer die Firewall.
Wenn jemand noch eine Idee haben sollte, wäre das Toll.
Danke
Jens
Moin Jens,
wenn Du ein Gerät im VLAN 20 angeschlossen hast, dann zieh Dir bitte die IP Adresse dieses Gerätes.
Dann pingst Du das Gerät aus dem VLAN30 an. Sowohl mit der von mir verlinkten Firewall-Regel als auch mit deinen Regeln, solltest Du keinen "Zugriff" auf dieses Gerät in VLAN20 bekommen.
192.168.11.1, 192.168.12.1 und 172.16.0.1 sind die Standardgateway IPs Deiner verschiedenen Netze. Dies kann man immer und von jedem Netz Deiner Netzwerkumgebung aus über einen Ping erreichen. Oder man gibt diese in den Browser ein und landet immer auf dem WebInterface der USG. Auf die verschiedenen Geräte kommst Du aber netzübergreifend nicht drauf.
Entschuldigt bitte meine laienhafte Ausdrucksweise. Aber das bin ich definitiv noch.
Letztes Jahr habe ich mir auch eine Netzwerkumgebung mit der Hardware von Ubiquiti aufgebaut. Und habe hier die nötigen Ratschläge, Hinweise und Links zu diversen Anleitungen bekommen. Alles funktioniert prima, vielen Dank noch einmal dafür.
Warum also nun die verschiedenen Standardgateways aus jedem Deiner Netze anpingbar sind (ist bei mir genauso), kann ich leider nicht sagen.
Da hoffe ich, dass vielleicht einer der Profis diesbezüglich etwas Licht ins Dunke bringt.
Gruß,
DeDe
wenn Du ein Gerät im VLAN 20 angeschlossen hast, dann zieh Dir bitte die IP Adresse dieses Gerätes.
Dann pingst Du das Gerät aus dem VLAN30 an. Sowohl mit der von mir verlinkten Firewall-Regel als auch mit deinen Regeln, solltest Du keinen "Zugriff" auf dieses Gerät in VLAN20 bekommen.
192.168.11.1, 192.168.12.1 und 172.16.0.1 sind die Standardgateway IPs Deiner verschiedenen Netze. Dies kann man immer und von jedem Netz Deiner Netzwerkumgebung aus über einen Ping erreichen. Oder man gibt diese in den Browser ein und landet immer auf dem WebInterface der USG. Auf die verschiedenen Geräte kommst Du aber netzübergreifend nicht drauf.
Entschuldigt bitte meine laienhafte Ausdrucksweise. Aber das bin ich definitiv noch.
Letztes Jahr habe ich mir auch eine Netzwerkumgebung mit der Hardware von Ubiquiti aufgebaut. Und habe hier die nötigen Ratschläge, Hinweise und Links zu diversen Anleitungen bekommen. Alles funktioniert prima, vielen Dank noch einmal dafür.
Warum also nun die verschiedenen Standardgateways aus jedem Deiner Netze anpingbar sind (ist bei mir genauso), kann ich leider nicht sagen.
Da hoffe ich, dass vielleicht einer der Profis diesbezüglich etwas Licht ins Dunke bringt.
Gruß,
DeDe
Hallo DeDe,
danke für deine Antwort!
Du hast recht, die Geräte in den verschiedenen Netzen, können sich nicht per Ping sehen.
Aber das Gateway des jeweiligen anderen Netzes ist mit einem verbundenen End-Gerät zu Pingen. Das macht für mich wenig Sinn, da dann das Gateway angreifbar wäre, z.B. mit einer DOS-Attacke könnte es lahmgelegt werden.
Wenn ich mit einem End-Gerät im WALN verbunden bin und die IP 172.16.0.15 bekommen habe, könnte ich sehr einfach darauf kommen, dass das Gateway von diesem Netz 172.16.0.1 wäre.
Ich werde die Firewall-Regel mal mit einer IP-Range versehen und schauen was dann passiert.
Falls doch noch jemand hilfreich sein kann, Ideen sind immer willkommen
.
Danke
Jens
danke für deine Antwort!
Du hast recht, die Geräte in den verschiedenen Netzen, können sich nicht per Ping sehen.
Aber das Gateway des jeweiligen anderen Netzes ist mit einem verbundenen End-Gerät zu Pingen. Das macht für mich wenig Sinn, da dann das Gateway angreifbar wäre, z.B. mit einer DOS-Attacke könnte es lahmgelegt werden.
Wenn ich mit einem End-Gerät im WALN verbunden bin und die IP 172.16.0.15 bekommen habe, könnte ich sehr einfach darauf kommen, dass das Gateway von diesem Netz 172.16.0.1 wäre.
Ich werde die Firewall-Regel mal mit einer IP-Range versehen und schauen was dann passiert.
Falls doch noch jemand hilfreich sein kann, Ideen sind immer willkommen
.Danke
Jens