7
Drucken hinter Ubiquiti UDM Pro über VPN - Firewall Regeln
Hallo,
ich möchte gerne mit einem PC, welcher in einem VLAN an einer Ubiquiti UDM-Pro (OpenVPN Server) hängt, auf einen Drucker der in einem VLAN an einer anderen UDM-Pro (OpenVPN Client) hängt drucken.
Ich habe schon die ein oder anderen Firewall Regeln auf beiden UDM's erstellt, jedoch war anscheinend noch nicht die richtige dabei.
Hab das ganze so schon mit anderen Firewalls umgesetzt, bin bei den Ubiquiti UDM's nicht so bewandert.
Könnte mir jemand auf die Sprünge helfen, welche Regeln hier bei der UDM-Pro (OpenVPN Server) & UDM-Pro (OpenVPN Client anzulegen wären?
ich möchte gerne mit einem PC, welcher in einem VLAN an einer Ubiquiti UDM-Pro (OpenVPN Server) hängt, auf einen Drucker der in einem VLAN an einer anderen UDM-Pro (OpenVPN Client) hängt drucken.
Ich habe schon die ein oder anderen Firewall Regeln auf beiden UDM's erstellt, jedoch war anscheinend noch nicht die richtige dabei.
Hab das ganze so schon mit anderen Firewalls umgesetzt, bin bei den Ubiquiti UDM's nicht so bewandert.
Könnte mir jemand auf die Sprünge helfen, welche Regeln hier bei der UDM-Pro (OpenVPN Server) & UDM-Pro (OpenVPN Client anzulegen wären?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6954322797
Url: https://administrator.de/contentid/6954322797
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Als erstes die benötigten Ports zum Drucken ermitteln, Das hängt primär davon ab welches Protokoll du zum Drucken nutzt und auch vom eingesetzten Drucker. In der Regel ist das für einfaches Drucken über TCP ohne sonstigen Schnickschnack Port 9100 (TCP).
Heist dann am Ende für
Firewall UDM-Pro SRV
SOURCE: 192.168.10.14/32 SOURCEPORT: ANY DESTINATION 192.168.11.5/32 DESTINATIONPORT: 9100 PROTO: TCP
Firewall UDM-Pro CLIENT
SOURCE: 192.168.10.4/32 SOURCEPORT: ANY DESTINATION: 192.168.11.5/32 DESTINATIONPORT: 9100 PROTO: TCP
Da Firewalls heute in der Regel bis auf wenige Ausnahmen "statefull" arbeiten brauchst du natürlich keine Rückrouten anlegen, es reichen die Regeln vom Initiator zum Responder.
Natürlich vorausgesetzt es wird durchgehend transparent geroutet und nirgendwo dazwischen geNATed!
Bei Problemen einfach die Pakete step bey step verfolgen und die Logs an allen Stellen einschalten. Bei Bedarf an den Zwischenstationen Wireshark-Traces aufzeichnen schon hat sich das Thema erledigt.
Cheers briggs
Heist dann am Ende für
Firewall UDM-Pro SRV
SOURCE: 192.168.10.14/32 SOURCEPORT: ANY DESTINATION 192.168.11.5/32 DESTINATIONPORT: 9100 PROTO: TCP
Firewall UDM-Pro CLIENT
SOURCE: 192.168.10.4/32 SOURCEPORT: ANY DESTINATION: 192.168.11.5/32 DESTINATIONPORT: 9100 PROTO: TCP
Da Firewalls heute in der Regel bis auf wenige Ausnahmen "statefull" arbeiten brauchst du natürlich keine Rückrouten anlegen, es reichen die Regeln vom Initiator zum Responder.
Natürlich vorausgesetzt es wird durchgehend transparent geroutet und nirgendwo dazwischen geNATed!
Bei Problemen einfach die Pakete step bey step verfolgen und die Logs an allen Stellen einschalten. Bei Bedarf an den Zwischenstationen Wireshark-Traces aufzeichnen schon hat sich das Thema erledigt.
Cheers briggs
1
Hey Briggs,
danke dafür. Ich muss jetzt allerdings sagen das die Grafik nicht ganz richtig ist. Die UDM des OpenVPN Servers hängt hinter einer Fritzbox als Exposed Host.
Die UDM des OpenVPN Client an einer FritzBox LTE.
Gibt's bei den Regeln irgendwo die Möglichkeit eines HideNAT oder so? Kenne das so von Securepoint, PfSense ....
danke dafür. Ich muss jetzt allerdings sagen das die Grafik nicht ganz richtig ist. Die UDM des OpenVPN Servers hängt hinter einer Fritzbox als Exposed Host.
Die UDM des OpenVPN Client an einer FritzBox LTE.
Gibt's bei den Regeln irgendwo die Möglichkeit eines HideNAT oder so? Kenne das so von Securepoint, PfSense ....
Zitat von @installer:
Hey Briggs,
danke dafür. Ich muss jetzt allerdings sagen das die Grafik nicht ganz richtig ist. Die UDM des OpenVPN Servers hängt hinter einer Fritzbox als Exposed Host.
Dann korrigiere sie doch bitte auch!Hey Briggs,
danke dafür. Ich muss jetzt allerdings sagen das die Grafik nicht ganz richtig ist. Die UDM des OpenVPN Servers hängt hinter einer Fritzbox als Exposed Host.
Die UDM des OpenVPN Client an einer FritzBox LTE.
Spielt keine Rolle.Gibt's bei den Regeln irgendwo die Möglichkeit eines HideNAT oder so? Kenne das so von Securepoint, PfSense ....
Entweder du NATest im VPN oder eben nicht!Wenn die VPN Server selbst die Netze innerhalb des VPN nicht NATen (Default) dann klappt da out of the box wenn du irgendwo innerhalb des VPN NATest musst du natürlich die Absender-IP in der Firewall Regel entsprechend auf die NAT-SRC IP anpassen, dir sollte dann aber klar sein das du dann nicht nur den einen Rechner zulässt sondern das ganze Netz hinter dieser IP.
Einfach mal die Firewall und NAT Grundlagen aneignen wäre dein erster Schritt!
Grundsatz lautet wie immer: Route where you can, NAT where you must.
Also ich komme mal aufjedenfall vom PC (192.168.10.14) ins Transfernetz auf die UDM-Pro OpenVPN Client (192.168.31.2).
Ich denke es muss jetzt nur noch der UDM-Pro (OpenVPN Client) beigebracht werden, das vom Transfernetz oder vom VLAN des OpenVPN Servers (192.168.10.0/24) ins 192.168.11.0/24 zugegriffen werden darf.
Dafür habe ich auch schon die IP Groups angelegt und jeweilige Regeln ... jedoch ist ein Ping auf das lokale GW (192.168.2.1) oder das VLAN GW (192.168.11.1) nicht möglich.
Als IP Groups in der UDM-Pro (OpenVPN Client) habe ich das TRANSFERNETZ (192.168.31.0/24) / das VLAN der Gegenseite (192.168.10.0/24) und die statische öffentliche IP der Gegenseite angelegt ...
... könnte es sein, das es Probleme gibt, da beide Fritzboxen wohl die selbe interne lP (192.168.178.1) haben?
Ich denke es muss jetzt nur noch der UDM-Pro (OpenVPN Client) beigebracht werden, das vom Transfernetz oder vom VLAN des OpenVPN Servers (192.168.10.0/24) ins 192.168.11.0/24 zugegriffen werden darf.
Dafür habe ich auch schon die IP Groups angelegt und jeweilige Regeln ... jedoch ist ein Ping auf das lokale GW (192.168.2.1) oder das VLAN GW (192.168.11.1) nicht möglich.
Als IP Groups in der UDM-Pro (OpenVPN Client) habe ich das TRANSFERNETZ (192.168.31.0/24) / das VLAN der Gegenseite (192.168.10.0/24) und die statische öffentliche IP der Gegenseite angelegt ...
... könnte es sein, das es Probleme gibt, da beide Fritzboxen wohl die selbe interne lP (192.168.178.1) haben?
Zitat von @installer:
... könnte es sein, das es Probleme gibt, da beide Fritzboxen wohl die selbe interne lP (192.168.178.1) haben?
Nein die sind gar nicht involviert weil das VPN ja zwischen den UDMs aufgebaut wird du nur die Netze hinter der UDM erreichen willst und die Fritten Netze nur am Portforwarding des OpenVPN-Ports beteiligt sind.... könnte es sein, das es Probleme gibt, da beide Fritzboxen wohl die selbe interne lP (192.168.178.1) haben?
Hast du den OpenVPN überhaupt als Site2Site aufgesetzt und die Routen korrekt gesetzt? Stichwort iroute
https://community.openvpn.net/openvpn/wiki/RoutedLans
Klingt mir nämlich verdächtig danach das du das vergessen hast.
Zitat von @6247018886:
Hast du den OpenVPN überhaupt als Site2Site aufgesetzt und die Routen korrekt gesetzt?
Hast du den OpenVPN überhaupt als Site2Site aufgesetzt und die Routen korrekt gesetzt?
Nein, ein S2S ist nicht möglich, da die UDM welche als OpenVPN Client eingerichtet ist keine öffentliche IP Adresse bekommt, da diese ja per LTE am Netz hängt. Deswegen ist diese auch einfach nur als "OpenVPNClient" eingerichtet.
Korrigiere mich wenn das so nicht korrekt ist?
Zitat von @6247018886:
Stichwort iroute
https://community.openvpn.net/openvpn/wiki/RoutedLans
Klingt mir nämlich verdächtig danach das du das vergessen hast.
Stichwort iroute
https://community.openvpn.net/openvpn/wiki/RoutedLans
Klingt mir nämlich verdächtig danach das du das vergessen hast.
Schau ich mir an
Vielen Dank.
Weißt du wo ich bei der UDM Pro die Server Config Datei finde?
Die Client Config Datei kann ich herunterladen und bearbeiten.
Die Client Config Datei kann ich herunterladen und bearbeiten.
