installer
Apr 29, 2023, updated at May 02, 2023 (UTC)
view1953
view7
0
Goto Top

Drucken hinter Ubiquiti UDM Pro über VPN - Firewall Regeln

GermanQuestionFirewall
Hallo,

ich möchte gerne mit einem PC, welcher in einem VLAN an einer Ubiquiti UDM-Pro (OpenVPN Server) hängt, auf einen Drucker der in einem VLAN an einer anderen UDM-Pro (OpenVPN Client) hängt drucken.

Ich habe schon die ein oder anderen Firewall Regeln auf beiden UDM's erstellt, jedoch war anscheinend noch nicht die richtige dabei.

Hab das ganze so schon mit anderen Firewalls umgesetzt, bin bei den Ubiquiti UDM's nicht so bewandert.

Könnte mir jemand auf die Sprünge helfen, welche Regeln hier bei der UDM-Pro (OpenVPN Server) & UDM-Pro (OpenVPN Client anzulegen wären?

c85e877c7eb5d7c9e0b47c064705a9ab
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 6954322797

Url: https://administrator.de/contentid/6954322797

Printed on: April 27, 2024 at 13:04 o'clock

7 Comments
Latest comment
Goto Top
Mitglied: 6247018886
6247018886 Apr 29, 2023 updated at 11:31:16 (UTC)
Goto Top
Als erstes die benötigten Ports zum Drucken ermitteln, Das hängt primär davon ab welches Protokoll du zum Drucken nutzt und auch vom eingesetzten Drucker. In der Regel ist das für einfaches Drucken über TCP ohne sonstigen Schnickschnack Port 9100 (TCP).

Heist dann am Ende für

Firewall UDM-Pro SRV
SOURCE: 192.168.10.14/32 SOURCEPORT: ANY DESTINATION 192.168.11.5/32 DESTINATIONPORT: 9100 PROTO: TCP

Firewall UDM-Pro CLIENT
SOURCE: 192.168.10.4/32 SOURCEPORT: ANY DESTINATION: 192.168.11.5/32 DESTINATIONPORT: 9100 PROTO: TCP

Da Firewalls heute in der Regel bis auf wenige Ausnahmen "statefull" arbeiten brauchst du natürlich keine Rückrouten anlegen, es reichen die Regeln vom Initiator zum Responder.

Natürlich vorausgesetzt es wird durchgehend transparent geroutet und nirgendwo dazwischen geNATed!

Bei Problemen einfach die Pakete step bey step verfolgen und die Logs an allen Stellen einschalten. Bei Bedarf an den Zwischenstationen Wireshark-Traces aufzeichnen schon hat sich das Thema erledigt.

Cheers briggs
heart1
Member: installer
installer Apr 30, 2023 at 07:02:29 (UTC)
Goto Top
Hey Briggs,
danke dafür. Ich muss jetzt allerdings sagen das die Grafik nicht ganz richtig ist. Die UDM des OpenVPN Servers hängt hinter einer Fritzbox als Exposed Host.
Die UDM des OpenVPN Client an einer FritzBox LTE.

Gibt's bei den Regeln irgendwo die Möglichkeit eines HideNAT oder so? Kenne das so von Securepoint, PfSense ....
Mitglied: 6247018886
6247018886 Apr 30, 2023 updated at 07:26:04 (UTC)
Goto Top
Zitat von @installer:

Hey Briggs,
danke dafür. Ich muss jetzt allerdings sagen das die Grafik nicht ganz richtig ist. Die UDM des OpenVPN Servers hängt hinter einer Fritzbox als Exposed Host.
Dann korrigiere sie doch bitte auch!

Die UDM des OpenVPN Client an einer FritzBox LTE.
Spielt keine Rolle.
Gibt's bei den Regeln irgendwo die Möglichkeit eines HideNAT oder so? Kenne das so von Securepoint, PfSense ....
Entweder du NATest im VPN oder eben nicht!
Wenn die VPN Server selbst die Netze innerhalb des VPN nicht NATen (Default) dann klappt da out of the box wenn du irgendwo innerhalb des VPN NATest musst du natürlich die Absender-IP in der Firewall Regel entsprechend auf die NAT-SRC IP anpassen, dir sollte dann aber klar sein das du dann nicht nur den einen Rechner zulässt sondern das ganze Netz hinter dieser IP.
Einfach mal die Firewall und NAT Grundlagen aneignen wäre dein erster Schritt!

Grundsatz lautet wie immer: Route where you can, NAT where you must.
Member: installer
installer May 02, 2023 at 07:12:06 (UTC)
Goto Top
Also ich komme mal aufjedenfall vom PC (192.168.10.14) ins Transfernetz auf die UDM-Pro OpenVPN Client (192.168.31.2).

Ich denke es muss jetzt nur noch der UDM-Pro (OpenVPN Client) beigebracht werden, das vom Transfernetz oder vom VLAN des OpenVPN Servers (192.168.10.0/24) ins 192.168.11.0/24 zugegriffen werden darf.

Dafür habe ich auch schon die IP Groups angelegt und jeweilige Regeln ... jedoch ist ein Ping auf das lokale GW (192.168.2.1) oder das VLAN GW (192.168.11.1) nicht möglich.

Als IP Groups in der UDM-Pro (OpenVPN Client) habe ich das TRANSFERNETZ (192.168.31.0/24) / das VLAN der Gegenseite (192.168.10.0/24) und die statische öffentliche IP der Gegenseite angelegt ...
... könnte es sein, das es Probleme gibt, da beide Fritzboxen wohl die selbe interne lP (192.168.178.1) haben?
Mitglied: 6247018886
6247018886 May 02, 2023 updated at 08:21:19 (UTC)
Goto Top
Zitat von @installer:
... könnte es sein, das es Probleme gibt, da beide Fritzboxen wohl die selbe interne lP (192.168.178.1) haben?
Nein die sind gar nicht involviert weil das VPN ja zwischen den UDMs aufgebaut wird du nur die Netze hinter der UDM erreichen willst und die Fritten Netze nur am Portforwarding des OpenVPN-Ports beteiligt sind.

Hast du den OpenVPN überhaupt als Site2Site aufgesetzt und die Routen korrekt gesetzt? Stichwort iroute
https://community.openvpn.net/openvpn/wiki/RoutedLans
Klingt mir nämlich verdächtig danach das du das vergessen hast.
Member: installer
installer May 02, 2023 at 08:31:35 (UTC)
Goto Top
Zitat von @6247018886:
Hast du den OpenVPN überhaupt als Site2Site aufgesetzt und die Routen korrekt gesetzt?

Nein, ein S2S ist nicht möglich, da die UDM welche als OpenVPN Client eingerichtet ist keine öffentliche IP Adresse bekommt, da diese ja per LTE am Netz hängt. Deswegen ist diese auch einfach nur als "OpenVPNClient" eingerichtet.
Korrigiere mich wenn das so nicht korrekt ist?

Zitat von @6247018886:
Stichwort iroute
https://community.openvpn.net/openvpn/wiki/RoutedLans
Klingt mir nämlich verdächtig danach das du das vergessen hast.

Schau ich mir an face-smile Vielen Dank.
Member: installer
installer May 04, 2023 at 16:48:27 (UTC)
Goto Top
Weißt du wo ich bei der UDM Pro die Server Config Datei finde?

Die Client Config Datei kann ich herunterladen und bearbeiten.
GermanQuestionFirewall