149680
08.10.2021
6577
6
0
Firewall Verhalten Unifi Dream Machine
Hallo liebe community,
ich experminetiere gerade ein wenig mit der UDM herrum. Aktuell möchte ich meine VPN User lediglich Zugriff auf ein NAS in einem anderen Subnet geben. VPN User landen z.B: in 192.168.5.0/28 , ein NAS steht in 192.168.20.0/28. Darüber ninaus gibt es noch weiter Netze Iot und Client etc.
Aktuell habe ich allen Subnetzen die Verbindung pber HTTP, HTTPS und SSH auf die Gatways als 192.168.2.1 oder eben auch 192.168.1.1 verboten. Soweit alles super. Wenn ich nun die gleichen Regeln auch für mein VPN Netz anwesen funktioniert dies leider nicht. VPN User können nach wie vor zb 192.168.1.1 oder x.x.2.1 aufrufen also über alle SUbnetze hinweg. Im Lan Out habe ich traffic von VPN Usern in alle Netze geblock. Scheinbar mit mittelmäßigem Erfolg. Auf mein NAS kann cih jedoch erst nach einer explizieten Freigabe im Lan Out auf die IP des NAS zugreifen.
Von der Idee befinde ich mich doch eigentlich auch eher im LAN local oder nicht? VPN User bekommt Zugriff von www in das Subnetz, damit ist er im "System" und Zugriff auf alle Gateways (HTTP; HTTPS, SSH) soll verboten werden ist doch dann Traffic auf der FIrewall selber, also LAN Local oder eben aus Sicht der jeweiligen Subnetze LAN IN oder nicht?
Wie gesagt viel probiertund gelesen aber leider bisher ohne kompletten Erfolg.
Habt ihr noch eine Idee wo man ansetzen kann?
Beste Güße
ich experminetiere gerade ein wenig mit der UDM herrum. Aktuell möchte ich meine VPN User lediglich Zugriff auf ein NAS in einem anderen Subnet geben. VPN User landen z.B: in 192.168.5.0/28 , ein NAS steht in 192.168.20.0/28. Darüber ninaus gibt es noch weiter Netze Iot und Client etc.
Aktuell habe ich allen Subnetzen die Verbindung pber HTTP, HTTPS und SSH auf die Gatways als 192.168.2.1 oder eben auch 192.168.1.1 verboten. Soweit alles super. Wenn ich nun die gleichen Regeln auch für mein VPN Netz anwesen funktioniert dies leider nicht. VPN User können nach wie vor zb 192.168.1.1 oder x.x.2.1 aufrufen also über alle SUbnetze hinweg. Im Lan Out habe ich traffic von VPN Usern in alle Netze geblock. Scheinbar mit mittelmäßigem Erfolg. Auf mein NAS kann cih jedoch erst nach einer explizieten Freigabe im Lan Out auf die IP des NAS zugreifen.
Von der Idee befinde ich mich doch eigentlich auch eher im LAN local oder nicht? VPN User bekommt Zugriff von www in das Subnetz, damit ist er im "System" und Zugriff auf alle Gateways (HTTP; HTTPS, SSH) soll verboten werden ist doch dann Traffic auf der FIrewall selber, also LAN Local oder eben aus Sicht der jeweiligen Subnetze LAN IN oder nicht?
Wie gesagt viel probiertund gelesen aber leider bisher ohne kompletten Erfolg.
Habt ihr noch eine Idee wo man ansetzen kann?
Beste Güße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1368246656
Url: https://administrator.de/forum/firewall-verhalten-unifi-dream-machine-1368246656.html
Ausgedruckt am: 13.04.2025 um 23:04 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @149680:
Hallo liebe community,
Moin,Hallo liebe community,
Von der Idee befinde ich mich doch eigentlich auch eher im LAN local oder nicht?
Von der Idee? Eigentlich?
Geglaubt wird in der Kirche, nicht in der IT.
In LAN Local kannst du gar nicht sein, die Regel betrifft das LANseitige Interface der UDM, kein Subnetz. Analog zu WAN Local.
Bei UniFi gibt es keine separaten Firewallgruppen für VPN, deshalb wird es über LAN_OUT gemacht https://community.ui.com/questions/User-VPN-Firewall-Rules/9e0aea16-f981 ...
VG
Guter Spruch 
muss ich mir mal merken.
Wenn ich den von dir verlinkten Post richtig verstehe, wird hier aber auch lediglich die Lan Out Methode angesprochen, elider schon vor mehr als 3 Jahren. Genau wie es dort beschrieben ist habe ich es ja versucht umzusetzen. Source VPN User (da ich nur zwei will - 28 daher nicht ganz korrekt) wären IP kein Problem, aber es scheint ja nicht zu gehen.
Was ich nciht ganz verstanden habe related/established wurde angesprochen. Diese Regelung habe ich auch, evtl. bringt es was dies zu streichen und dafür hin und rückweg einzeln zu definieren, Aufwand - ja, aber wenns klappt.
Sonst sehe ich aktuell keine Lösung. Das kann doch wohl aber nciht wahr sein...dann doch lieber pfsense??
muss ich mir mal merken.Wenn ich den von dir verlinkten Post richtig verstehe, wird hier aber auch lediglich die Lan Out Methode angesprochen, elider schon vor mehr als 3 Jahren. Genau wie es dort beschrieben ist habe ich es ja versucht umzusetzen. Source VPN User (da ich nur zwei will - 28 daher nicht ganz korrekt) wären IP kein Problem, aber es scheint ja nicht zu gehen.
Was ich nciht ganz verstanden habe related/established wurde angesprochen. Diese Regelung habe ich auch, evtl. bringt es was dies zu streichen und dafür hin und rückweg einzeln zu definieren, Aufwand - ja, aber wenns klappt.
Sonst sehe ich aktuell keine Lösung. Das kann doch wohl aber nciht wahr sein...dann doch lieber pfsense??
Vielleicht helfen ja die Support-Unterlagen.
https://help.ui.com/hc/en-us/articles/115003173168-UniFi-UDM-USG-Introdu ...
https://help.ui.com/hc/en-us/articles/115003173168-UniFi-UDM-USG-Introdu ...
Ohne das verwendete VPN Protokoll zu kennen ist das alles so oder so "Shooting in the dark" und pure Kristallkugelei. 
Ohne Erfolg, Thema zu
Hättest ja wenigstens einmal dein Regelwerk posten können. Dann hätte man dir sofort sagen können wo du deinen Fehler gemacht hast. Aber nungut...
