netzer2021
Goto Top

Firewall Verhalten Unifi Dream Machine

Hallo liebe community,

ich experminetiere gerade ein wenig mit der UDM herrum. Aktuell möchte ich meine VPN User lediglich Zugriff auf ein NAS in einem anderen Subnet geben. VPN User landen z.B: in 192.168.5.0/28 , ein NAS steht in 192.168.20.0/28. Darüber ninaus gibt es noch weiter Netze Iot und Client etc.

Aktuell habe ich allen Subnetzen die Verbindung pber HTTP, HTTPS und SSH auf die Gatways als 192.168.2.1 oder eben auch 192.168.1.1 verboten. Soweit alles super. Wenn ich nun die gleichen Regeln auch für mein VPN Netz anwesen funktioniert dies leider nicht. VPN User können nach wie vor zb 192.168.1.1 oder x.x.2.1 aufrufen also über alle SUbnetze hinweg. Im Lan Out habe ich traffic von VPN Usern in alle Netze geblock. Scheinbar mit mittelmäßigem Erfolg. Auf mein NAS kann cih jedoch erst nach einer explizieten Freigabe im Lan Out auf die IP des NAS zugreifen.


Von der Idee befinde ich mich doch eigentlich auch eher im LAN local oder nicht? VPN User bekommt Zugriff von www in das Subnetz, damit ist er im "System" und Zugriff auf alle Gateways (HTTP; HTTPS, SSH) soll verboten werden ist doch dann Traffic auf der FIrewall selber, also LAN Local oder eben aus Sicht der jeweiligen Subnetze LAN IN oder nicht?

Wie gesagt viel probiertund gelesen aber leider bisher ohne kompletten Erfolg.


Habt ihr noch eine Idee wo man ansetzen kann?

Beste Güße

Content-Key: 1368246656

Url: https://administrator.de/contentid/1368246656

Printed on: February 1, 2023 at 23:02 o'clock

Member: chgorges
chgorges Oct 08, 2021 at 19:48:44 (UTC)
Goto Top
Zitat von @netzer2021:

Hallo liebe community,
Moin,
Von der Idee befinde ich mich doch eigentlich auch eher im LAN local oder nicht?

Von der Idee? Eigentlich?
Geglaubt wird in der Kirche, nicht in der IT.

In LAN Local kannst du gar nicht sein, die Regel betrifft das LANseitige Interface der UDM, kein Subnetz. Analog zu WAN Local.

Bei UniFi gibt es keine separaten Firewallgruppen für VPN, deshalb wird es über LAN_OUT gemacht https://community.ui.com/questions/User-VPN-Firewall-Rules/9e0aea16-f981 ...

VG
Member: netzer2021
netzer2021 Oct 08, 2021 at 20:34:34 (UTC)
Goto Top
Guter Spruch face-smile muss ich mir mal merken.

Wenn ich den von dir verlinkten Post richtig verstehe, wird hier aber auch lediglich die Lan Out Methode angesprochen, elider schon vor mehr als 3 Jahren. Genau wie es dort beschrieben ist habe ich es ja versucht umzusetzen. Source VPN User (da ich nur zwei will - 28 daher nicht ganz korrekt) wären IP kein Problem, aber es scheint ja nicht zu gehen.

Was ich nciht ganz verstanden habe related/established wurde angesprochen. Diese Regelung habe ich auch, evtl. bringt es was dies zu streichen und dafür hin und rückweg einzeln zu definieren, Aufwand - ja, aber wenns klappt.

Sonst sehe ich aktuell keine Lösung. Das kann doch wohl aber nciht wahr sein...dann doch lieber pfsense??
Member: Visucius
Visucius Oct 08, 2021 at 20:44:42 (UTC)
Goto Top
Member: aqui
aqui Oct 09, 2021 at 09:33:25 (UTC)
Goto Top
Ohne das verwendete VPN Protokoll zu kennen ist das alles so oder so "Shooting in the dark" und pure Kristallkugelei. face-sad
Member: netzer2021
Solution netzer2021 Jun 28, 2022 at 12:46:24 (UTC)
Goto Top
Ohne Erfolg, Thema zu
Member: aqui
aqui Jun 28, 2022 at 15:29:57 (UTC)
Goto Top
Hättest ja wenigstens einmal dein Regelwerk posten können. Dann hätte man dir sofort sagen können wo du deinen Fehler gemacht hast. Aber nungut...