generelle Fragen zum Netzwerksetup
-
@Phil-Ipp
Wenn Du von der Fritte keine Funktionen zwingend brauchst würde ich auch nen reines Modem vor das USG setzen. Würde ich auch gerne machen. Meine Wahl wäre dann ein Draytek Vigor. Ich werde als Kabelkunde meine Box als 1. Endgerät am Anschluss nicht los, da die zwangsweise von Vodafone direkt provisioniert wird. -
@Samson71 sagte in generelle Fragen zum Netzwerksetup:
Die Kommunikation zwischen den vlans bzw. einzelner IT-Geräte daraus regelst Du über Firewall-Regeln des Unifi-Controllers.
Hast du da vielleicht eine Beispiel-Rule für mich? Oder einen Link zu einer Beschreibung? Irgendwie habe dabei keinen Durchblick. Bestimmten MAC-Adressen das WAN zu verbieten habe ich ebenso geschafft wie eine Portweiterleitung. Doch die Verbindung zwischen zwei VLAN ist mir nicht klar. "LAN eingehen", "LAN ausgehend" oder "LAN lokal"? Alleine da weiß ich schon nicht wo rein.
-
Hi,
Ich kann jedem die 3 youtube Videos empfehlen.
Insbesondere wenn vlan und firewall rules eingesetzt werden. Auch wie sauber mit PortGruppen gearbeitet wird. Mir hat es sehr geholfen.
EDIT: @Samson71 war meine größte Hilfe!!!
-
@Dr-Bakterius
Die Beiträge und Videos von idomix.de sind auch immer eine ganz ordentliche Anlaufstelle
https://idomix.de/unifi-firewall-einstellen-vlan-isolation-security-gatewaySonst kann man da auch sicher was über Screenshots oder gar Teamviewer machen. Bin im Moment aber gerade mobil unterwegs.
-
@Samson71 Danke für den Link. Damit konnte ich das VLAN vom LAN trennen (kannte das vorher von Tomato nur so, dass es grundsätzlich getrennt ist). Auch wie man bestimmten Geräten Zugriff auf das LAN oder Teilen davon gewährt ist soweit klar. Was ich aber nicht geschafft habe: ich kann die Weboberfläche von Geräten im VLAN vom LAN aus nicht erreichen. Da ich diese Verbindung in der Firewall nicht blockiert habe, werden wohl die Daten vom Gerät im VLAN von der Firewall geblockt. Gibt es dafür auch eine Regel damit ich die Geräte im VLAN erreiche? Port 80 und 443 freizugeben hat auf jeden Fall nicht gereicht.
-
@Dr-Bakterius
Hast Du Dir das Video von idomix mal angesehen? Darin definiert er Regeln damit sein Rechner (LAN) auf die separierten IPCams (VLAN) zugreifen kann. Zumindest meine ich mich daran erinnern zu können. Irgendwo ab Minute 6 oder so. Das Video war ganz zu Anfang mein roter Faden an dem ich mich langgetastet habe. Sonst guck ich heute Abend mal in meinen Einstellungen was ich da finde. -
@Samson71 Ja, klar habe ich das Video angesehen. Aber ich brauche ja genau den umgekehrten Weg. Er hat dem LAN den Zugang zum VLAN gesperrt und einem Rechner den Zugang (komplett) erlaubt. Ich möchte aber dem VLAN den Zugang zum LAN grundsätzlich sperren und nur einzelne Rechner zugängig haben. Vom LAN sollen aber alle im VLAN erreichbar sein. Die Anfragen vom LAN werden im VLAN auch ankommen, aber die Antwort wird wohl blockiert werden.
-
@Samson71 Ich habe jetzt selbst die Lösung gefunden! Nach dieser Anleitung: https://help.ui.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing
Man muss also das VLAN aus dem LAN aussperren (wobei sich die Beschreibungen idomix und UniFi etwas unterscheiden wenn es um das Anhaken der States geht) und davor eine Regel setzen, die dafür sorgt, dass Antworten durchgelassen werden.
Nachdem das nun geklärt ist, kann ich meine IoT-Geräte in ein eigenes VLAN legen. Mal sehen auf welche Probleme ich noch stoße. Die Shellys werde ich wohl auf MQTT umstellen müssen, doch ob das alles ist...
-
@Dr-Bakterius
Moin, sorry war nicht so schnell. Gestern Abend war es spät. Sitze gerade an der Kiste und wollte in meinen Einstellungen gucken. Mache gerade erst mal Updates für meinen Fuhrpark. Bei 10 Geräten dauert das nen Moment. Aber prima, dass Du Dir schon selbst helfen konntest. -
Moin, ich hacke mal hier ein da das Thema genau in die Richtung geht in der ich gerade Probleme habe.
Mein Setup: iobroker als VM in Proxmox (Zigbeestick, onboard BT läuft alles), ich habe zu Hause ein Unifisetup mit Switch+APs und habe jetzt meine USG+Cloudkey gegen eine UDM getauscht - läuft auch alles. Da ich diverse IoT Geräte habe (Tuyarollotaster, Wifibirnen, etc) habe ich mehrer Subnetze mit VLANs + dazugehörige WLANs erstellt da die meisten Geräte über Wifi laufen.
Zum Problem:
Normalerweise haben alle Rollotaster im Tuyaadapter eine IP nachdem ich die Geräte aus der Smartlife app mittels Proxy synchronisiert habe. Leider klappt das seit dem Umzug der Taster in das andere Subnetz nicht mehr. Soweit ich das mitbekommen habe, liegt das wohl an der Broadcastdomain, da UDP Pakete nicht zwischen Subnetzen weitergeleitet werden?? Resultat war, dass der Adapter gelb blieb und im Log stand "no match for devices found" da die Geräte obwohl sie eine Ip hatten im Tuyaadapter keine angezeigt haben. Ich konnt das Problem jetzt nur mit festen IPs in Unifi + manuelle IP in den Tastern unter Objekte/RolloXy/RAW mit manueller IP lösen. Nebeneffekt davon, meine Rollos werden regelmäßig nicht mehr angesteuert (Skripte für morgens hoch; Abends runter; wenn Alarmanlage scharf dann runter, etc) oder es werden nur manche Rollos gesteuert, was ich auch auf das VLAN Thema zurückführe da ich vorher nie Probleme hatte. Die Rollos lassen sich eine Zeit lang steuern, irgendwann dann nicht mehr obwohl das LOg keine Fehler zeigt, dann hilft nur Neustart des Adapters.Mein iobroker läuft im Haupnetz (172.16.77.0/24) inkl Tuyaadapter. Die Rollotaster sind im 172.16.86.0/24er Netz (VLAN 12). Ich habe alle VLANs als corporate erstellt, somit können sich alle Netze untereinander erreichen (Ping hat auch funktioniert).
Ich bin im Internet bereits auf mDNS bei Unifi gestoßen und habe trotzdem eine Firewallregel erstellt damit UDP Pakete aus VLAN 12 in mein Haupnetz dürfen) hat aber bisher das Problem nicht behoben und konterkarriert wiederum meinen Securityansatz...
Hat jemand eine Idee?
