Probleme mit der Firewall des Unifi Dream Router

Micha1986

Profi
Thread Starter
Mitglied seit
09.08.2022
Beiträge
77
Guten Abend,
ich habe im Moment erstmal nur eine gewisse Testumgebung aufgebaut, bevor ich mein aktuell Produktives Netzwerk "umbaue". Die ersten Tests liefen eigentlich sehr vielversprechend. Nur bin ich jetzt auf ein Problem gestoßen, welches mir ordentlich den Tag versaut.
Aber bevor ich zu meinem Problem komme, kurz ein Überblick über meine vorhandene Hardware, Einstellungen und der gleichen.

Die Hardware:
1. Unifi Geräte
  • Unifi Dream Router
  • Unifi AP 6 Lite
2. Sonstige Geräte im Netzwerk
  • 1 PC im HomeNetwork
  • 2 Wemos D1 Mini als Testwebserver (jeweils einer im IoTDev und einer im HomeNetwork zum Testen der Firewall)
  • 1 Windows Tablet im IoTDev Netzwerk
  • 1 Mini Testserver mit Proxmox als Basis im "Server Netz"
    • ein PiHole als LXC Container
    • ein IoBroker als LXC Container (noch nicht aktiv)

Die Einstellungen:
  1. 3 VLANs (IoTDev. [VLAN 10], HomeNetwork [VLAN 20] und "Server Netz" [VLAN 100]), dazu 2 WLAN Netzwerke (einer für IoTDev und einer für HomeNetwork)
  2. Das "Managent VLAN [VLAN 1]" habe ich unberührt gelassen, bis auf dass dort die Unifi Geräte drin sind.
  3. Ich habe 3 Firewall-Regeln definiert.
    1. "Block IoT to HomeNetwork", das funktioniert. (Im Type LAN in habe ich einfach als Source das IoTDev angegeben und als Destination das Netzwerk HomeNetwork und das alles als Drop)
    2. "Blockieren des Zugriffs auf die Gateways" aller VLANs aus dem IoTDev Bereich (Type ist LAN Local, als Source habe ich das Netzwerk IoTDev gewählt und als Destination habe ich die Port / IP Group "all Gateways" (hier habe ich alle IPs der Gateways eingetragen) gewählt und als Portgruppe die 3 Ports für den Zugriff auf die UDM (22, 80, 443)
    3. "Allow HomeNetwork to Lokale DNS Server", diese Regel Funktioniert nicht, hier habe ich mal ein Screenshot dazu gemacht, zu den Einstellungen:
      61821-Screenshot-png

  4. Die Gruppen für die "Allow HomeNetwork to Lokale DNS Server" - Regel bestehen zum einen aus den IP Adressen des PiHoles und zum anderen aus dem Port 53 für DNS
Die 3. Firewall Regel habe ich auch in den anderen Typen versucht zu testen, nur leider ohne Erfolg. Das Problem ist, sobald ich für die Geräte im Netzwerk "HomeNetwork" als DNS den PiHole angebe, kann ich google und co nicht mehr aufrufen. Der Ping nach google (8.8.8.8) geht, aber sonst nix. Wenn ich hingegen meinen PC, welcher sich normal im Netzwerk "HomeNetwork" befinde ins VLAN "Server Netze" packe und dann den PiHole als DNS eintrage läuft alles wie gewünscht über den PiHole.

Ich habe die Allow Regel auch auf Position 1 geschoben, vor den Drop Regeln. Auf Dauer sollen zwar alle Netzwerke oder zumindest einige den PiHole nutzen, aber dann kann man ja als Source auch Any oder eine Gruppe erstellen und auswählen.

Ich weiß nicht, ob diese Informationen schon reichen oder noch weitere benötigt werden. Die Firewall Regel, die nicht funktioniert habe ich in verschiedenen Videos und auch im Netz schon gesehen, der einzige große Unterschied zu mir ist, dass die meisten eine Dream Maschine Pro im Einsatz haben und kein Dream Router, wo ich hoffe nicht das Problem liegt.

Aktuell habe ich das hinter der FritzBox noch hängen für die Testphase. Ist zwar doppeltes NAT und so, ich hoffe aber, dass ich das meiste Trotzdem vorher schon mal testen kann.

Michael
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was genau möchtest du denn erreichen?

Den Traffic über das PiHole leiten?
Ich kenne es jetzt eigentlich so, dass das PiHole im jeweiligen/den gewünschten Netzwerk als Nameserver eingetragen wird.
Ein "Blockieren Gateway" macht in meinen Augen keinen Sinn. Evtl meinst du aber auch nur etwas anderes
 
Mit Blockieren der Gateways war eigentlich eher gemeint, da bekanntlich IoT Geräte nicht immer den besten Schutz haben und gerne direkt oder indirekt als Tür ins Heimische Netzwerk genutzt werden. Und für den Fall, dass das mal passieren sollte, möchte ich den Schaden so gering wie möglich halten.

Aber das mit dem PiHole hatte ich vor. Also das der Internetverkehr vom "HomeNetwork" über den PiHole im "Server Netz" läuft. habe aber heute zufällig einen Kollegen getroffen und der hat mir den "golden" Hinweis gegeben. Es scheiterte bislang an Einstellungen im PiHole selber. Den sobald der PiHole und der Client nicht im gleichen Netzwerk sind, muss man da ein paar Einstellungen anpassen. Ich füge mal 2 Screenshots ein, was ich genau meine. Vielleicht hilft das ja auch mal jemand anderem in Zukunft?

Die rote Kiste mit einem Kästchen ohne Harken, ist ein Harken der entfernt werden muss. Es handelt sich um Einstellungen im DNS Bereich des PiHoles.

Pihole DNS Einstellungen oben.jpgPihole DNS Einstellungen unten.jpg

Michael
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh