Guten Abend,
ich habe im Moment erstmal nur eine gewisse Testumgebung aufgebaut, bevor ich mein aktuell Produktives Netzwerk "umbaue". Die ersten Tests liefen eigentlich sehr vielversprechend. Nur bin ich jetzt auf ein Problem gestoßen, welches mir ordentlich den Tag versaut.
Aber bevor ich zu meinem Problem komme, kurz ein Überblick über meine vorhandene Hardware, Einstellungen und der gleichen.
Die Hardware:
1. Unifi Geräte
Die Einstellungen:
Ich habe die Allow Regel auch auf Position 1 geschoben, vor den Drop Regeln. Auf Dauer sollen zwar alle Netzwerke oder zumindest einige den PiHole nutzen, aber dann kann man ja als Source auch Any oder eine Gruppe erstellen und auswählen.
Ich weiß nicht, ob diese Informationen schon reichen oder noch weitere benötigt werden. Die Firewall Regel, die nicht funktioniert habe ich in verschiedenen Videos und auch im Netz schon gesehen, der einzige große Unterschied zu mir ist, dass die meisten eine Dream Maschine Pro im Einsatz haben und kein Dream Router, wo ich hoffe nicht das Problem liegt.
Aktuell habe ich das hinter der FritzBox noch hängen für die Testphase. Ist zwar doppeltes NAT und so, ich hoffe aber, dass ich das meiste Trotzdem vorher schon mal testen kann.
Michael
ich habe im Moment erstmal nur eine gewisse Testumgebung aufgebaut, bevor ich mein aktuell Produktives Netzwerk "umbaue". Die ersten Tests liefen eigentlich sehr vielversprechend. Nur bin ich jetzt auf ein Problem gestoßen, welches mir ordentlich den Tag versaut.
Aber bevor ich zu meinem Problem komme, kurz ein Überblick über meine vorhandene Hardware, Einstellungen und der gleichen.
Die Hardware:
1. Unifi Geräte
- Unifi Dream Router
- Unifi AP 6 Lite
- 1 PC im HomeNetwork
- 2 Wemos D1 Mini als Testwebserver (jeweils einer im IoTDev und einer im HomeNetwork zum Testen der Firewall)
- 1 Windows Tablet im IoTDev Netzwerk
- 1 Mini Testserver mit Proxmox als Basis im "Server Netz"
- ein PiHole als LXC Container
- ein IoBroker als LXC Container (noch nicht aktiv)
Die Einstellungen:
- 3 VLANs (IoTDev. [VLAN 10], HomeNetwork [VLAN 20] und "Server Netz" [VLAN 100]), dazu 2 WLAN Netzwerke (einer für IoTDev und einer für HomeNetwork)
- Das "Managent VLAN [VLAN 1]" habe ich unberührt gelassen, bis auf dass dort die Unifi Geräte drin sind.
- Ich habe 3 Firewall-Regeln definiert.
- "Block IoT to HomeNetwork", das funktioniert. (Im Type LAN in habe ich einfach als Source das IoTDev angegeben und als Destination das Netzwerk HomeNetwork und das alles als Drop)
- "Blockieren des Zugriffs auf die Gateways" aller VLANs aus dem IoTDev Bereich (Type ist LAN Local, als Source habe ich das Netzwerk IoTDev gewählt und als Destination habe ich die Port / IP Group "all Gateways" (hier habe ich alle IPs der Gateways eingetragen) gewählt und als Portgruppe die 3 Ports für den Zugriff auf die UDM (22, 80, 443)
- "Allow HomeNetwork to Lokale DNS Server", diese Regel Funktioniert nicht, hier habe ich mal ein Screenshot dazu gemacht, zu den Einstellungen:
- Die Gruppen für die "Allow HomeNetwork to Lokale DNS Server" - Regel bestehen zum einen aus den IP Adressen des PiHoles und zum anderen aus dem Port 53 für DNS
Ich habe die Allow Regel auch auf Position 1 geschoben, vor den Drop Regeln. Auf Dauer sollen zwar alle Netzwerke oder zumindest einige den PiHole nutzen, aber dann kann man ja als Source auch Any oder eine Gruppe erstellen und auswählen.
Ich weiß nicht, ob diese Informationen schon reichen oder noch weitere benötigt werden. Die Firewall Regel, die nicht funktioniert habe ich in verschiedenen Videos und auch im Netz schon gesehen, der einzige große Unterschied zu mir ist, dass die meisten eine Dream Maschine Pro im Einsatz haben und kein Dream Router, wo ich hoffe nicht das Problem liegt.
Aktuell habe ich das hinter der FritzBox noch hängen für die Testphase. Ist zwar doppeltes NAT und so, ich hoffe aber, dass ich das meiste Trotzdem vorher schon mal testen kann.
Michael