Toon posts:

Unifi VLAN Firewalls

Pagina: 1
Acties:

zaterdag 23 augustus 2025 09:37

Acties:
  • 0 Henk 'm!
  • Leaplasher
  • Registratie: Maart 2025
  • Niet online

Leaplasher

Topicstarter
Ben bezig met een een geisoleerd IOT VLAN op te zetten in mijn Unifi omgeving.
Waarbij ik vanaf mijn PC wel iets in het VLAN mag pingen, andersom echter niet.
(En zo wil ik nog wat rules aanmaken, waarbij 't IOT spul niet bij mijn interne netwerk kan, en ik wel bij wat IOT spul kan vanaf mijn pc).

Hierin vind ik het vreemd dat ik het alleen werkend krijg als ik zowel een LAN in als LAN out rule maak in mijn Unifi Gateway.

Wanneer ik zowel een LAN In als LAN Out voor ICMP aanmaak, kan ik een ping reply krijgen van een IP in 't IOT netwerk. Ik zou verwachten dat 't alleen een LAN In (of LAN out) zou moeten zijn. Niet beide kanten op.
Met zowel LAN In als LAN Out zet je 't twee kanten open en vanuit 't IOT VLAN hoef ik echt niks intern te kunnen pingen.

Aangemaakte rules:
Type: LAN In
Action: Accept
Protocol: ICMP

Source Type: IP Address
IP Address: <IP PC>

Destination Type: Network
Network: IOT Ip-range
Network Type: IPv4 subnet.


Type: LAN Out
Action: Accept
Protocol: ICMP

Source Type: Network
Network: IOT Ip-range
Network Type: IPv4 subnet.

Destination Type: Network
IP Address: <PC IP>

Beide rules staan uiteraard boven de "Block All" regels voor 't IOT VLAN.
Wie kan mij de duidelijkheid verschaffen die ik hierin zoek?

Ook op deze site, komt bij Firewall rules slechts 1 kant aanbod.
https://lazyadmin.nl/home-network/unifi-vlan-configuration/

[ Voor 4% gewijzigd door Leaplasher op 23-08-2025 09:57 ]

zaterdag 23 augustus 2025 10:52

Acties:
  • 0 Henk 'm!
  • demon326
  • Registratie: Oktober 2006
  • Laatst online: 09:30

demon326

Indien nog niet gedaan, update je gateway naar de laatste versie en dan kan je zone based firewall rules opzetten, die zo een dingen eenvoudiger maken.

Vervolgens kan je aan de hand van deze video kijken hoe je dit allemaal kan doen:
YouTube: How to use Zone Based Firewalls - Step by Step Tutorial

zaterdag 23 augustus 2025 10:56

Acties:
  • 0 Henk 'm!
  • Leaplasher
  • Registratie: Maart 2025
  • Niet online

Leaplasher

Topicstarter
Dank, helaas support mijn (antieke) Unifi Security Gateway (USG-3P) deze feature niet en gaat ook geen update meer krijgen hiervoor. Heb de meest recente firmware al tijden draaien, ding is ook EOL.
En ja, vervangen zou een optie zijn, echter 't doet nog steeds wat 't moet doen.

Daarbij, ik snap dat video's behulpzaam zijn voor veel mensen, voor mij werkt echter een lap tekst met screenshots veel beter.

Ik mag 't dus met de legacy methodes doen.

zaterdag 23 augustus 2025 11:19

Acties:
  • +1 Henk 'm!
  • RGAT
  • Registratie: Augustus 2011
  • Niet online

RGAT

Dat je voorbeeld maar 1 kant firewall regels instelt komt omdat die als voorbeeld uberhaupt maar 1 kant een block regel geconfigureerd heeft.
'By default' staat alles gewoon open, dus jouw voorbeeld blokkeert Inter-VLAN verkeer op VLAN 1 (bijvoorbeeld), daarmee kan VLAN 2 (enz) dus niet meer naar VLAN 1 praten maar andersom zou nog wel kunnen.
Daarom hoor je firewall regels op elk VLAN in te stellen.

Je pings komen vanuit je thuisnetwerk naar het IoT VLAN, maar die moet ook wel de reactie terug kunnen/mogen sturen.

Volgens mij kan je met de oudere Unifi nog 'Match Established' + 'Match Related' gebruiken voor de allow-rule vanuit je IoT-VLAN en 'Match New' voor de allow rule vanuit je thuisnetwerk VLAN naar IoT VLAN.
Dan mogen nieuwe verbindingen vanuit je thuisnetwerk VLAN naar het IoT VLAN en de reacties daarop wel maar niet andersom.

Fixing things to the breaking point...

zaterdag 23 augustus 2025 16:15

Acties:
  • 0 Henk 'm!
  • Leaplasher
  • Registratie: Maart 2025
  • Niet online

Leaplasher

Topicstarter
Dit zijn mijn rules nu:

Afbeeldingslocatie: https://tweakers.net/i/8q45lihRAAwhDgfaQXBW_1tEVI4=/800x/filters:strip_exif()/f/image/ZRID7KIN54mtFpnwnbhJG2t4.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/oZTV9M70sjiPNXo75VQOzW_fV9Q=/800x/filters:strip_exif()/f/image/QyNJMet1R4gkdFnNkbbdUvFl.png?f=fotoalbum_large

Waarvan als voorbeeld de ICMP, de enige manier waarop 't werkt:

Afbeeldingslocatie: https://tweakers.net/i/cpA0e1Gf6M-lrjdIOp9X0knYF0o=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/UKHTvzRGaWDgoDUppKf4QkFk.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/i8UW3XOCnlGgo9X9L71Q1humue4=/x800/filters:strip_exif()/f/image/13CtZ7aZ4WriVwIcGDx9c73m.png?f=fotoalbum_large

Heb gepoogd om bij LAN Out (zoals je aangaf) "Match New" aan te vinden. en bij LAN In "NEw/Established/Related". (En vise versa), maar helaas geen succes. Pings timen dan out vanaf mijn PC naar 't IOT vlan.

En dit zelfde gaat op voor bijv. HTTP/HTTPS regels.
Ergens heb ik 't gevoel dat ik iets mis, want dit zou toch gewoon moeten werken?

zaterdag 23 augustus 2025 21:29

Acties:
  • 0 Henk 'm!
  • FredvZ
  • Registratie: Februari 2002
  • Laatst online: 22:42

FredvZ

Leaplasher schreef op zaterdag 23 augustus 2025 @ 16:15:
Dit zijn mijn rules nu:

[Afbeelding]

[Afbeelding]

Waarvan als voorbeeld de ICMP, de enige manier waarop 't werkt:

[Afbeelding]

[Afbeelding]
Waarom zijn er IP-adressen weggestreept?
Als het goed is zijn dit allemaal interne IP-adressen, daar kan je niets mee zolang je niet op jouw netwerk zit.

Waarom heb je LAN in en LAN out regels?
LAN in is voldoende.
Het lijkt alsof je LAN out hebt toegepast met idee dat dit nodig is voor het retourverkeer, dat laatste is niet het geval.

Spel en typfouten voorbehouden

zondag 24 augustus 2025 08:09

Acties:
  • 0 Henk 'm!
  • Leaplasher
  • Registratie: Maart 2025
  • Niet online

Leaplasher

Topicstarter
FredvZ schreef op zaterdag 23 augustus 2025 @ 21:29:
[...]
Waarom heb je LAN in en LAN out regels?
LAN in is voldoende.
Het lijkt alsof je LAN out hebt toegepast met idee dat dit nodig is voor het retourverkeer, dat laatste is niet het geval.
Zoals benoemd, zonder LAN out, werkt het niet.
Geen ping, geen andere protocollen. Mét LAN out, werkt 't wel.
En zoals ik in de TS aangeef, is dit niet zoals ik 't wil oplossen, ben derhalve opzoek naar de reden waarom 't met enkel LAN In niet werkt.

zondag 24 augustus 2025 08:14

Acties:
  • +1 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 09:05

nelizmastr

Goed wies kapot

Misschien geen populaire reactie, maar:

Waarom zoveel tijd en moeite steken in een legacy methode op EOL hardware?
Koop een uxg lite, installeer unifi network 9 en gebruik de zone based firewall.

De reden? Deze oude methode was altijd al de grootste zwakte van Ubiquiti en volgde geen enkele marktconforme logica. De hele filosofie was back-asswards en werkt zoals je merkt niet als verwacht.

Met een onveilig EOL apparaat als je security appliance kun je sowieso nog zoveel regels maken als je wilt, maar veilig wordt het niet meer.

[ Voor 15% gewijzigd door nelizmastr op 24-08-2025 08:16 ]

I reject your reality and substitute my own

zondag 24 augustus 2025 08:27

Acties:
  • 0 Henk 'm!
  • Leaplasher
  • Registratie: Maart 2025
  • Niet online

Leaplasher

Topicstarter
Snap je perspectief en dank daarvoor. Heb er ook aan gedacht, gebruik ook de 'wireguard hack' om nog te kunnen VPNen vanaf mijn Android systemen, en ook dat package is al verouderd. Echter is het budget daar er momenteel echt niet voor. Dat moet helaas nu naar andere zaken die prio hebben.

Hoe graag ik het ook zou willen. Een Unifi Fibre Gateways staat zeker op mijn wensenlijstje.'
(Toch weer €350 investering + DAC + M2 slot).

Dat gezegd hebbende, op een legacy oplossing zou dit ook "gewoon" haalbaar moeten zijn.

Sponsoring mag natuurlijk altijd. :+
Al denk ik niet dat een crowdfunding actie in deze zal werken. ;)

[ Voor 4% gewijzigd door Leaplasher op 24-08-2025 08:48 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq