Hilfe bei Unifi Firewall Iot Netz Trennung

dos1973

Hi,
hier sind wir nicht bei Unifi, aber ich weiß dass viele von euch Unifi einsetzen und wollte um etwas Hilfestellung bitten.

Ich habe Schwierigkeiten bei den Firewall Einstellungen in meinem Unifi Netzwerk.

Ausgangslage:
Lan-Home: 192.168.10.0/24 derzeit noch alles andere
IoT: 192.168.30.0/24 (vlan30) darin befinde sich aktuell nur Shelly
beides sind Corporate Netzwerke.

dazu kommen noch, aber die sind aktuell nicht im Fokus
VPN: 192.168.20.0/24
Gast: 192.168.200.0/24 (vlan200)

Alle FW Regeln sind im LAN IN erstellt.

ich möchte das IoT vom Lan-Home trennen. Also keine Kommunikation (nur was muss) vom IOT Netz in mein Lan-Home.

• Habe ich.
  

Zugriff vom IOT Netz auf dem Iobroker Wenn das der richtige Weg ist?

• Habe ich.
  

aber ich schaffe es nicht aus dem Lan-Home in das IoT zugreifen können (zb auf die Shelly webIF) Ich möchte hier eine Einbahnstrassen Regel.

hat jemand eine Idee/ Hilfestellung

dos1973

so langsam glaube ich ich habe einen irgendein "grundlegenden" Fehler in meinem Setup oder ein falsches Verständnis.

ich gehe davon aus, ich habe 2 Netze
192.168.10.0/24
192.168.30.0/24

wenn ich jetzt eine Regel erstelle
sperre den Zugriff von
192.168.30.0/24 nach 192.168.10.0/24

dann sollte doch eine Kommunikation von
192.168.10.0/24 nach 192.168.30.0/24 weiterhin funktionieren?

sobald ich ein Netz sperre, Ende. Ich komme dann nicht mehr auf die Endgeräte aus dem anderem Netz??

Wer kann mir auf weiterhelfen?

Bin wieder auf Anfang
*** Alles Rules wieder gelöscht, Zugriff aus allen Richtungen wieder möglich***

BBTown

@dos1973
muss es nicht heißen
von Source <IPaAdresse>
zur Destination IoT-Ntzwerk
und die Regel muss vor der Drop-Regel stehen?!

Ich bin gerade nicht sicher ob es in Bereich LAN-local oder LAN-In gehört

dos1973

Aber dann würde doch nur ein Gerät zugelassen sein?

BBTown

@dos1973
das sieht für mich so aus als war es das was Du wolltest?
Von mir kommt der Screenshot ja nicht

dos1973

@BBTown
nein, ich will aus dem normalen netz in das IOT können und umgekehrt nicht

BBTown

@dos1973
dann ändere doch meinen Vorschlag entsprechend ab.
Ich bin nur der Meinung, dass Du im 2ten Screen die "Source" und "Destination" vertauschen müßtest ...

Aktuell steht dort:
Erlaube alle Zugriffe aus dem IoT-Netz auf die IP 192.168.10.10

dos1973

ich habe die Source und Destination getauscht. Es verändert nichts.
IP 192.168.10.10 ist mein Iobroker, der ist erreichbar - war er andersherum auch bereits. mein 2 Screenshots waren ja "erfolgreiche" Konfigurationen (also meine ich...)

Ich versuche nochmals deutlicher, ist echt schwer
die Kommunikation shelly und Iobroker Vis, etc funktioniert alles einwandfrei mit den Regeln

was ich nicht kann.

• mein Laptop ist im Lan Home. Hat die Ip 192.168.10.100
• irgendein Shelly im Netzwerk hat die 192.168.30.30

ich möchte von meinem Laptop, (Lan-Home Netz) auf die Shelly interne Webseite zugreifen.(IOT-Netz)
Also von meinem Laptop aus dem Lan-Home Netz im Browser die Adresse 192.168.30.30 aus dem IOT Netz öffnen.

Das geht nicht.
Ich kann keinerlei Adressen im anderen Netz erreichen.
FW Rule habe ich nur in eine Richtung gemacht, blockiere den Zugriff AUS dem IOT-Netz - > in das Lan Home Das. verstehe ich nicht.

crunchip

@dos1973 vllt hilft dir Link Text, sind drei Teile

dos1973

@crunchip

Danke, das hat geholfen!
mir hat eine Regel gefehlt, sobald ich diese deaktiviere, lande ich in meinem Fehler...

für alle die es interessiert

dos1973

eine weitere Frage in die Runde, nachdem mein IOT Wlan nun umgesetzt ist, würde ich auch gerne, die Kabelgebundenen in das IOT schieben.

ich habe bisher noch keine Erfahrung mit vlan Switches.
Frage: muss es ein Unifi Switch sein? die lächeln mich schon an ;-), gerade das alle im Controller zu haben, aber ich brauche 3 Stück = 320€
oder ich kaufe mir 3 x Netgear für 27€ /Stück
Netgear switch

wie habt ihr das?

crunchip

@dos1973 muss nicht unbedingt ein Unifi sein, geht auch mit dem Netgear, (ich hab nen GS108E 8-Port, für meine Wohnzimmergeräte)
Nachteil--> nicht alles im Controller zu haben

dos1973

Habe glücklicherweise heute 2 8Port POE über Ebay Kleinanzeigen für 140€ geholt.

Immer noch teuer, aber saucool alles im Controller zu haben. Brauche zwar noch einen aber muss ja nicht alles auf einmal sein.

crunchip

@dos1973 na wird doch langsam, vllt findet sich ja nochmal einer

Scrounger

@dos1973

Worüber läuft dein Shelly coap oder mqtt?

Ich hab meine shellys (coap protocol) jetzt auch in ein seperates vlan gepackt, allerdings findet der shelly adapter diese nicht. Hast du vielleicht ne idee?

Edit: per mqtt werden die Shellys vom Adapter gefunden

Edit2: Lösung gefunden. Man muss einen igmp-proxy einrichten, hier ist ein Beispiel dazu:
https://github.com/StyraHem/ShellyForHASS/issues/238#issuecomment-609010352

dos1973

@Scrounger
Habe nur mqqt und fw regeln zum iobroker

Flauschi

@scrounger said in Hilfe bei Unifi Firewall Iot Netz Trennung:

ng gefunden. Man muss einen igmp-proxy einrichten, hier ist ein Beispiel dazu:

hey hey.
Ist zwar schon etwas her, aber ich steh grad vorm gleichen Problem.

IoT VLAN endlich mal gebaut mit eigenem WLAN und zack, direkt das erste Shelly wird vom Adapter nichtmehr gefunden.

Magst Du mir kurz erklären, wo ich die igmp-proxy einbauen muss? (Habe eine UDM-Pro). Auf dem Unifi Gateway oder hier irgendwo im ioBroker?

Danke!

nerg

@flauschi Hast du eine Lösung gefunden? Bei UDM Pro solls ja eigentlich nicht gehen

crunchip

@nerg für was ne Lösung? Wenn deine shelly über CoIot laufen, sollte alles funktionieren