Firewall hulp: vlan -> vlan niet mogelijk

L

Lifelogger

UniFier
21 apr 2022
50
4
8
Ik ben nu al twee dagen aan het rommelen met firewall regels, en kom er niet uit. Ik heb de tutorial van Crosstalk Solutions gevolgd:
. Op het einde wordt mooi gesproken over het toe laten van bepaalde adressen naar bijvoorbeeld PiHole, maar dat wordt helaas niet voorgedaan. En op zo'n soort issue loop ik dus vast.

Heb op basis van het filmpje m'n firewall regels opgemaakt. Mijn hoofdnetwerk heeft toegang tot alle vlans. De vlans onderling heb ik nu geblokkeerd. Vanaf mijn IoT vlan kan ook niet apparaten in andere vlans pingen. Dat is in principe goed.

Maar... nu zou ik wel graag vanuit mijn IoT lan een verbinding willen kunnen maken naar m'n main lan. Ik wil bijvoorbeeld met Kodi een verbinding maken naar m'n NAS op de main lan. Alleen krijg ik het na twee dagen stoeien nog steeds niet voor elkaar. Kodi zit op vlan 2 en m'n NAS op vlan 1. Eigenlijk wil ik dus een gaatje prikken in m'n firewall en op basis van IP van Kodi (192.168.2.20) toch toegang geven tot de DB (poort 3306) en NFS op de nas (192.168.1.10).

Welke lan in, lan out, local lan instellingen ik ook gebruik. Ik kan met geen mogelijkheid mijn NAS pingen vanaf mijn IoT vlan laat staat met Kodi er bij komen. Zelfs als ik al m'n eigen regels uit zet, kan ik de NAS niet pingen vanaf het IoT vlan.

Wat moet ik precies gebruiken om het wel voor elkaar te krijgen? Zodra ik Kodi in mijn main lang zet, werkt het weer perfect.
Mijn router is overigens de Unifi Dream Router.
 
Laatst bewerkt:
Zojuist een nieuw vlan gemaakt. Niet eerder gebruikt. Mediaplayer in nieuwe vlan gehangen. Lan in firewall rule gemaakt voor test vlan naar hoofd vlan. Ook dan kan ik niet pingen. :unsure:
 
Lifelogger zei:
op basis van IP van Kodi (192.168.2.20)
Klik om te vergroten...

Staat dat adres direct in de rule of heb je er een groep voor aangemaakt ? Ik meen eens gelezen te hebben dat het via groep beter is, bv hier mijn Pi-Hole/Unbound servers die ook vanuit IoT netwerk bereikbaar moeten zijn.

1654410138570.png

Lifelogger zei:
toch toegang geven tot de DB (poort 3306) en NFS op de nas (192.168.1.10).
Klik om te vergroten...

Laat eerst die beperking van die poort even weg, da`s voor later
Lifelogger zei:
Welke lan in, lan out, local lan instellingen ik ook gebruik.
Klik om te vergroten...
voor dit soort rules alleen LAN IN, de LOCAL LAN gebruik je later om het bereik naar je UDR zelf dicht te timmeren maar ook dat is voor later.
Lifelogger zei:
Wat moet ik precies gebruiken om het wel voor elkaar te krijgen? Zodra ik Kodi in mijn main lang zet, werkt het weer perfect.
Klik om te vergroten...
Altijd eerst specifieke situaties toestaan en daarna algemene beperken, moet gewoon werken.
 
  • Leuk
Waarderingen: toby1knobi
Eddie the Eagle zei:
Staat dat adres direct in de rule of heb je er een groep voor aangemaakt ? Ik meen eens gelezen te hebben dat het via groep beter is, bv hier mijn Pi-Hole/Unbound servers die ook vanuit IoT netwerk bereikbaar moeten zijn.

Bekijk bijlage 5555



Laat eerst die beperking van die poort even weg, da`s voor later

voor dit soort rules alleen LAN IN, de LOCAL LAN gebruik je later om het bereik naar je UDR zelf dicht te timmeren maar ook dat is voor later.

Altijd eerst specifieke situaties toestaan en daarna algemene beperken, moet gewoon werken.
Klik om te vergroten...
Ik heb van alles geprobeerd. Ik heb het op basis van IP adres gedaan. Maar ook op basis van vlan. En dan van vlan naar vlan. En van vlan naar ip adres.

Mijn vermoeden is nu dat er iets is met de NAS. (Synology). Ik heb nu opnieuw een rule aangemaakt. En dan van ip naar netwerk. Ik kan alle devices in het vlan pingen van mijn IoT netwerk. Alleen mijn NAS reageert niet. De NAS draait verder wel en kan ik gewoon in het netwerk bezoeken.
 
kdejonge zei:
Maak je toevallig ook gebruik van de firewall binnen je NAS? Zo ja, dient daar ook een allow rule te komen.
Klik om te vergroten...
Nee. De firewall op de NAS staat uit.

Ik kan nu wel alle andere apparaten in het vlan pingen vanaf mijn IoT vlan. Alleen mijn NAS kan ik niet pingen en benaderen. De NAS draait verder wel gewoon.
 
:-( Damn... ik heb het gevonden. Mijn NAS is verbonden via VPN naar buiten toe. Die VPN verbinding houdt het ping en andere verkeer van m'n andere vlan tegen. 🤦‍♂️ Totaal niet aan gedacht. Als ik m'n VPN verbinding uit zet, gaat het wel goed.

EDIT: Zou eigenlijk in m'n Synology NAS m'n IoT netwerk willen whitelisten, zodat ik deze bij de netwerk interface -> servicevolgorde kan toevoegen. Maar vermoed dat dat niet gaat. :)
 
Laatst bewerkt:
  • Leuk
Waarderingen: dbw
Lifelogger zei:
:-( Damn... ik heb het gevonden. Mijn NAS is verbonden via VPN naar buiten toe. Die VPN verbinding houdt het ping en andere verkeer van m'n andere vlan tegen. 🤦‍♂️ Totaal niet aan gedacht. Als ik m'n VPN verbinding uit zet, gaat het wel goed.

EDIT: Zou eigenlijk in m'n Synology NAS m'n IoT netwerk willen whitelisten, zodat ik deze bij de netwerk interface -> servicevolgorde kan toevoegen. Maar vermoed dat dat niet gaat. :)
Klik om te vergroten...
Kijk, precies zo`n geval hadden we een tijd geleden ook al. Veel gezeur met die dingen en toegevoegde waarde nul (als je niks te verbergen hebt dan 😂 )
 
Eddie the Eagle zei:
Kijk, precies zo`n geval hadden we een tijd geleden ook al. Veel gezeur met die dingen en toegevoegde waarde nul (als je niks te verbergen hebt dan 😂 )
Klik om te vergroten...
:-D Ik wil niet mijn NAS open en bloot aan het Internet hebben hangen. Lijkt me niet nodig. Daarom VPN ingeschakeld. zodat als de NAS iets, doet, het niet direct voor iedereen zichtbaar is.

Ik zie overigens ook geen mogelijkheid om VPN in te stellen op de router. Zodat al het verkeer vanaf de router naar buiten via VPN gaan en intern niet. Was een mooie oplossing geweest. Al weet ik niet of zoiets ook kan of niet. Maar dat is een ander verhaal.

Eigenlijk zou je vlans moeten kunnen whitelisten dat als er verkeer daar vanaf komt, je het wel doorlaat.
 
Lifelogger zei:
Ik zie overigens ook geen mogelijkheid om VPN in te stellen op de router. Zodat al het verkeer vanaf de router naar buiten via VPN gaan en intern niet. Was een mooie oplossing geweest. Al weet ik niet of zoiets ook kan of niet. Maar dat is een ander verhaal.
Klik om te vergroten...
VPN client vanaf de Unifi gateway zat er vroeger wel in maar is er uit gehaald.
 
Ik heb mijn nas wel exposed met alleen poort 443 en maak gebruik van een reverse proxy van de nas + firewall van de nas.

Van buitenaf gebruik ik Cloudflare om de DNS proxy te regelen welke door de NAS wordt afgevangen naar de juiste interne poort.

Voorwaarde wel is dat je een domein hebt.

Poort 443 kan alleen gebruikt worden via de trust ip's van cloudflare. ips vind je met een google hit

Ik heb dus geen traffic monitor meer aanstaan(na tijd gemonitoord te hebben )


Is leuk om mee te knutselen en misschien heb je er wat aan.

De foto een voorbeeld van 1 van de forwards
 

Bijlagen

  • Screenshot_20220605-132939.jpg
    Screenshot_20220605-132939.jpg
    186,1 KB · Weergaven: 15
Laatst bewerkt:
kdejonge zei:
Ik heb mijn nas wel exposed met alleen poort 443 en maak gebruik van een reverse proxy van de nas + firewall van de nas.

Van buitenaf gebruik ik Cloudflare om de DNS proxy te regelen welke door de NAS wordt afgevangen naar de juiste interne poort.

Voorwaarde wel is dat je een domein hebt.

Poort 443 kan alleen gebruikt worden via de trust ip's van cloudflare. ips vind je met een google hit

Ik heb dus geen traffic monitor meer aanstaan(na tijd gemonitoord te hebben )


Is leuk om mee te knutselen en misschien heb je er wat aan.

De foto een voorbeeld van 1 van de forwards
Klik om te vergroten...
Dank je. Ik zal eens kijken of ik hier iets mee kan, al lijkt het me wat overkill. Probleem is nu vooral mijn VPN op de NAS dat alles tegenhoud.
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..

Vergelijkbare onderwerpen

B
Kan Synology niet benaderen vanuit VLAN (UniFi)
Reacties
26
Weergaven
301
Routers
Eddie the Eagle
Eddie the Eagle
PJaco
Vlan iot synology nas
Reacties
16
Weergaven
998
Routers
Hehedreammachine
H
rheinen
Geen internet bij 'verplaatsen' Pi-holes naar ander VLAN
Reacties
28
Weergaven
431
Overig
gjurriens
G
PE1PQX
UDM/Pro OpenVPN server (toegang per cliënt)
Reacties
8
Weergaven
253
Routers
PE1PQX
PE1PQX
N
shelly FW update
Reacties
11
Weergaven
279
Routers
Eddie the Eagle
Eddie the Eagle
Bovenaan Onderaan
Terug