Firewall rules voor vpn verbinding

C

CornAndBerry

UniFier
26 mei 2025
7
2
3
#1
Ik heb al wat proberen zoeken op dit forum maar nog geen antwoord gevonden.
Ik zou graag met een firewall rule de vpn verbinding willen beperken voor bepaalde clients.

De vpn clients (192.168.2.10) zouden enkel aan het volgend ip adres moeten kunnen 10.10.10.10.
Hiervoor maakte ik de volgende 2 rules aan:
1750255102494.webp

Wanneer ik deze rules aanmaak kan ik de niet boven de rules plaatsten die unifi zelf heeft aangemaakt. Doe ik iets verkeerd? Moet ik dit op een andere manier aanpakken?
 
#2
Ik vond het een interessante vraag maar heb geen idee. Heb het Chat GPT voor je gevraagd. Hopelijk kun je er iets mee.

Op basis van de screenshot en jouw beschrijving wil je VPN-clients (met IP-adres bijv. 192.168.2.10) beperken zodat ze enkel toegang hebben tot het IP-adres 10.10.10.10. Je hebt twee firewallregels aangemaakt, maar je loopt tegen het probleem aan dat je die regels niet boven de automatisch gegenereerde Unifi-regels kunt zetten.


Uitleg wat er gebeurt​

Unifi genereert automatisch regels zoals:
  • Allow Established/Related Traffic
  • Block Invalid Traffic
  • Block All Other Traffic
Deze staan bovenaan in de volgorde en kunnen standaard niet worden aangepast in volgorde als je in de GUI werkt.

Wat kun je doen?​

✅
Je regels zijn op zich correct. Je moet:
  1. Toestaan van verkeer van VPN-client naar specifiek IP (10.10.10.10)
  2. Alle ander verkeer van VPN-clients blokkeren
En dit moet in de juiste volgorde staan: toestaan eerst, daarna blokkeren.

In de Unifi-controller (UI) kun je deze regels toevoegen in de juiste sectie:
  • Ga naar: Settings > Firewall & Security > Firewall Rules
  • Kies de juiste direction, in dit geval waarschijnlijk LAN IN
  • Voeg jouw regels toe onder het tabje Advanced en kies voor "Before Predefined Rules"
Bij het aanmaken van de regel zie je een optie zoals: Rule Applied Before Predefined Rules

Zorg dat je:
  • Eerst een regel toevoegt om verkeer van VPN-Clients naar 10.10.10.10 toe te staan
  • Daarna een regel toevoegt om al het overige verkeer van VPN-Clients te blokkeren

🔄 Voorbeeldregels​

  1. ✅ Allow VPN to 10.10.10.10
    • Action: Accept
    • Type: LAN IN
    • Source: VPN-Clients (of 192.168.2.10)
    • Destination: 10.10.10.10
    • Protocol: Any
    • Position: Before Predefined Rules
  2. ❌ Drop all other VPN
    • Action: Drop
    • Type: LAN IN
    • Source: VPN-Clients
    • Destination: Any
    • Position: Before Predefined Rules

🔎 Waarom je regels nu niet werken​

De reden waarom je regels niet werken, is omdat ze waarschijnlijk onder de Unifi-defaultregels vallen (zoals Allow Established/Related). Die worden eerder geëvalueerd, dus jouw regels worden niet meer bereikt.

✅ Samenvatting​

  • Gebruik "Before Predefined Rules" bij het aanmaken van je firewallregels.
  • Zet de toestaan-regel vóór de blokkeerregel.
  • Controleer of je in de juiste richting werkt (vermoedelijk LAN IN voor verkeer van VPN naar LAN).
  • Test met één client (192.168.2.10) en check logging indien nodig.
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer

Vergelijkbare onderwerpen

S
Dream machine en wireguard
Reacties
13
Weergaven
2K
Routers
skank
S
Eddie the Eagle
WireGuard VPN server met Windows (10) Client
Reacties
28
Weergaven
2K
Routers
Eddie the Eagle
Eddie the Eagle
rheinen
OpenVPN-verbinding op UDM Pro
Reacties
8
Weergaven
2K
Routers
Eddie the Eagle
Eddie the Eagle
M
UDM SE firewall gehannes na modem vervanging en bridge modus activatie
Reacties
18
Weergaven
3K
Routers
MinddiggerNL
M
SDeath
UDM-Pro-SE Installatie Wireguard VPN Server
Reacties
10
Weergaven
4K
Routers
SDeath
SDeath
Bovenaan Onderaan
Terug
Menu