Weet iemand hoe ik de firewall in mijn UDM SE een schop geef?
Ik heb sinds afgelopen weekend een nieuw Ubee modem van Ziggo, nadat ik "geklaagd" had dat ik de per juli opgehoogde snelheid niet meer haalde met mijn oude Cisco modem. Door vervanging van het modem haal ik nu wél de geadverteerde snelheden, maar verder kan ik helaas nog niet echt spreken over vooruitgang...
Na plaatsing van het Ubee modem kwam ik er nl. achter dat hairpin NAT niet meer werkte, waardoor ik mijn NAS vanuit het LAN niet meer kon benaderen via het WAN adres / public DNS name met specifiek poortnummer. Ik begreep van de behulpzame mensen op de Ziggo Community dat het Ubee modem geen hairpin NAT ondersteunt i.t.t. mijn oude Cisco modem. Hmm, ok, minder, dus vervolgens het modem dan maar in bridge modus gezet zodat de UDM SE de hairpin NAT zou overnemen. Helaas...werkte nog steeds niet!?
Zoeken, zoeken, zoeken... de hints op deze pagina hielpen helaas niet. Vervolgens dit topic gevonden en n.a.v. de hint van UI-Marcus m.b.t. inter-VLAN blocking mijn eerder aangemaakte firewall rule t.b.v. het blokkeren van inter-VLAN verkeer uitgeschakeld. Et voila, hairpin NAT werkte weer!
Die firewall rule zag er ongeveer zo uit als scenario 2 op deze pagina. Dat heeft altijd perfect gewerkt en ervoor gezorgd dat clients in verschillende VLAN's niet bij elkaar konden komen. Nu doe ik weliswaar momenteel niet veel met verschillende VLAN's, maar ik wil wel de mogelijkheid behouden om dit zo te kunnen gebruiken. Nu de hairpin NAT is geoffload van het modem naar de UDM SE, kan dit niet meer in combinatie met inter-VLAN blocking werken? Weet iemand hoe dat zit?
Volgende issue...mijn NAS was inmiddels binnen het LAN weer bereikbaar o.b.v. WAN adres / public DNS name met specifiek poortnummer, maar extern (via bijv. 4G, in elk geval buiten mijn LAN) nog steeds niet!? Erg onpraktisch aangezien ik uiteraard dezelfde URL in sync apps als DS Note, Enpass e.d. wil kunnen gebruiken, ongeacht of ik thuis ben of niet.
Van alles geprobeerd en gecontroleerd middels port scans en firewall logging (die ik laat wegschrijven naar mijn NAS). Alle bestaande én nieuwe (test) port forwarding regels werken, behalve die waarmee ik verwijs naar het poortnummer van mijn NAS: 6367. Als ik een test regel aanmaak met 18579 extern naar 6367 intern, werkt het gewoon. De UDM SE laat het verkeer dus door en mijn NAS laat het verkeer toe. Enkel wanneer ik extern poortnummer 6367 gebruik, dan werkt het niet!?
In de logging zie ik ook géén hit wanneer ik mijn NAS van extern op poort 6367 probeer te bereiken, wél als ik dat van intern doe. Als ik hem via extern poortnummer 18579 probeer te bereiken, zie ik hits zowel vanuit intern als extern.
Ik snap er geen jota meer van, waarom echt specifiek die ene regel c.q. dat ene poortnummer gewoon níet doorkomt. Een port scan blijft ook aangeven "closed". Het enige dat voor de UDM SE staat, is het modem en dat staat zoals gezegd in bridge modus. De UDM SE heeft dan ook mijn Ziggo IP op de WAN interface.
IPS heb ik overigens ook aan staan incl. geo blocking. Het was de laatste tijd erg stil qua intrusion detections, maar nu ik door de modem vervanging een nieuw WAN IP heb, krijg ik weer diverse meldingen. Overigens niet enkel van inkomend verkeer, maar óók van uitgaand verkeer. Mijn rsync backup vanuit de NAS naar Hidrive van Strato werkte niet meer omdat de UDM SE firewall het verkeer zag als "possible information leak". Hoezo dat dan ineens, dat verkeer ging voorheen ook gewoon naar buiten!? Ik heb het destination IP maar op de whitelist gezet en nu werkt het weer.
Met het oude modem in router modus en de UDM SE in de DMZ werkte alles perfect. Nu volg ik netjes het algemene advies op om het modem in bridge modus te zetten en loop ik tegen issues aan
Ik kan mij voorstellen dat voorgaande wat lastig te volgen is, maar ik hoop toch dat iemand een suggestie heeft wat te doen... kan ik de firewall eens via SSH herstarten o.i.d.?
N.B. het valt mij ook op dat automatisch aangemaakte firewall rules n.a.v. toegevoegde port forwaring rules getoond blijven, ook na verwijderen van de port forwarding rule, tot de interface is herladen door bijv. te switchen tussen de legacy en new interface.
Ik heb sinds afgelopen weekend een nieuw Ubee modem van Ziggo, nadat ik "geklaagd" had dat ik de per juli opgehoogde snelheid niet meer haalde met mijn oude Cisco modem. Door vervanging van het modem haal ik nu wél de geadverteerde snelheden, maar verder kan ik helaas nog niet echt spreken over vooruitgang...
Na plaatsing van het Ubee modem kwam ik er nl. achter dat hairpin NAT niet meer werkte, waardoor ik mijn NAS vanuit het LAN niet meer kon benaderen via het WAN adres / public DNS name met specifiek poortnummer. Ik begreep van de behulpzame mensen op de Ziggo Community dat het Ubee modem geen hairpin NAT ondersteunt i.t.t. mijn oude Cisco modem. Hmm, ok, minder, dus vervolgens het modem dan maar in bridge modus gezet zodat de UDM SE de hairpin NAT zou overnemen. Helaas...werkte nog steeds niet!?
Zoeken, zoeken, zoeken... de hints op deze pagina hielpen helaas niet. Vervolgens dit topic gevonden en n.a.v. de hint van UI-Marcus m.b.t. inter-VLAN blocking mijn eerder aangemaakte firewall rule t.b.v. het blokkeren van inter-VLAN verkeer uitgeschakeld. Et voila, hairpin NAT werkte weer!
Die firewall rule zag er ongeveer zo uit als scenario 2 op deze pagina. Dat heeft altijd perfect gewerkt en ervoor gezorgd dat clients in verschillende VLAN's niet bij elkaar konden komen. Nu doe ik weliswaar momenteel niet veel met verschillende VLAN's, maar ik wil wel de mogelijkheid behouden om dit zo te kunnen gebruiken. Nu de hairpin NAT is geoffload van het modem naar de UDM SE, kan dit niet meer in combinatie met inter-VLAN blocking werken? Weet iemand hoe dat zit?
Volgende issue...mijn NAS was inmiddels binnen het LAN weer bereikbaar o.b.v. WAN adres / public DNS name met specifiek poortnummer, maar extern (via bijv. 4G, in elk geval buiten mijn LAN) nog steeds niet!? Erg onpraktisch aangezien ik uiteraard dezelfde URL in sync apps als DS Note, Enpass e.d. wil kunnen gebruiken, ongeacht of ik thuis ben of niet.
Van alles geprobeerd en gecontroleerd middels port scans en firewall logging (die ik laat wegschrijven naar mijn NAS). Alle bestaande én nieuwe (test) port forwarding regels werken, behalve die waarmee ik verwijs naar het poortnummer van mijn NAS: 6367. Als ik een test regel aanmaak met 18579 extern naar 6367 intern, werkt het gewoon. De UDM SE laat het verkeer dus door en mijn NAS laat het verkeer toe. Enkel wanneer ik extern poortnummer 6367 gebruik, dan werkt het niet!?
In de logging zie ik ook géén hit wanneer ik mijn NAS van extern op poort 6367 probeer te bereiken, wél als ik dat van intern doe. Als ik hem via extern poortnummer 18579 probeer te bereiken, zie ik hits zowel vanuit intern als extern.
Ik snap er geen jota meer van, waarom echt specifiek die ene regel c.q. dat ene poortnummer gewoon níet doorkomt. Een port scan blijft ook aangeven "closed". Het enige dat voor de UDM SE staat, is het modem en dat staat zoals gezegd in bridge modus. De UDM SE heeft dan ook mijn Ziggo IP op de WAN interface.
IPS heb ik overigens ook aan staan incl. geo blocking. Het was de laatste tijd erg stil qua intrusion detections, maar nu ik door de modem vervanging een nieuw WAN IP heb, krijg ik weer diverse meldingen. Overigens niet enkel van inkomend verkeer, maar óók van uitgaand verkeer. Mijn rsync backup vanuit de NAS naar Hidrive van Strato werkte niet meer omdat de UDM SE firewall het verkeer zag als "possible information leak". Hoezo dat dan ineens, dat verkeer ging voorheen ook gewoon naar buiten!? Ik heb het destination IP maar op de whitelist gezet en nu werkt het weer.
Met het oude modem in router modus en de UDM SE in de DMZ werkte alles perfect. Nu volg ik netjes het algemene advies op om het modem in bridge modus te zetten en loop ik tegen issues aan
Ik kan mij voorstellen dat voorgaande wat lastig te volgen is, maar ik hoop toch dat iemand een suggestie heeft wat te doen... kan ik de firewall eens via SSH herstarten o.i.d.?
N.B. het valt mij ook op dat automatisch aangemaakte firewall rules n.a.v. toegevoegde port forwaring rules getoond blijven, ook na verwijderen van de port forwarding rule, tot de interface is herladen door bijv. te switchen tussen de legacy en new interface.
