UDM SE Zone Based Firewall in UNA 9.x, na migratie naar ZBF gebruik maken van Secure en Unsecure Zones? (video)

[m4v3r1ck]

* op verzoek even een nieuw topic aangemaakt.

Wat zijn jullie ervaringen met de Official 9.0.114 / deze Early Access versie van UNA?

Ter voorbereiding van deze migratie naar UNA 9.x ben ik mijn firewall rules nog eens goed aan het nalopen.

Er zijn momenteel een aantal mooie nieuwe video's uitgebracht op YouTube. Je ziet bij een aantal dat ze de gemigreerde Custom Rules na de conversie naar UNA 9.x en upgrade naar de ZBF verwijderen en deze volledig opnieuw maken vanuit een tweetal nieuwe zones: Secure- en Unsecure Zone om zodoende al die dubbele regels niet te hoeven redigeren/verwijderen.

Wie heeft zijn ZBF op deze manier opnieuw opgebouwd en wat zijn hiermee jullie ervaringen?

Of toch gewoonweg migreren en de regels aanpassen?

Firmware UniFi UDM-SE:

 

[Hofstede]

Je kunt gewoon upgraden, daarmee wordt de firewall nog niet omgezet. Dat is een tweede stap.
En als je voordat je de firewall omzet een backup maakt kun je direct weer terug.

Ik zou zelf gewoon migreren en dan rustig experimenteren met de nieuwe firewall. En zodra je snapt hoe het werkt kun je gaan werken met extra zones. En dat zal uiteindelijk alles veel simpeler maken.

Wat al die YouTubers erover zeggen is niet zaligmakend. Gewoon zelf bepalen wat je wilt.

 

[m4v3r1ck]

Ik zou zelf gewoon migreren en dan rustig experimenteren met de nieuwe firewall. En zodra je snapt hoe het werkt kun je gaan werken met extra zones. En dat zal uiteindelijk alles veel simpeler maken.

Zelden zoveel koudwatervrees gehad sinds ik UniFi gebruik. Ik ga de duik maken, dank voor je advies en bemoedigende woorden.

 

[Milowitsch]

Ik ben begonnen met het verwijdeen van mijn firewall regels, zoals aanbevolen in enkele video's, en aan de slag gegaan met behulp van de nieuwe aanpak en een video, zoals deze:

Omdat ik ook andere instellingen tussendoor heb gewijzigd, was het weinig zinvol om een backup terug te halen nadat een paar zaken niet liepen zoals in de video werden weergegeven. Dan zou ik ook de andere dingen die wel nuttig waren, weer overschrijven. Jammer maar intussen zit ik even zonder FW-regels, en gelukkig waren dat er niet veel.
De weergave in de controller van mij en die van de video verschillen hier en daar en dat maakt het niet gemakkelijk. Ik heb bijvoorbeeld twee VLAN's zoals KPN die adviseert, en vermoedelijk verstoren die een goede vergelijking. Zo heb ik getracht een nieuw iOT-netwerk met bijbehorende WiFi op te zetten en daarop een FW-regel te maken. Om die te controleren heb ik telkens een ping gedaan vanaf de iMac van mijn thuisnetwerk en vanaf een MacBook met de iOT WiFi aangesloten. Die FW-regel (Veilige Zone naar Onveilige Zone) werkte helaas niet (Ik kreeg bij beiden verbinding, terwijl dat van de iOT kant niet moest kunnen). De matrix ziet er behulpzaam uit, maar dat heeft bij mij nog niet tot een bevredigend resultaat geleid. Dit vergt nog wel een paar dagen zoeken en knutselen

 

[m4v3r1ck]

Goedemorgen, jammer dat je migratie naar UniFi ZBF nog niet naar tevredenheid is gelukt.

Omdat ik ook andere instellingen tussendoor heb gewijzigd, was het weinig zinvol om een backup terug te halen nadat een paar zaken niet liepen zoals in de video werden weergegeven. Dan zou ik ook de andere dingen die wel nuttig waren, weer overschrijven. Jammer maar intussen zit ik even zonder FW-regels, en gelukkig waren dat er niet veel.

Heb je vlak voor je migratie naar ZBF je allerlaatste back-up van je netwerk gemaakt?

De weergave in de controller van mij en die van de video verschillen hier en daar en dat maakt het niet gemakkelijk. Ik heb bijvoorbeeld twee VLAN's zoals KPN die adviseert, en vermoedelijk verstoren die een goede vergelijking.

De netwerkversie in de video is UNA 9.0.108, welke versie heb je zelf in gebruik. Over je KPN VLANs: heb je nog een Box V10 / V12 / V14 tussen je ONT en UniFi controller zitten of zit deze rechtstreeks op de controller aangesloten? Moest je die twee KPN VLANs na je migratie weer opnieuw toevoegen?

Die FW-regel (Veilige Zone naar Onveilige Zone) werkte helaas niet (Ik kreeg bij beiden verbinding, terwijl dat van de iOT kant niet moest kunnen). De matrix ziet er behulpzaam uit, maar dat heeft bij mij nog niet tot een bevredigend resultaat geleid. Dit vergt nog wel een paar dagen zoeken en knutselen

Zou je wellicht een schermafbeelding van je ZBF-matrix willen delen. De forumleden hier met meer verstand van ZBF dan ikzelf kunnen dan ook even meekijken.

 

[Milowitsch]

Goedemorgen, jammer dat je migratie naar UniFi ZBF nog niet naar tevredenheid is gelukt.



Heb je vlak voor je migratie naar ZBF je allerlaatste back-up van je netwerk gemaakt?

Nee, ik heb alleen de wekelijkse backups. Maar, daar maak ik me niet zoveel zorgen over. Het is de bedoeling dat ik die regels opnieuw ga maken, want ik betwijfelde toch of die vorige regels wel goed waren.

De netwerkversie in de video is UNA 9.0.108, welke versie heb je zelf in gebruik. Over je KPN VLANs: heb je nog een Box V10 / V12 / V14 tussen je ONT en UniFi controller zitten of zit deze rechtstreeks op de controller aangesloten? Moest je die twee KPN VLANs na je migratie weer opnieuw toevoegen?

Ik heb versie 9.0.114, dus het kan zijn dat er wijzigingen zijn op diverse schermen. Er zit nu geen KPN-Box tussen de ONT en de UDM-SE. Een glasvezelkabel tussen de TK01 en de Zaram-module in de UDM-SE.

Zou je wellicht een schermafbeelding van je ZBF-matrix willen delen. De forumleden hier met meer verstand van ZBF dan ikzelf kunnen dan ook even meekijken.

Zie bijgaande schermafbeelding. Daar is nu weinig in te zien omdat ik alle custom rules weer heb verwijderd. We konden via draadloos niet meer inloggen op de NAS, daarom alles weer leeg gemaakt.

 

[m4v3r1ck]

Ik heb versie 9.0.114, dus het kan zijn dat er wijzigingen zijn op diverse schermen. Er zit nu geen KPN-Box tussen de ONT en de UDM-SE. Een glasvezelkabel tussen de TK01 en de Zaram-module in de UDM-SE.

Ikzelf ben ook pas sinds vandaag gemigreerd naar de ZBF, ik heb nog wel een KPN Box12 tussen FTU en UDM-SE geïnstalleerd. Eerst even stoeien met de bestaande Custom Rules en kijken hoe een en ander werkt.

De matrix ziet er behulpzaam uit, maar dat heeft bij mij nog niet tot een bevredigend resultaat geleid. Dit vergt nog wel een paar dagen zoeken en knutselen

Idem hier, succes!

 

[Milowitsch]

Mijn set-up van VLAN's bleek niet gelukkig te zijn gekozen. Ik werd door een document van KPN over de VLAN setup op het verkeerde been gezet. Ik had naast mijn 'standaard' netwerk met daarin de gewoonlijke apparaten een apart VLAN 6 voor internet gemaakt. Zo kon ik met mijn iPhone (die toen nog op VLAN 6 'huisde') niet mijn NAS benaderen; zij zaten in verschillende netwerken (IP-adressen). Dus die VLAN verwijderd en de apparaten geplaatst op het 'vertrouwde' netwerk. Daarmede ontstond een goede basis om de ZBF regels op te zetten. In mijn geval bleek dat vrij simpel te gaan met het vertrouwde VLAN, een VLAN voor iOT, VLAN voor IPTV en een nieuw VLAN voor het gastnetwerk. Ik had mijn oude FW-regels verwijderd en geen back-up gemaakt en heb daarna de ZBF ingericht. Dat ging prima met behulp van video's op Youtube en met 'pingen' telkens gecontroleerd of het beoogde effect ook daadwerkelijk werd bereikt. Het Gastnetwerk in de Hotspot zone geplaatst en dan was er geen aparte FW-regel meer nodig. Omdat ik een heel simpel thuisnetwerk heb zonder camera's e.d. kon ik de scheiding van de VLAN's met slechts drie FW-regels realiseren. Er zullen vast nog wel meer aanpassingen nodig zijn; dat is voor verdere studie, maar voorlopig is er een begin.