Cloudrouter und zwei Unifi Sites - Site-2-Site Verbindung und Firewall Regeln

IPv64.net - Services Cloud Router
, , , ,
1

Hallo zusammen,

Ich habe mir einen Cloudrouter erstellt und meine beiden Unifi Sites dorthin auch erfolgreich verbunden.
Allerdings komme ich bei den Firewallregeln irgendwie nicht auf einen richtigen Nenner.
Wenn ich die Standardregeln von Dennis seinem Video eintrage, dann läuft es grundsätzlich, allerdings kann dann ja auch alles mit allem sprechen.
Daher hier einmal kurz zu meinem Setup:

Site 1: Unifi Cloud Gateway Fiber

Netzwerke hier als Beispiel:
192.168.2.0/24
192.168.3.0/24

Beide Netzwerke sind in unterschiedlichen Zonen und entsprechend voneinander Isoliert (Segmentiert).

Site 2: Unifi Dream Machine SE

Netzwerke hier als Beispiel:
192.178.2.0/24
192.178.3.0/24

Auch hier sind die Netzwerke entsprechend Segmentiert und können nicht miteinander sprechen.

Die Statischen Routen und die Firewall Regeln (stumpf gemäß Video) habe ich eingestellt.

Die Routingtabelle entsprechend gepflegt und die Netzwerke auch in den WG-Client Configs gesetzt.

Nun ist es ja so, dass das Netzwerk 192.168.2.0/24 mit den beiden Netzwerken des anderen sprechen kann. Also 192.178.2.0/24 und 192.178.3.0/24
Das ist aber nicht grundsätzlich so gewollt. Schön wäre es, wenn ich Firewalltechnisch nur die Netzwerke sprechen lasse, die auch miteinander sprechen sollen.
Beispielsweise das Netzwerk 192.168.2.0/24 soll nur mit dem 192.178.2.0/24 und das 192.168.3.0/24 mit dem 192.178.3.0/24 sprechen, alles andere soll dann in dem Fall geblockt werden.

Wenn ich die Firewallregeln aus Dennis seinem Video ersetze durch die Regeln, die nur die Netzwerke erlauben, dann geht das kurzzeitig gut, danach nicht mehr.

Was mache ich falsch? Oder eher, was muss ich tun, damit es funktioniert?

Hintergrund: Auf beiden Seiten stehen Server und Clients. Allerdings sollen halt nicht alle miteinander sprechen sondern eben nur bestimmte Server mit Clients oder bestimmte Server mit bestimmten Servern.

Besten Dank euch :slightly_smiling_face:
tbtan

2

Deine Darstellung der Problematik ist unvollständig. Es wird ja aus deiner Darstellung der Problematik nicht einmal deutlich, wo du die Firewall Regeln setzt. Möglich ist das prinzipiell entweder:

  • auf dem Cloud-Router oder
  • auf den Albtraum-Maschinen

Albtraum-Maschinen verwende ich glücklicherweise nicht, sondern pfsense. Ich würde die Regeln auf den sensen setzen, in deinem Fall also den Albtraum-Maschinen.

3

Du hast vollkommen Recht. Vielen Dank für den Hinweis, das ergänze ich hier gerne.

Also, von Site 1 habe ich die Video Standard Regel(n) wie folgt gesetzt.
Hier beispielhaft nur eine Regel von jeder Site

Quelle
Zone: Extern
Quelle: 10.7.0.0/24

Erlauben
Rückverkehr Automatisch zulassen

Ziel
Zone: Server
Ziel: 192.168.2.10

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\

Site 2:

Quelle
Zone: Extern
Quelle: 10.7.0.0/24

Erlauben
Rückverkehr Automatisch zulassen

Ziel
Zone: Server
Ziel: 192.178.2.10

Das Netz des Cloudrouters ist hier 10.7.0.0/24.

4

Also so richtig schlau werde ich aus deinen Angaben leider noch immer nicht. Du schreibst z.B.:

nur welches Video meinst du? Dennis hat Dutzende davon produziert. Warum verlinkst du nicht das Video auf das du dich konkret beziehst? Stattdessen lässt du die, die dir helfen sollen hier Rätsel raten.

Zudem wird mir aus deinen Angaben bisher auch gar nicht so genau klar, wozu du den Cloud Router benötigst um die Netze hinter Albtraum-Maschine 1 und Albtraum-Maschine 2 miteinander zu verbinden. Ich würde die Netze zweier Firewalls immer direkt miteinander per VPN verbinden und den unnötigen und die Konfiguration verkomplizierenden, Umweg über den CR vermeiden.

Möglich und im Alltag bewährt ist so eine Direktverbindung selbst dann, wenn beide FW’s an Anschlüssen mit CGNAT stecken. Für eine Wireguard-Verbindung reicht es da aus, wenn beide FW’s am WAN-interface per IPv6 erreichbar sind.

Lediglich für mobile Zugänge, per Smartphone, Notebook kann die Nutzung des CR sinnvoll sein, wenn diese mobilen Endgeräte oft in IPv4-only Netzen unterwegs sind.

In jedem Fall halte ich es für sinnvoll, wenn du mal ein Netzwerkdiagramm erstellst, damit wir sehen, welche Subnetze du von wo aus erreichbar machen willst und welche Subnetze nicht erreicht werden sollen. Ich denke, das würde die Chance hier sinnvolle Ratschläge zu bekommen signifikant erhöhen.

5

Hier das Video. Sorry, dass ich es nicht dazu gepackt habe: https://youtu.be/IpJjuVWNSVM?si=K2h9hOMaNRpFGOOa

Und Anbei wie gewünscht eine grobe Darstellung.
Im Moment ist dies ein Testaufbau. Mehrere Netzwerke sollen folgen. Daher hier erst einmal die beiden Netzwerke auf beiden Seiten.

Verbindungsdarstellung
Verbindungsdarstellung2114×747 79.2 KB

6

Okay habe mir dein Netzwerkdiagramm angesehen. Das mind. ein Netz ein Mobilfunknetz ist erklärt warum der Cloud Router angebracht ist.

Aber: jetzt kommt dein großer Fehler der so nicht sein kann. Du verwendest ja ein öffentliches Netz so, als sei es ein privates Netz. Der private Adressbereich (Klasse C) ist 192.168.0.0/16 also der Reservierter IP-Adressbereich 192.168.0.0 - 192.168.255.255. Die Netze 192.178.2.0/24 und 192.178.3.0/24 passen da nicht rein. Hat es einen plausiblen Grund, warum du die dennoch verwendest? M.E. wird das früher oder später zu Problemen führen, wenn diese IP-Adressen nicht tatsächlich dir zugewiesen wurden.

7

Die habe ich hier Beispielhaft aufgeführt.
In der Testumgebung ist es ein Klasse A Netzwerk (10.210.x.x und 10.230.0x.x)

8

Und warum dann nicht einfach die richtigen Addressen hier erwähnen? Das ist ja kein Sicherheitsrisiko, weil private Addressen. Das ist nur verkompliziert sonst… :sweat_smile:

9

Ja ist korrekt.
Aber warum nehmen wir nicht das Beispiel, was ich erwähnt hatte? :thinking:
Es geht hier ja primär um das richtige setzen der Firewallregeln und nicht um etwas anderes?

10

Ja, stimmt auch wieder. Aber wo willst du eigentlich die Firewall-Regeln setzen? Im CR oder in den UniFi-Kisten?

11

Alles gut. Es ist in diesem Fall ja ein Beispiel, deswegen finde ich, das wir nicht zu kleinlich sein dürfen.
Ja das ist eine gute Frage. Da stehe ich leider auf dem Schlauch. Vermutlich macht es auf den Unifi Kisten am meisten Sinn, oder?
Aber da weiß ich dann nicht, wie ich die setzen müsste, dass ich das als Beispiel genannte Szenario umgesetzt bekomme. Habe das Gefühl, dass es ein Mix zwsichen dem 10.7.0.0/24 und den freigegebenen Netzwerken ist. Da benötige ich Hilfe, stehe diesbezüglich nämlich wirklich auf dem Schlauch :grimacing:

12

Eigentlich nicht, denn der Cloudrouter macht kein NAT auf dem WireGuard-Tunnel soweit ich weiß. Also eigentlich nur den WG-Tunnel als Quelle und das entfernte Netz als Quelle auswählen…

13

Ich sag jetzt hier auch noch mal abschließend für mich etwas zu deinem Beispiel:

Natürlich kannst meinetwegen auch mit Beispiel-Adressen um die Ecke kommen, dann aber bitte mit plausiblen oder nur wenn es DEUTLICH erkennbar nur Beispiele sind. Ansonsten sucht man nämlich nach Fehlern in deiner Config und stolpert dann über so einen Unsinn wie 192.178…

Dann denkt man sich mit so etwas muss es ja Probleme geben und vergeudet deswegen wertvolle Zeit, die man auch hätte sinnvoller nutzen können als auf so etwas hinzuweisen.

14

Also dann eher auf dem Cloudrouter die Regeln setzen?

15

Ne, wieso? Ich würde immer an der nächsten FW blocken, die am Ziel dran ist… oder halt auf allen, wie man es nach BSI machen müsste​:sweat_smile:

16

Ich habe jetzt nochmal etwas hin und her probiert.

Also:

  1. Die statischen Routen habe ich auf beiden Seiten (UDM´s) entsprechend gesetzt.

  2. Ich habe pro Seite jeweils eine FW-Regel vom Cloudrouter Netzwerk (10.7.0.0/24) zum Gateway eingerichtet. Das Läuft.

  3. Versuche ich jetzt, ohne eine weitere Regel aus den jeweiligen Netzwerken auf das jeweils andere zuzugreifen, schlägt dies fehlt. → Soweit richtig.

  4. Wenn ich jetzt eine jeweils Firewall Regel anlege, von External mit dem gegenüberliegenden Netzwerk auf das Interne Netzwerk (External / 192.178.2.0/24 zu Clients / 192.168.3.0/24), passiert ebenfalls nichts. Kein Traffic, kein Ping.

5) Gleiches Szenario wie in 4) beschrieben, jedoch das External / 192.178.2.0/24 mit dem Netzwerk des Cloudrouters ersetzt (10.7.0.0/24), funktoiniert es auf anhieb. Aber das ist doch nicht das Ziel, oder?

Die statischen Routen sind korrekt auf beiden Seiten gesetzt.
Also auf UDM 1: 192.168.3.0/24 → Cloudrouter
Auf UDM 2: 192.178.2.0/24 → Cloudrouter

Auch die Routingtabelle vom Cloudrouter ist diesbezüglich angepasst:
192.168.3.0/24 → 10.7.0.2 → UDM 1
192.178.2.0/24 → 10.7.0.3 → UDM 2

Einschränken wie bspw. Firewallregeln sind auf dem Cloudrouter nicht gesetzt.

Ich habe mir das Video noch mehrmals angeschaut und finde meinen Fehler nicht.
Was mache ich falsch? :sweat_smile:

17

Hallo @Dennis_Admin
Hast du eventuell eine Lösung?

18

Ich bin leider noch nicht dazu gekommen, mir deine letzten Infos im Detail anzuschauen…

19

Alles gut.
Sag gerne noch einmal Bescheid, wenn du noch weitere Informationen benötigst.

20

Wenn das wirklich so ist, wie du hier beschreibst, dürfte es eigentlich gar nicht gehen, denn dann wären die Routen zum Cloudrouter auf der jeweiligen Seite nicht für das entfernte Netz, sondern für das lokale. Da es aber mit einer anderen FW-Regel zu funktionieren scheint, gehe ich davon aus, dass der Cloudrouter NAT macht, da müsste man jetzt Netzwerk-Datenverkehr mitschneiden oder Firewall-Logs auf den UniFi-Teilen finden, aber kein Plan wie das geht… :sweat_smile: