UDM Pro an Deutsche Glasfaser

  • Ich habe erst überprüft, ob es etwas anderes sein kann. Mit dem Test, dass ausgehende IPv6-Verbindungen funktionieren, ist ziemlich sicher, dass es nicht am Anschluss liegt. Die DG hat sich leider den Ruf erarbeitet, dass man das nicht einfach voraussetzen kann. (Aber trotz dieses Rufs sind Routingprobleme nach wie vor die Ausnahme. Auch in diesem Fall ist der Anschluss OK. Die Schlussfolgerung, dass der Anschluss nicht in Ordnung ist, wenn ausgehende IPv6-Verbindungen nicht funktionieren, ist übrigens nicht statthaft.)


    Bei der Fehlersuche macht man keine Annahmen ("Bei Ubiquiti ist die Firewall erstmal auf"), sondern testet das, egal was einem ein Lancom Mitarbeiter sagt oder nicht. Es ist eigentlich recht leicht, unkonventionelle Router auszuprobieren, wenn die WAN-Schnittstelle Ethernet ist. Ich hatte oben schon erwähnt, dass man die Firewall einfach von beiden Seiten erkunden kann, wenn die UDM-Pro mit ihrem WAN im LAN der Fritzbox hängt. Das ist m.M.n. auch ein großer Vorteil der Systeme mit getrenntem Router und Modem.

  • Das wurde mir bspw aber auch mal von einem Lancom Mitarbeiter gesagt.

    Das die Ubiquiti Firewall generell erstmal alles offen hat. und bei Lancom sei erstmal alles auf deny all, bis man die Dienste jeweils freischaltet?

    Was auch immer der LANCOM Kollege damit erreichen wollte. Ich hatte ja extra die Dokumentation verlinkt, aus der hervorgeht, dass die Default Policy "drop" ist.

  • Ich habe erst überprüft, ob es etwas anderes sein kann. Mit dem Test, dass ausgehende IPv6-Verbindungen funktionieren, ist ziemlich sicher, dass es nicht am Anschluss liegt. Die DG hat sich leider den Ruf erarbeitet, dass man das nicht einfach voraussetzen kann. (Aber trotz dieses Rufs sind Routingprobleme nach wie vor die Ausnahme. Auch in diesem Fall ist der Anschluss OK. Die Schlussfolgerung, dass der Anschluss nicht in Ordnung ist, wenn ausgehende IPv6-Verbindungen nicht funktionieren, ist übrigens nicht statthaft.)


    Bei der Fehlersuche macht man keine Annahmen ("Bei Ubiquiti ist die Firewall erstmal auf"), sondern testet das, egal was einem ein Lancom Mitarbeiter sagt oder nicht. Es ist eigentlich recht leicht, unkonventionelle Router auszuprobieren, wenn die WAN-Schnittstelle Ethernet ist. Ich hatte oben schon erwähnt, dass man die Firewall einfach von beiden Seiten erkunden kann, wenn die UDM-Pro mit ihrem WAN im LAN der Fritzbox hängt. Das ist m.M.n. auch ein großer Vorteil der Systeme mit getrenntem Router und Modem.

    Ok ;)

    DAnke für die Erläuterung.

    Was auch immer der LANCOM Kollege damit erreichen wollte. Ich hatte ja extra die Dokumentation verlinkt, aus der hervorgeht, dass die Default Policy "drop" ist.

    Ich weiß es auch nicht ;)
    Muss mir die Doku aber auch nochmal anschauen.

    Hab bislang noch nicht wirklich was eingerichtet... Muss auhc noch VLANs usw erstellen... Aber keine Zeit gehabt bisher :D

  • Moin,


    sorry, aber der Kollege aus dem Nachbarforum hat dort einige Anleitung bei verschiedenen Problemen erstellt und viele der dortigen

    Forenmitglieder sind ihm dankbar für die von ihm geleistete Arbeit, die Ihnen weiter geholfen hat.


    Ich habe sogar seine eingerichtete Firewall gesehen und man glaubt es kaum, ich habe da Standardregln von Unify in meiner UDMPro, die bei ihm nicht

    da sind.

    Diese Standardregeln kann man auch nicht entfernen, meines Wissens nach, aber ich hab ja nur Halbwissen, sorry.

    Aufgrund seiner Firewall sind wir vorgegangen und er hat mir gestern auch nochmal versichert, dass die Standardregeln, die bei mir aufgeführt sind,

    bei ihm und anderen Mitgliedern dort im Forum unter IPV6 nicht vorhanden sind.

    Sei es drum...

    Ich bedanke mich nochmal bei allen, die versucht haben, konstruktiv an der Problembeseitigung mitzuwirken, ohne einen gleich mit Steinen zu bewerfen.


    Alles andere hat alfalfa hier schon erläutert, was wir getestet haben. Eine funktionierende Firewalltabelle kann ich also nicht liefern.


    Grüße,

    Bräuni

  • Wenn du das auf die "Internet v6" Regeln einschränkst, sind das die gleichen wie bei Braeuni


    Die Regeln teilen sich in zwei Gruppen auf, für die UDM-Pro selbst ("local" = "WAN-zu-Router") und für das LAN ("In" = "WAN-zu-LAN"). Beide Regelsätze fangen mit einer Regel an, die Antworten auf bestehende Verbindungen reinlässt. Dafür ist eine ausgehende Verbindung von der UDM-Pro oder von einem Gerät im LAN notwendig. Sonst kommt auch nichts rein. Diese Regel ist typisch für "default closed" Firewalls, weil man sonst die Antworten auf bestehende Verbindungen einzeln erlauben müsste, und das ist ohne Connection-Tracking nicht so einfach.


    Die zweite Regel schmeißt "invalid" Pakete weg. Die möchte man auch dann nicht durchlassen, wenn nachfolgende Regeln für zulässigen Traffic sie erlauben würden.


    Und weitere Regeln gibt es für WAN-zu-LAN erstmal nicht. Für Wan-zu-Router gibt es noch ein paar Regeln, die die Adresszuteilung ermöglichen, aber sonst auch nichts. Das ist also eine typische Vorkonfiguration: Von innen nach außen ist alles erlaubt und von außen nach innen nichts, nicht mal ICMP Echo Requests, und deshalb kann man von außen nichts anpingen.

  • Ich kann mir gut vorstellen, dass sich die Standardregeln ändern, wenn man die Policy umstellt. Ich vermute, das ist bei dem Kollegen der Fall, denn er schreibt in seiner Anleitung:

    Zitat

    Hierzu bei „IPv6 WAN eingehend“ erst entsprechende Regeln für jedes Zielgerät und den entsprechenden Ports erstellen. Falls es mehrere sind, können auch Portgruppen oder Adressgruppen erstellt werden.

    Danach eine Regel erstellen, die jeglichen IPv6 Zugang auf allen Ports verbietet.

    Der fett gedruckte Teil wäre eigentlich nicht nötig, wenn die Default Policy "drop" ist, sehr wohl aber, wenn sie "accept" ist. Bei default Policy accept hingegen sind die Standard-Regeln, die ihr hier postet, unnötig, und können wegfallen. Es würde zuverlässig erklären, warum ihr davon ausgegangen seid, dass die Firewall offen ist für IPv6 und warum das Regelwerk anfänglich nicht funktioniert hat.


    Sollte das der Fall sein, wäre das ggf. noch mal ein Hinweis für die Verbesserung seines Howtos, denn in die Falle tappen bestimmt viele. Er sollte kurz auf die Policies in seiner Firewall eingehen. Deshalb hat er auch vermutlich dieses unterschiedliche Feedback auf seine Anleitung: Bei einigen gehts sofort, bei anderen nie. Die, bei denen es nie geht, sind die, bei denen die Policy nicht zur Anleitung passt - warum auch immer.

  • Sprich du hast nun keine Firewallregeln mehr an?


    Ich hab mal geguckt. ich habe bei mir diese Standardregeln (wovon ich bislang nie etwas angefasst habe)

    Doch,

    Standardregeln sind halt an. Sonst habe ich bis dato dann nichts mehr verändert.


    Wenn ich mein Gastnetzwerk mal außen vor lasse, dann sind das die gleichen Regeln, wie bei mir.

  • Und weitere Regeln gibt es für WAN-zu-LAN erstmal nicht. Für Wan-zu-Router gibt es noch ein paar Regeln, die die Adresszuteilung ermöglichen, aber sonst auch nichts. Das ist also eine typische Vorkonfiguration: Von innen nach außen ist alles erlaubt und von außen nach innen nichts, nicht mal ICMP Echo Requests, und deshalb kann man von außen nichts anpingen.

    OK danke ;) Dann weiß ich also das bei mir soweit erstmal alles "richtig" einstellt ist und ich dann demnächst endlich mit VLANs anfangen kann.

    Bzw dann halt auch meine Synology von außen per ipv4 erreichbar machen.

    Der fett gedruckte Teil wäre eigentlich nicht nötig, wenn die Default Policy "drop" ist, sehr wohl aber, wenn sie "accept" ist. Bei default Policy accept hingegen sind die Standard-Regeln, die ihr hier postet, unnötig, und können wegfallen. Es würde zuverlässig erklären, warum ihr davon ausgegangen seid, dass die Firewall offen ist für IPv6 und warum das Regelwerk anfänglich nicht funktioniert hat.

    Wo steht das denn mit default policy drop?
    Finde es grad in der Konfiguration nicht?

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden