Zugriff auf Miniserver von anderem Subnetz

Einklappen
X
Einklappen
 
  • Seite von 1
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • Louis Dandl
    Azubi
    • 16.05.2024
    • 9
    #1

    Zugriff auf Miniserver von anderem Subnetz

    Servus,
    ich habe bei uns in der Firma mehrere Netze (VLANS) für unterschiedliche Clients. Zwischen diesen wird mit einem Router gerouted.
    z.B. Server, Clients, IOT/GLT, Gast etc.
    Der Miniserver befindet sich im IOT Netz, die Clients im Clientnetz.
    Wenn ich auf den Miniserver zugreifen will (intern) funktioniert dies einwandfrei, in der App steht auch "Intern verbunden" die Benutzer haben jedoch nur die Rechte, die die sie für externen Zugriff haben. Wenn ich mich beispielsweise vom Handynetz aus verbinde steht auch richtig "Externer" Zugriff da. Interessanterweise funktioniert der Zugriff auf die Loxone Config (der auf intern beschränkt ist) einwandfrei in dieser Konstellation .
    Wir haben jedoch einige Funktionen, die wir (gerade Azubis) nur intern geben wollen (z.B. Tore öffnen).
    Gibt es da einen Workaround, außer den Miniserver ins Clientnetz zu packen, und ihm Rechte zu geben, auf das IOT Netz zugreifen zu dürfen (für Loxberry, Modbus Gateway, Shellies etc.)?
    Dank euch schoneinmal.


    IT Infrastruktur: Unifi
    Firewall: Pfsense
    Miniserver: MS2
    Loxberry: VM auf HyperV
    Stichworte: miniserver, netzwerk, pfsense, unifi, vlan
    • tpk
      Smart Home'r
      • 20.11.2016
      • 90
      #2
      NAT Rule 😉

        Kommentar

      • Louis Dandl
        Azubi
        • 16.05.2024
        • 9
        #3
        Okay, vielleicht kann mir da ja nochmal wer helfen:

        Das sind die Rules aus dem "Client" Netz. Die dürfen überall hin (aktuell zumindest für Testzwecke)
        Klicke auf die Grafik für eine vergrößerte Ansicht Name: {15EF5B3E-CA74-43C6-B800-4FBEF9457422}.png Ansichten: 0 Größe: 17,3 KB ID: 466156

        Und dann habe ich dieses Outbound NAT angelegt:

        Klicke auf die Grafik für eine vergrößerte Ansicht Name: {D6531911-18DD-4A26-9CB1-6FB411C2BCC0}.png Ansichten: 0 Größe: 56,8 KB ID: 466157
        Automatische Regeln sind auch aktiv.


        Miniserver=10.66.130.2/32 in "IOT-Netz" (10.66.130.2/32)
        Client Netz = 10.66.110.2/24
        Firewall ist je in 10.66.1x0.2/32

        Wäre super, wenn mir da jemand den entscheidenden Tipp geben könnte.
        Danke schon einmal!

        Angehängte Dateien

          Kommentar

          • bcs-Micha
            Azubi
            • In den letzten 2 Wochen
            • 2
            #4
            Ich stehe aktuell vor fast genau dem gleichen Problem, allerdings mit einer Securepoint Firewall dazwischen.
            Sollte hier eine Lösung gefunden werden, wäre ich sehr daran interessiert!

              Kommentar

              • Louis Dandl
                Azubi
                • 16.05.2024
                • 9
                #5
                In der Securepoint UTM 14 sollte das ganze im Reiter Paketfilter zu finden sein. Da legst du eine Zugiffsregel von "Client Netz" auf Miniserver an und verwendest die Funktion HIDENAT.

                  Kommentar

                  • bcs-Micha
                    Azubi
                    • In den letzten 2 Wochen
                    • 2
                    #6
                    Erstmal danke für den Hinweis, soweit hatte ich das auch gefunden und eingestellt, ich bin mir nur nicht sicher, welches Netzwerkobjekt beim Hidenat angegeben werden müsste.
                    Ich habe halt derzeit das Phänomen, dass mir angezeigt wird, dass ich "Intern verbunden" bin mit dem Loxone Server jedoch trotzdem nicht alle Berechtigungen habe wie sonst. Es fehlt irgendwie die Hälfte. Ka, woran das liegen kann.

                      Kommentar

                      • Louis Dandl
                        #6.1
                        Louis Dandl kommentierte
                        In den letzten 2 Wochen
                        Kommentar bearbeiten
                        probier das mal:

                        // ALLGEMEIN
                        Aktiv: Ein

                        Quelle: internal-network
                        (das ist dein Client-Netz, z. B. 192.168.10.0/24)

                        Ziel: 192.168.20.100/32
                        (die IP des Loxone Miniservers)

                        Dienst: any
                        (oder ein Objekt wie „Haussteuerung“, wenn’s spezifisch sein soll)

                        Aktion: ACCEPT

                        Gruppe: optional – z. B. intern → IOT

                        //LOG
                        Logging: optional, z. B. SHORT

                        Log Alias: loxone-nat (frei wählbar)

                        //NAT
                        Typ: HIDENAT

                        Netzwerkobjekt: iot-interface
                        (das ist die IP oder das Interface des IoT-Netzes, z. B. 192.168.20.1)

                        Dienst: leer lassen

                        //EXTRAS (optional)
                        Rule Routing / QOS / Zeitprofil: leer lassen

                        //BESCHREIBUNG
                        Beschreibung: Client → Loxone mit NAT (wegen Source-IP)
                        (oder einfach irgendwas Verständliches)
                        • Louis Dandl
                          #6.2
                          Louis Dandl kommentierte
                          In den letzten 2 Wochen
                          Kommentar bearbeiten
                          gib gerne Bescheid, ob die von mir geschilderte Lösung bei deiner UTM funktioniert, ich habe eine UTM in der Arbeit, ich kann da auch testen.
                          Wenn du das Verifiziert hast, könnten wir für beide Lösungen ja auch noch einen Wiki Eintrag erstellen.
                          • bcs-Micha
                            #6.3
                            bcs-Micha kommentierte
                            vor einer Woche
                            Kommentar bearbeiten
                            Danke, hat geklappt! ich hatte es auch schon so ähnlich, nur bei meinem HIDENAT Interface Objekt war leider die Zone falsch, deswegen hat es vorher Probleme gemacht. -.-
                          • Louis Dandl
                            Azubi
                            • 16.05.2024
                            • 9
                            #7
                            Ich konnte das Problem für mich lösen: Hier meine Lösung unter pfSense 24.11

                            Beteiligte Interfaces: (hier je die Firewall IPs dargestellt)
                            • CLIENT Netz → 10.66.110.1 (24er Subnetz)
                            • IOT Netz → 10.66.130.1 (24er Subnetz)
                            Konfiguration im Überblick:

                            1. Virtuelle IP anlegen
                            • Typ: IP Alias
                            • Interface: IOT
                            • IP-Adresse: 10.66.130.254/32

                            Zweck: Diese IP wird für NAT genutzt und liegt im Zielnetz → Loxone-Gerät akzeptiert sie als "Internen Zugriff".
                            2. Outbound NAT Regel (Firewall > NAT > Outbound)
                            • Modus: Hybrid Outbound NAT (Damit manuelle Regeln überhaupt angewendet werden.
                            • Neue Regel (die Regel muss als erstes greifen, wenn ihr andere NAT Regeln von LAN zu LAN habt (unwahrscheinlich) muss die als erstes greifen. :
                              • Interface: IOT
                              • Source: CLIENT subnet (10.66.110.0/24)
                              • Destination: 10.66.130.2/32 (Zielgerät, Loxone Mini Server)
                              • Translation Address: 10.66.130.254 (die oben angelegte Virtual IP)

                            Ergebnis: Client spricht den Miniserver an, pfSense NATet die Pakete → Miniserver sieht 10.66.130.254 als Absender.
                            3. Firewall-Regel auf IOT:
                            • Erlaubt Traffic von 10.66.110.0/24 → 10.66.130.2/32
                            • Protokoll z. B. TCP/HTTP (je nach Anwendungsfall, was ihr halt alles zulassen wollt.)
                            Ergebnis:


                            Die NAT-Regel funktioniert, Miniserver akzeptiert die Verbindung, da die Absender-IP nun im „eigenen Subnetz“ liegt. Keine Änderungen am Miniserver notwendig.


                            Ich werde am Wochenende auch nochmal versuchen, das ganze Daheim (ähnliche Netztopologie, pfSense CE) umzusetzen, da war es mir nur bisher egal, da ich dort nicht zwischen internem und externem Zugriff unterscheide.

                            Ich hoffe das ganze hilft dem ein oder anderem.
                            Gruß Louis
                              👍 1

                              Kommentar

                              Vorherige template Weiter
                              Lädt...

                              Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.

                              Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.

                              Einverstanden