UDM Pro: Management VLAN ändern

In der Standard-Einstellung verwendet Unifi für das Management das VLAN mit der ID 0; also das Default VLAN. Gleichzeitig werden in der Standardeinstellung für Unifi-Switches allen Ports das Default-VLAN als natives VLAN zugeordnet. Das führt dazu, dass jeder, der sich mit einem noch nicht weiter umkonfigurierten Port eines Unifi-Switches verbindet, eine IP-Adresse im Default-VLAN erhält, das gleichzeitig das Management-VLAN ist.  Da Das Default-VLAN gleichzeitig als Corporate-Netzwerk der Netzwerkgruppe LAN zugeordnet ist, kann man in der Standard Einstellung daher nicht nur auf die Management-Interfaces der Unifi-Geräte, sondern auch auf alle anderen Geräte zugreifen, die der Netzwerkgruppe LAN zugeordnet sind.

Um das ganze Setup ein wenig sicherer zu betreiben, soll daher das Default-VLAN separiert werden, damit Geräte in diesem Netzwerk zwar in die Unifi-Umgebung integriert werden können, aber eben keine Internet-Zugriff oder Zugriff auf andere LAN-Komponenten möglich ist.

01| Dediziertes Management Netzwerk erstellen

Dazu muss zunächst ein neuen Corporate-Netzwerk mit einem beliebigen VLAN angelegt werden. Im folgenden Beispiel wurde neben dem Default VLAN das neue Management-Netzwerk angelegt:

Netzwerke im Network Controller einrichten

Danach sollte sichergestellt werden, dass die unter [02] genannten Netzwerkdienste im Abschnitt "local Ingress Ports" aus dem neu erstellten Management-Netzwerk erreichbar sind. Wurde für das Management-Netzwerk der Typ bzw. der Zweck Corporate-Network ausgewählt, sollte das der Fall sein, da in der Standardeinstellung aus allen Netzwerken der Netzwerkgruppe LAN auf  die Unifi-Dienste zugegriffen werden kann.

02| Management VLAN für Unifi Devices umstellen

Ist sichergestellt, dass aus dem Management-Netzwerk auf die Unifi Dienste zugegriffen werden kann, so kann die Konfiguration aller  eingebundenen Netzwerkgeräte angepasst werden. Im Unifi Network Controller kann  Dazu im Abschnitt Devices für jedes verbundene Gerät im Abschnitt Einstellungen > Services das Management-VLAN umgestellt werden:

Device-Einstellungen anpssen

Nach dem das Provisioning abgeschlossen ist und die Einstellungen korrekt an das Gerät übertragen wurden, sollte sich das Gerät mit einer IP-Adresse aus dem neu eingerichteten Management-Netzwerk wieder melden.

Hinweis: Sollen neue Geräte in Unifi adoptiert werden, so kann dies weiterhin über das Default-Netzwerk erfolgen. Wurde das neue Device erfolgreich hinzugefügt, so muss anschließend das Management-Netzwerk manuell angepasst werden. Wird das Default-VLAN vom Internet getrennt (siehe  Kapitel 03 dieses Artikels) dann kann im Default-VLAN kein Update der Firmware durchgeführt werden. Dies kann dann aber anschließend nachgeholt werden, wenn das Management-VLAN korrekt eingestellt wurde. 

03| Firewall anpassen

Zu guter letzt kann nun das Default-Netzwerk vom Rest des Netzwerks getrennt werden. Dazu müssen lediglich zwei Firewall-Regeln im Unifi Network Controller im Abschnitt Settings > Routing & Firewall > Firewall > Rules IPv4 > LAN IN hinzugefügt werden. In der Ersten Regel sollten alle Pakete, die einer Verbindung zugeordnet werden können un daher den Status Establishedoder Relatedhaben zugelassen werden. Mit der zweiten Regel sollten alle Pakete, die aus dem Default-Netzwerk stammen abgelehnt werden. Durch diese Regel kann aus dem Default Netzwerk per IPv4 weder auf das Internet, noch auf andere LAN-Netzwerke zugegriffen werden.

Default-Netzwerk beschränken

Hinweis: Wird IPv6 verwendet, so müssen entsprechende Regeln auch im Abschnitt Settings > Routing & Firewall > Firewall > Rules IPv6 > LAN IN hinzugefügt werden, damit das Default-Netzwerk vollständig vom Rest getrennt wird. Werden dynamische IPv6-PRefixe verwendet, so muss die Filterung in der aktuellen Version 1.10.0 des UnifiOS die Filterung über ein Script erfolgen, da in der GUI für IPv6 keine netzwerkbezogenen Filterregeln erstellt werden können (siehe auch Artikel UDM Pro: Netzwerktrennung - Teil 1und UDM Pro: Netzwerktrennung - Teil 2). 

04|Quellen

[01] Change management VLAN on Ubiquiti UniFi Hardware and Controller 
[02] https://help.ui.com/hc/en-us/articles/218506997-UniFi-Ports-Used 

Kommentare

PostadresseE-MailadresseFestnetzMobiltelefonSMS/SignalThreemaTwitter DirektnachrichtFAXWeb Page