S
sondinetworkTech Innovation Hub
Zurück zu allen Artikeln
Uncategorized

UniFi Firewall: Zugriff für einzelnes Gerät über VLAN-Grenzen erlauben

admin
4 min Lesezeit

1. Einleitung

In vielen Netzwerken werden VLANs eingesetzt, um unsichere Geräte (z.B. IoT, Gäste) von sensiblen Daten zu trennen. Doch was passiert, wenn ein bestimmtes Gerät aus dem isolierten Bereich – etwa ein iPad im IoT-Netz – zwingend auf Steuergeräte im sicheren Hauptnetz zugreifen muss?

Dieses Tutorial zeigt dir, wie du in der UniFi Network Application („Controller“) ein einzelnes Loch in die Firewall bohrst, ohne die Sicherheit des gesamten Netzwerks zu gefährden. Wir konfigurieren eine präzise Ausnahme für ein spezifisches Gerät.

Voraussetzungen:

  • UniFi Network Application (aktueller Stand)
  • UniFi Gateway (USG, UXG, UDM oder UDR)
  • Administrator-Zugriff
  • Bestehende VLANs (z.B. IoT und Main/Secure)

[BILD 1: Detailansicht der Firewall-Regel ‚iPad Cornel to HomePods‘ mit Quelle und Ziel-IPs]

2. Überblick

Am Ende dieses Tutorials hast du eine Firewall-Konfiguration, die nach dem Prinzip „Alles verbieten, Ausnahmen erlauben“ arbeitet.

  • Das Ziel: Ein iPad (VLAN 14) darf HomePods (VLAN 10) steuern.
  • Die Sicherheit: Der restliche Zugriff zwischen den VLANs bleibt blockiert.
  • Die Methode: Wir nutzen statische IPs und Firewall-Regeln vom Typ „LAN In“.

3. Schritt-für-Schritt Anleitung

1. Feste IP-Adresse vergeben

Damit die Firewall-Regel dauerhaft greift, muss das Quell-Gerät (hier das iPad) immer dieselbe IP-Adresse haben. Wenn sich die IP durch DHCP ändert, läuft die Regel ins Leere.

Gehe in der UniFi-Oberfläche auf Clients und wähle dein Gerät aus.
Öffne das Einstellungsfenster: Settings -> Network.

Aktivieren: Fixed IP Address
IP-Adresse: Wähle eine Adresse ausserhalb des DHCP-Bereichs (oder nutze die aktuelle)
Speichern: Apply Changes

2. Die „Erlauben“-Regel erstellen

Nun definieren wir die Ausnahme. Diese Regel erlaubt den Datenverkehr explizit, bevor er später durch eine globale Regel blockiert wird.

Navigiere zu Settings -> Security -> Traffic & Firewall Rules.
Erstelle einen neuen Eintrag (Create Entry) mit folgenden Werten:

  • Type: LAN In (Wichtig für VLAN-zu-VLAN Kommunikation)
  • Action: Accept (Erlauben)
  • Source: Wähle hier unter „Client“ dein iPad oder die feste IP aus Schritt 1.
  • Destination: Wähle „IP Address“ und trage die Ziel-IPs der Geräte ein, die gesteuert werden sollen (z.B. HomePods).

[BILD 1: Detailansicht der Firewall-Regel ‚iPad Cornel to HomePods‘ mit Quelle und Ziel-IPs]

3. Die „Blockieren“-Regel sicherstellen

Damit die Trennung der Netze überhaupt aktiv ist, muss eine Block-Regel existieren. Falls du noch keine generelle Block-Regel für VLANs hast, erstelle diese jetzt.

Erstelle einen weiteren Eintrag:

  • Type: LAN In
  • Action: Drop (Blockieren)
  • Source: Das gesamte Quell-Netzwerk (z.B. VLAN 14 oder eine Gruppe „All Private IP Ranges“).
  • Destination: Das Ziel-Netzwerk (z.B. VLAN 10 oder „All Private IP Ranges“).

4. Die Reihenfolge prüfen

Dies ist der wichtigste Schritt. Die UniFi Firewall arbeitet die Liste von oben nach unten ab («First Match Wins»). Sobald eine Regel zutrifft, wird die Verarbeitung gestoppt.

Deine „Erlauben“-Regel muss oberhalb der „Blockieren“-Regel stehen.

  1. Suche deine neue Regel aus Schritt 2 in der Liste.
  2. Fasse sie links am Griff (6 Punkte-Icon) an.
  3. Ziehe sie nach oben, bis sie vor der allgemeinen Blockier-Regel platziert ist.

[BILD 2: Übersicht der Firewall-Regeln, wobei die Allow-Regel oberhalb der Block-Regel steht]

4. Wichtige Hinweise & Stolperfallen

Regel-Typ: Verwende für die Filterung zwischen VLANs immer LAN In. Regeln auf „LAN Local“ betreffen nur den Zugriff auf das Gateway selbst, nicht auf andere Geräte im Netzwerk.

Established / Related: Stelle sicher, dass ganz oben in deinem Regelwerk eine Regel existiert, die „Established“ und „Related“ Verbindungen erlaubt. Dies garantiert, dass angeforderte Rückantworten (z.B. eine Webseite, die geladen wird) nicht blockiert werden.

Gruppen nutzen: Wenn du mehrere HomePods oder Zielgeräte hast, lohnt es sich, unter „Profiles -> IP Groups“ eine Gruppe anzulegen. So musst du in der Firewall-Regel nur die Gruppe auswählen und nicht jede IP einzeln eintippen.

5. Ergebnis & Fazit

Du hast nun erfolgreich eine granulare Zugriffskontrolle eingerichtet. Das iPad kann ungehindert mit den definierten HomePods kommunizieren, während alle anderen Geräte im IoT-VLAN weiterhin sicher isoliert bleiben.

Das System prüft nun bei jedem Paket zuerst, ob es vom iPad kommt und zu den HomePods will (Erlaubt). Wenn nicht, greift die darauffolgende Block-Regel.

Nächster Schritt:
Teste die Verbindung, indem du die App auf dem iPad öffnest. Funktioniert die Steuerung? Versuche anschliessend von einem anderen Gerät im gleichen VLAN die HomePods anzupingen – dies sollte fehlschlagen (Timeout).

Ähnliche Artikel