Zugang zu Heimserver gesperrt

[Paulquappe123]

Hallo Community,
Ich habe ein Problem
Ich habe bei mir zu hause einen Nextcloud server. Dieser ist in einem seperatem Netzwerk und ins Internet geöffnet. Aus sicherheitsgründen habe ich diesem Netzwerk jegliche Kommunikation mit den übrigen Netzwerken untersagt. Dies Ist mittels einer LAN IN und LAN OUT regel und dann die entsprechenden Netzwerke gesperrt in der Firewall geschehen. Nun habe ich aber das Problem das ich von außerhaöb meines Heimnetzwerkes(zum Beispiel über LTE) problemlos auf die Nextcloud zugreifen kann. sobald ich aber in meinem WLAN bin ist dies nicht mehr möglich Wie kann ich dieses missgeschickt so behben, dass noch möglichst viel sicherheit übrig bleibt.
Als Firewall und Router wird eine Unifi Dream Machine Pro verwendet
Vielen Dank für Antworten
Paul

 

[Lawnmower]

Na die Ports eben aufmachen ins LAN /WLAN die es braucht, alles zumachen geht nicht weil man dann eben kein Zugriff mehr hat aus dem LAN / WLAN.
Welche das sind musst Du aufgrund der Services die Du nutzen willst wohl selber definieren.

Zugang von aussen wäre sinnvoller wenn Du das mit einem VPN regeln würdest und nicht einfach den ganzen Server ins Internet stellst.

 

[MRVN42]

Hallo,
du musst deinem Wlanclient Zugriff auf die Nextcloud geben.

Also vor der Block Rule in deinem Wlannetz eine Pass Rule erstellen.

Beispiel:
Wlanclient 192.168.50.50
Nextcloud 192.168.80.8

Allow Source IP 192.168.50.50 Port: * Destination IP 192.168.80.8 Port: 443

Das ist alles.

 

[Raijin]

Dies Ist mittels einer LAN IN und LAN OUT regel und dann die entsprechenden Netzwerke gesperrt in der Firewall geschehen.

Zunächst einmal wäre es wirklich hilfreich, zu wissen welches System du als Firewall einsetzt. LAN IN und LAN OUT klingt eher nicht nach Fritzbox, weil die gar keine zusätzlichen Netzwerke kann. Ist es also ein Router mit OpenWRT, pfSense, OPNsense oder beispielsweise ein Asus mit alternativer Firmware oder oder oder?
*edit : OK, hab das mit der UDM Pro überlesen

Abgesehen davon hört es sich so an als wenn du versucht hast, eine DMZ zu bauen. Eine DMZ ist ein separates Netzwerk, in dem man Server vom Hauptnetzwerk isoliert. Du hast nun offenbar aber harte Blocks eingebaut und dich nicht an das Konzept der DMZ gehalten.

Eine DMZ wird üblicherweise vom Hauptnetzwerk so abgesichert:

• Hauptnetzwerk ---> DMZ = ALLOW (ggfs nur bestimmte Ports)
  Vom Hauptnetzwerk hat man vollen Zugriff auf die DMZ.
  Das Hauptnetzwerk darf also neue Verbindungen in die DMZ herstellen
  Gegebenenfalls nur bestimmte Ports (zB nur SMB für FileServer und http/https für Webserver)
  
  
• DMZ ---established/related--> Hauptnetzwerk = ALLOW
  Aus der DMZ heraus darf auf bereits hergestellte Verbindungen geantwortet werden.
  
  
• DMZ ---new--> Hauptnetzwerk = BLOCK
  Aus der DMZ heraus darf keine neue Verbindung initiert werden

Damit ist sichergestellt, dass die Server in der DMZ zwar vom Hauptnetzwerk aus erreichbar sind und auch antworten können, aber aus eigenem Antrieb dürfen die Server keine Verbindungen herstellen. Ein gekaperter Server in der DMZ kann also das Hauptnetzwerk nicht direkt angreifen, weil er nicht selbstständig auf das Hauptnetzwerk zugreifen darf.

 

[Paulquappe123]

, eine DMZ zu bauen

genau so hab ich es nun gelöst. Vielen Dank