Disabilitare accesso alla web gui - Unifi (Ubiquiti)

puffin23

Buonasera, utilizzo apparati Ubiquiti da tempo e avrei una domanda.
Oggi ho configurato un client VPN WireGuard per la rete ospite, che si trova su una VLAN separata dalla rete principale. L’obiettivo è evitare che i dispositivi degli ospiti escano su Internet utilizzando il mio IP pubblico.
Mi chiedevo se fosse possibile bloccare l’accesso al gateway — in particolare alla sua interfaccia web — per i client che utilizzano questa VPN.
Grazie in anticipo per il supporto!

CosimoP

puffin23 non devi bloccare l'ip del gateway ma solamente le porte 443, 80 e 22

puffin23 L’obiettivo è evitare che i dispositivi degli ospiti escano su Internet utilizzando il mio IP pubblico.

Questo non è possibile, per navigare serve un IP pubblico e a meno che tu non ne abbia un secondo su cui ruotare il traffico tocca usare quello principale. O forse non ho capito la domanda

davidecorradini

puffin23 L’obiettivo è evitare che i dispositivi degli ospiti escano su Internet utilizzando il mio IP pubblico.

Ho interpretato male questa affermazione allora.

BernRz

Regole firewall. Sorgente: ip vpn. Destinazione: router Ubiquiti. Blocca

puffin23

BernRz I dispositivi non navigano così, boh...

BernRz

Allora prova a bloccare l’indirizzo IP specifico del router.
Edit: per la regola, specifica la porta. Altrimenti non funzionerebbe il DNS

puffin23

BernRz Niente, non c'è verso. Mi sa che il problema è il client vpn, infatti senza wg attivato si riesce a bloccare l'accesso (per i dispositivi sulla guest) senza problemi

puffin23

CosimoP non devi bloccare l'ip del gateway ma solamente le porte 443, 80 e 22

Come mai queste porte?

CosimoP Questo non è possibile, per navigare serve un IP pubblico e a meno che tu non ne abbia un secondo su cui ruotare il traffico tocca usare quello principale. O forse non ho capito la domanda

Attivando wg come client per la rete ospiti esco con l'ip pubblico di wg (e non con quello del mio isp)

CosimoP

puffin23 Come mai queste porte?

Sono le porte http, https e ssh. Se blocchi queste i dispositivi non avranno accesso alla pagina di configurazione del gateway nè potranno accederci via terminale. Se blocchi in toto l'IP blocchi anche le porte che permettono di far ruotare il traffico, quindi non ti funziona la connessione. Se leggi le guide o guardi dei video yt su questo argomento questo è l'approccio consigliato in generale, penso si applichi anche al discorso VPN

puffin23 Attivando wg come client per la rete ospiti esco con l'ip pubblico di wg (e non con quello del mio isp)

Ah ok chiaro, non avevo capito parlassi di una VPN commerciale 👍

mario152475

Sarà che io non ho capito cosa vuole fare né come è strutturata la rete, ma in teoria bisogna bloccare il NAT da LAN a WAN, non l'IP

davidecorradini

Per evitare che un client wireguard esca su internet tramite VPN è sufficiente modificare il file di configurazione wireguard del client togliendo la destinazione 0.0.0.0/0 dagli AllowedIPs. In questo modo solo il traffico verso la rete locale remota viene routato tramite l'interfaccia di wireguard, mentre internet esce dalla rete principale a cui il client è connesso.

Attenzione, però, che devi implementare anche ulteriore misure di sicurezza sul router come quelle suggerite sopra, perché il client può sempre modificare a piacimento la propria configurazione e quindi bypassare il blocco.

ESEMPIO

Prima

[Interface]
Address = 10.200.200.3/32
PrivateKey = [Client's private key]
DNS = 8.8.8.8

[Peer]
PublicKey = [Server's public key]
PresharedKey = [Pre-shared key, same for server and client]
Endpoint = [Server Addr:Server Port]
AllowedIPs = 0.0.0.0/0, 192.168.0.0/24
PersistentKeepalive = 21

Dopo

[Interface]
Address = 10.200.200.3/32
PrivateKey = [Client's private key]
DNS = 8.8.8.8

[Peer]
PublicKey = [Server's public key]
PresharedKey = [Pre-shared key, same for server and client]
Endpoint = [Server Addr:Server Port]
AllowedIPs = 192.168.0.0/24
PersistentKeepalive = 21

puffin23

davidecorradini Per evitare che un client wireguard esca su internet tramite VPN

Invece è proprio ciò che voglio che faccia. Quello che non voglio è che un client della rete ospiti (connesso a wg client per mascherare l'ip su internet) riesca ad accedere alla web gui del router. Insomma, a me basta che navighi e basta, null'altro

BernRz

Ho chiesto a Unifi GPT.

Steps to Restrict VPN Clients from Accessing the Dream Machine Pro GUI:
To prevent VPN clients from accessing the Dream Machine Pro's GUI, you can configure firewall rules to block access to the management interface. Unfortunately, the provided context does not include specific instructions for setting up such firewall rules. However, here are general steps you can follow:

Create a Firewall Rule:

Navigate to Settings > Firewall & Security in the UniFi Network Application.
Add a new rule under the LAN IN or VPN IN section (depending on your VPN configuration).
Set the rule to Deny traffic from the VPN network to the Dream Machine Pro's management IP address on port 443 (HTTPS) and port 80 (HTTP), which are typically used for the GUI.
Specify Source and Destination:

Source: The subnet or IP range of your VPN clients.
Destination: The IP address of the Dream Machine Pro.
Apply and Test:

Save the rule and test to ensure VPN clients cannot access the GUI while maintaining access to other necessary resources.
If you need detailed guidance on configuring firewall rules, please refer to the Firewall guide or contact support for further assistance.

For additional help, visit UniFi Support.

Related articles:
UniFi Remote Access: VPN and Port Forwarding: This article explains secure remote access methods: VPNs offer encrypted connections, while port forwarding allows direct external access, with security considerations.

Best Practices: Guest WiFi: This article explains how to create a secure and efficient guest network with >UniFi, including traffic management, client isolation, and hotspot portals.

UniFi Gateway - Introduction to VPNs: This article explains UniFi Gateway's three VPN types: VPN Server, VPN Client, and Site-to-Site VPN, with supported protocols and features.

MaxBarbero

puffin23 sono tutti su wifi i dispositivi GUEST? Cosa succede se attivi il Device isolation su quella wifi visto che credo non si debbano vedere nemmeno tra di loro?

puffin23

MaxBarbero Succede che si non si vedono tra di loro ma possono accedere al gw

MaxBarbero

puffin23 allora l'unica credo sia quanto detto da @CosimoP, ovvero bloccare dalla lan guest le porte 80,443 e 22 verso l'ip del gw.
Però qual è il problema se lo raggiungono? Che provino un brute force attack?

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile