LW IT Solutions
«« Blog Overview « IT & Networks
This post in other languages:

Öffentliche Server in einem privaten UniFi-LAN: Ein Netzwerk-Trennungs-Leitfaden

Das Hosten eines öffentlich zugänglichen Servers – etwa eines Raspberry Pi mit Webserver, Nextcloud oder einer benutzerdefinierten Anwendung – ist eine hervorragende Möglichkeit, die Kontrolle über die eigenen Daten zu übernehmen. Die Exposition eines Geräts in Ihrem lokalen Netzwerk gegenüber dem Internet birgt jedoch erhebliche Sicherheitsrisiken. Wenn der Raspberry Pi kompromittiert wird, bietet eine flache Netzwerkarchitektur einem Angreifer freien Zugang zu Ihren persönlichen Computern, NAS-Systemen und Smart-Home-Geräten.

Die Lösung ist die Netzwerktrennung mithilfe von VLANs (Virtual Local Area Networks). In einer ordnungsgemäßen DMZ-Architektur (Demilitarized Zone) sollte Ihr Raspberry Pi aus dem Internet und Ihrem vertrauenswürdigen internen Netzwerk erreichbar sein, aber das Pi selbst muss strikt daran gehindert werden, Verbindungen zu Ihren vertrauenswürdigen Geräten zu initiieren. Hier ist eine technische Analyse zur Einrichtung dieser Architektur im Ubiquiti UniFi-Ökosystem, wobei die Unterschiede zwischen dem alten Firewall-Ansatz und der modernen zonenbasierten Einrichtung hervorgehoben werden.

Das Ziel

Bevor wir zur Konfiguration kommen, definieren wir die Anforderungen an den Datenverkehr für Ihren Raspberry Pi (RPI), der sich in einem dedizierten VLAN befindet (z. B. VLAN 50 – DMZ):

  • Internet zu RPI: Erlaubt (beschränkt auf bestimmte weitergeleitete Ports wie 80/443).
  • Internes LAN zu RPI: Erlaubt (für SSH-Verwaltung oder Zugriff auf interne Dashboards).
  • RPI zu Internet: Erlaubt (für Software-Updates und ausgehende API-Aufrufe).
  • RPI zu internem LAN: Strikte Blockierung (zur Eindämmung potenzieller Sicherheitsverletzungen).

Das “alte” Setup: Klassische Firewall-Regeln (LAN IN)

Bevor Ubiquiti die Firewall-Oberfläche überarbeitete, erforderte die Netzwerktrennung ein tiefes Verständnis des Paketflusses im iptables-Stil – insbesondere der LAN IN-, LAN OUT- und LAN LOCAL-Ketten. Um das Raspberry-Pi-VLAN zu isolieren, mussten manuell Regeln im LAN IN-Tab gestapelt werden (welcher den Verkehr steuert, der aus einem lokalen Netzwerk in den Router eintritt, bevor er weitergeleitet wird).

Die Abfolge der klassischen Regeln sah so aus:

  1. Erlaubnis für “Established and Related”-Traffic: Dies stellt sicher, dass der Rückverkehr erlaubt ist, wenn Ihr PC eine SSH-Verbindung zum RPI initiiert.
  2. Verwerfen von DMZ zum vertrauenswürdigen LAN: Dies ist der Kill-Switch. Da diese Regel unter der ersten steht, kann das RPI auf Anfragen antworten, aber neue Verbindungsversuche des RPI zum privaten Netzwerk werden blockiert.

Diese Methode war effektiv, aber fehleranfällig. Ein einfacher Fehler in der Reihenfolge oder ein Missverständnis zwischen LAN IN und LAN LOCAL führte oft zu defekten Setups oder einem falschen Sicherheitsgefühl.

Das “neue” Setup: Zonenbasierte Verkehrsregeln

Mit aktuellen Updates der UniFi Network Application hat Ubiquiti Verkehrsregeln (Traffic Rules) und eine moderne, zonenbasierte Firewall eingeführt. Dieser Wechsel abstrahiert die komplexen Routing-Ketten (LAN IN/OUT) und konzentriert sich auf eine absichtsorientierte Vernetzung. Statt darüber nachzudenken, wie Pakete die internen Schnittstellen des Routers durchlaufen, definieren Sie einfach Richtlinien zwischen festgelegten Zonen (Netzwerken).

So erreichen Sie die Isolierung in der modernen UniFi-Oberfläche:

  1. Navigieren Sie zu Security > Traffic & Firewall Rules.
  2. Erstellen Sie eine neue Regel: Block.
  3. Kategorie: Local Network.
  4. Quelle: Network -> DMZ VLAN (Raspberry Pi).
  5. Ziel: Network -> Trusted LAN (oder wählen Sie alle zu schützenden internen Netzwerke).
  6. Richtung: Traffic from Source to Destination.

Die Magie der Zonen: Unter der Haube übernimmt der UniFi-Controller automatisch die zustandsorientierte Überprüfung (Stateful Inspection). Er weiß von Natur aus, dass “Established and Related”-Traffic erlaubt werden muss, ohne dass Sie eine dedizierte Regel dafür bauen müssen. Ihre vertrauenswürdigen Geräte können mit dem Raspberry Pi sprechen, aber wenn das Pi kompromittiert wird und versucht, Ihr NAS anzupingen, wirkt die Zonenregel wie eine Ziegelmauer. Die Konfiguration ist dadurch wesentlich sauberer, besser lesbar und weniger fehleranfällig.

Ein Hinweis zur Portweiterleitung (Port Forwarding)

Sobald Ihr Raspberry Pi sicher in einem eigenen VLAN isoliert ist, müssen Sie ihn für die Außenwelt zugänglich machen. Klassischerweise mussten Sie manuell eine Destination NAT (DNAT)-Regel und eine entsprechende WAN IN-Firewall-Regel erstellen.

Ubiquiti macht dies extrem einfach:

  1. Gehen Sie zu Settings > Port Forwarding.
  2. Klicken Sie auf “Create New Port Forwarding Rule”.
  3. Definieren Sie den Port (z. B. 443 für HTTPS) und die Ziel-IP des Raspberry Pi.
  4. Das war’s. Der UniFi-Controller provisioniert automatisch die notwendigen NAT-Übersetzungen und injiziert dynamisch die WAN IN-Firewall-Regeln, damit der externe Datenverkehr diesen spezifischen Port im isolierten VLAN erreichen kann. Ihr öffentlicher Server ist nun online und sicher von Ihrem privaten Leben abgeschottet.

Lukas Wojcik

Lukas Wojcik

Systems architect and technology enthusiast specializing in scalable tracking solutions, GMP Stack (GA4 & GTM), and robust backend architectures. Advocate for clean code and privacy-first design.

Leave a Reply

Your email address will not be published. Required fields are marked *

ALL ARTICLES & CATEGORIES

CCTV

Data Privacy

Digital Analytics

Digital Marketing

IT & Networks

Smart Home