02 Firewall-Matrix
Grundsatz: Default-Deny zwischen allen VLANs. Erlaubt wird nur, was für Betrieb, Management, Monitoring, Authentifizierung oder Medien-/mDNS-Funktionen benötigt wird.
Basisregeln
| Quelle |
Ziel |
Ports/Protokolle |
Aktion |
Begründung |
| alle internen VLANs |
Internet |
TCP/UDP nach Bedarf |
allow |
allgemeiner Internetzugang, außer Gäste/IoT bei Bedarf eingeschränkt |
| alle internen VLANs |
Server-Core DNS |
TCP/UDP 53 |
allow |
zentrale Namensauflösung |
| alle internen VLANs |
Server-Core NTP |
UDP 123 |
allow |
Zeitabgleich |
| alle internen Server |
SMTP Relay |
TCP 25/587 |
allow |
zentrale Mailzustellung |
| Management |
alle internen VLANs |
SSH, HTTPS, RDP, WinRM, ICMP |
allow |
Administration |
| alle VLANs |
Management |
any |
deny |
Schutz der Infrastruktur |
| Gäste-WLAN |
interne VLANs |
any |
deny |
Gastisolation |
| IoT |
interne VLANs |
any, außer Freigaben |
deny |
IoT-Isolation |
| Kameras-Security |
Internet |
optional deny/allowlist |
restrict |
Kameras restriktiv betreiben |
Core-Dienste
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| Clients-LAN/WLAN |
LANDC1/LANDC2 |
AD/DNS/Kerberos/LDAP/SMB/RPC |
Domänenbetrieb |
| Server-Core |
LANDC1/LANDC2 |
AD/DNS/Kerberos/LDAP/SMB/RPC |
Domänenmitgliedschaft und Dienste |
| VPN-Remote |
LANDC1/LANDC2 |
AD/DNS/Kerberos/LDAP/RDP nach Bedarf |
Remote-Administration |
| Server-Core |
NetBox |
HTTPS |
IPAM/DCIM Zugriff |
| Server-Core |
Vaultwarden |
HTTPS |
Secrets nur für berechtigte Clients |
| Server-Core |
Gitea |
HTTPS/SSH |
Git-Zugriff |
AD/DNS Detailfreigaben fuer VLAN-Trennung:
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| Clients-LAN/WLAN |
LANDC1/LANDC2 |
TCP/UDP 53 |
DNS |
| Clients-LAN/WLAN |
LANDC1/LANDC2 |
TCP/UDP 88, TCP/UDP 464 |
Kerberos und Kennwortwechsel |
| Clients-LAN/WLAN |
LANDC1/LANDC2 |
TCP/UDP 389, TCP 636 |
LDAP/LDAPS |
| Clients-LAN/WLAN |
LANDC1/LANDC2 |
TCP 445 |
SMB, SYSVOL/NETLOGON |
| Clients-LAN/WLAN |
LANDC1/LANDC2 |
TCP 135 + dynamische RPC-Ports |
Domänenbeitritt, GPO, Windows-Management; Portbereich vor finaler Regel haerten |
| Clients-LAN/WLAN/Server-Core |
LANDC1/LANDC2 |
TCP 3268/3269 |
Global Catalog |
| Management |
LANDC1/LANDC2 |
TCP 5985/5986, TCP 3389 |
WinRM/RDP Administration |
| LANDC1/LANDC2 |
UniFi Gateway/Ziel-Resolver |
TCP/UDP 53 |
DNS Forwarding; aktuell 10.0.0.1, Ziel nach Gateway-Migration anpassen |
Reverse Proxy / DMZ
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| Internet/WAN |
NPM DMZ |
TCP 80/443 |
veröffentlichte Dienste |
| NPM DMZ |
Ziel-Backends Server-Core |
TCP 80/443 oder App-Port |
Reverse Proxy zu definierten Backends |
| NPM DMZ |
DNS |
TCP/UDP 53 |
Namensauflösung |
| NPM DMZ |
Management |
any |
deny |
| NPM DMZ |
interne VLANs |
any, außer Backends |
deny |
NPM darf im Zielzustand nur zu explizit dokumentierten Backend-IP/Port-Paaren sprechen. Der aktuelle Export enthaelt Backends in Server-Core, Monitoring, SmartHome, Medien, Management und externe Ziele. Deshalb muss vor Migration von NPM zuerst das Ziel-IP-Mapping aller Proxy Hosts feststehen; eine pauschale DMZ -> Server-Core any-Regel ist nicht zulaessig.
Zielregel fuer NPM:
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
NPM DMZ 10.222.50.10 |
Grafana 10.222.60.12 |
TCP 3000 |
grafana.epxm.de nach Monitoring-Migration |
NPM DMZ 10.222.50.10 |
Wazuh 10.222.60.10 |
TCP 443 |
wazuh.lanstyle.de nach Wazuh-Migration |
NPM DMZ 10.222.50.10 |
Server-Core Backends |
nur dokumentierte App-Ports |
Gitea, Wiki, Vaultwarden, NetBox, n8n, Paperless |
NPM DMZ 10.222.50.10 |
AI-Services Backends |
nur dokumentierte App-Ports |
Open WebUI, Ollama, LiteLLM, MCPHub, Open Terminal |
NPM DMZ 10.222.50.10 |
SmartHome/Medien |
nur dokumentierte App-Ports |
HA/HKKNX/Plex nach jeweiliger Segmentmigration |
NPM DMZ 10.222.50.10 |
interne VLANs |
any, ausser oben |
deny |
Erkannte NPM-Backends Stand 2026-05-26:
| FQDN |
Backend |
Port |
ai.lanstyle.de |
10.222.70.10 |
8080 |
ollama.lanstyle.de |
10.222.70.11 |
11434 |
git.lanstyle.de |
10.0.1.251 |
3000 |
wiki.lanstyle.de |
10.0.0.252 |
80 |
vault.lanstyle.de |
10.0.1.242 |
8000 |
netbox.lanstyle.de |
10.0.0.207 |
443 |
grafana.epxm.de |
10.222.60.12 |
3000 |
wazuh.lanstyle.de |
10.222.60.10 |
443 |
plex.epxm.de |
10.0.0.190 |
32400 |
paperless*.lanstyle.de / paperless.epxm.de |
10.0.0.235-237 |
8000 |
ha.epxm.de / hkknx.epxm.de |
10.0.0.230-231 |
8123/8080 |
Fuer die Zielarchitektur bedeutet das: NPM in VLAN 50 braucht ausschliesslich explizite Backend-Freigaben zu Server-Core, AI, Monitoring, SmartHome und Medien. Keine pauschale DMZ-nach-LAN-Regel.
Aktuelle WAN-Portforwards
Stand 2026-05-25: UniFi zeigt folgende aktive direkte Extern-nach-Intern-Freigaben. Diese sind keine Zielarchitektur, sondern Migrationsrisiken und muessen je Segment bewusst uebernommen, ersetzt oder entfernt werden.
| Name |
WAN/Ziel |
Port |
Internes Ziel |
Zielbehandlung |
| NGINX Reverse Proxy |
WAN/WAN2/WAN3 any |
80,443 |
10.0.0.5 |
spaeter NPM in DMZ 10.222.50.10 |
| Plex manuell |
WAN any |
32400 |
10.0.0.30 |
pruefen, da Plex selbst 10.0.0.190 ist |
| Plex UPnP |
dynamisch |
13612-13614 |
10.0.0.190:32400 |
UPnP-Strategie festlegen |
| Plex UPnP |
dynamisch |
17633 |
10.0.12.206:32400 |
unbekanntes Geraet klaeren |
| Radius_Lanstyle |
WAN any |
2083 |
10.0.0.251 |
Radius-Ziel in Server-Core planen |
| KevConaxExile |
80.155.133.62 |
27015,7777,7778 |
10.244.0.2 |
Projekt-/Legacy-Segment separat |
| KevPleskDedi |
80.155.133.61 |
1-21,23-1192,1195-64999 |
10.244.0.15 |
breite Freigabe separat bewerten |
| Hardcoreracers |
80.155.133.60 |
8766,27015,27016 |
10.254.0.2 |
Projekt-/Legacy-Segment separat |
| Lanstyle-HR |
91.24.108.62 |
22,3000 |
10.252.0.134 |
Projekt-/Legacy-Segment separat |
Aktuelle VPN-/Remote-Routen
Stand 2026-05-25 aus UDM-Shell read-only. Diese Netze sind keine Ziel-VLANs, aber sie sind fuer Firewall-Matrix, Default-Deny und Split-Tunnel-Kollisionspruefung relevant.
| Route/Netz |
Pfad |
Zielbehandlung |
10.10.10.0/24 |
OpenVPN tun1 |
VPN-Remote separat dokumentieren, kein UniFi-VLAN |
10.100.0.0/20 |
OpenVPN Client tunovpnc1 |
kundenspezifisch klaeren |
10.245.0.0/29 |
WireGuard/Site-Magic wgsrv1 |
Site-Magic/Transit, nicht migrieren |
192.168.7.x |
WireGuard/Site-Magic wgsts* |
Transit-Next-Hops fuer OSPF-Routen |
10.1.0.0/24, 10.1.1.0/24, 10.2.0.0/20, 10.3.0.0/22, 10.4.0.0/24, 10.5.0.0/24, 10.6.0.0/24, 10.7.0.0/24 |
OSPF via Site-Magic |
Standort-/Kundennetze, Freigaben pro Dienst pruefen |
10.27.0.0/24 |
OSPF via Site-Magic |
aktive Verbindung zu lokalem 10.0.12.85:7442 gesehen |
10.64.0.0/22, 10.64.4.0/22, 10.64.8.0/22, 10.64.12.0/24, 10.64.16.0/24 |
OSPF via Site-Magic |
aktive Zugriffe auf 10.0.0.187:443 gesehen |
10.128.0.0/24, 10.128.8.0/24, 10.128.16.0/24, 10.255.6.0/24 |
OSPF via Site-Magic |
Standort-/Kundennetze, vor Default-Deny zuordnen |
Aktive Conntrack-Hinweise:
| Quelle |
Ziel |
Port |
Konsequenz |
10.64.0.16/18/210 |
10.0.0.187 |
443 |
Zielsystem als zentrale Remote-/Standortverwaltung behandeln; Firewall-Freigabe nach Ziel-VLAN-Mapping explizit uebernehmen |
10.27.0.1 |
10.0.12.85 |
7442 |
UniFi-/Protect-/Geraetepfad klaeren, bevor Client/Kamera/Management getrennt wird |
10.0.0.52 |
10.0.102.150 |
80 |
Gebaeudetechnik/Wallbox-Flow; SolarManager-/Wallbox-Anpassung einplanen |
10.0.0.74 |
10.254.0.1 |
7442 |
Legacy-Projektsegment, nicht automatisch in Ziel-LAN uebernehmen |
10.0.10.128 |
192.168.1.217 |
502/tcp |
HAxStein Modbus-Ziel; SmartHome-Freigabe vor HA-Stein-Migration planen |
10.0.10.128 |
192.168.1.162 |
502/udp |
HAxStein Modbus-Ziel; Ziel/Route fachlich klaeren |
10.0.0.105 |
10.0.102.149 |
52432/tcp |
AppleTV zu Meross/HomeKit/IoT; mDNS/HomeKit-Testpfad einplanen |
10.0.10.12 |
192.168.111.7 |
135/445/49678/tcp |
SMS-MGMT Lab/Test; nicht pauschal in Zielnetz erlauben |
10.0.10.12 |
10.239.40.180, 192.168.113.59 |
7680/tcp |
SMS-MGMT Lab/Test/Remote; vor Client-/Lab-Trennung klaeren |
AI-Suite / Automatisierung
Die spätere AI-Suite-Migration nutzt das vorbereitete VLAN 70 LS_AI_Services mit Prefix 10.222.70.0/24. Die folgenden Allow-Regeln wurden am 2026-05-25 in UniFi/UDM Pro aktiviert. Es wurden keine Deny-/Block-/Restrict-Regeln für die Segmentierung aktiviert.
| Regelname |
Source |
Destination |
Port |
Direction |
Zweck |
Risiko |
Rollback |
AI70_ALLOW_NPM_OPENWEBUI_8080 |
NPM 10.0.0.5 / später DMZ-NPM |
10.222.70.10 |
TCP 8080 |
NPM zu AI |
ai.lanstyle.de Backend |
niedrig |
Regel deaktivieren, NPM Alt-Backend behalten |
AI70_ALLOW_NPM_OLLAMA_11434 |
NPM 10.0.0.5 / später DMZ-NPM |
10.222.70.11 |
TCP 11434 |
NPM zu AI |
ollama.lanstyle.de Backend |
mittel |
Regel deaktivieren, NPM Alt-Backend behalten |
AI70_ALLOW_NPM_LITELLM_4000 |
NPM 10.0.0.5 / später DMZ-NPM |
10.222.70.20 |
TCP 4000 |
NPM zu AI |
litellm.lanstyle.de Backend |
mittel |
Regel deaktivieren, NPM Alt-Backend behalten |
AI70_ALLOW_NPM_MCPHUB_3000 |
NPM 10.0.0.5 / später DMZ-NPM |
10.222.70.20 |
TCP 3000 |
NPM zu AI |
mcphub.lanstyle.de Backend |
mittel |
Regel deaktivieren, NPM Alt-Backend behalten |
AI70_ALLOW_NPM_SEARXNG_8888 |
NPM 10.0.0.5 / später DMZ-NPM |
10.222.70.12 |
TCP 8888 |
NPM zu AI |
search.lanstyle.de Backend |
niedrig bis mittel |
Regel deaktivieren, NPM Alt-Backend behalten |
AI70_ALLOW_OPENWEBUI_OLLAMA_11434 |
10.222.70.10 |
10.222.70.11 |
TCP 11434 |
VLAN70 east-west |
Open WebUI zu Ollama |
niedrig |
Regel deaktivieren, Open WebUI Alt-Ollama nutzen |
AI70_ALLOW_OPENWEBUI_SEARXNG_8888 |
10.222.70.10 |
10.222.70.12 |
TCP 8888 |
VLAN70 east-west |
Open WebUI Websuche |
niedrig |
Regel deaktivieren, Open WebUI Alt-SearXNG nutzen |
AI70_ALLOW_OPENWEBUI_OPENTERMINAL_8001_8004 |
10.222.70.10 |
10.222.70.13 |
TCP 8001-8004 |
VLAN70 east-west |
Open Terminal Toolserver |
hoch |
Regel deaktivieren, Toolserver-URLs auf Alt-IP |
AI70_ALLOW_OPENWEBUI_TOOLSAPI_3010 |
10.222.70.10 |
10.222.70.20 |
TCP 3010 |
VLAN70 east-west |
Lanstyle Tools API |
mittel |
Regel deaktivieren, Toolserver entfernen |
AI70_ALLOW_AGENT_OLLAMA_11434 |
10.222.70.20 |
10.222.70.11 |
TCP 11434 |
VLAN70 east-west |
LiteLLM/RAG zu Ollama |
niedrig |
Regel deaktivieren, LiteLLM Alt-Ollama nutzen |
AI70_ALLOW_MGMT_AI_ADMIN |
Management/Monitoring nach Policy |
VLAN70 Ziele |
SSH/HTTPS/Healthchecks |
Management zu AI |
Administration/Monitoring |
mittel |
Regel deaktivieren oder Source enger fassen |
AI70_ALLOW_AI_DNS |
VLAN70 |
UniFi DNS / interne Resolver |
TCP/UDP 53 |
VLAN70 out |
DNS |
niedrig |
Regel deaktivieren, Resolver prüfen |
AI70_ALLOW_AI_NTP |
VLAN70 |
NTP-Ziel nach Basisregel |
UDP 123 |
VLAN70 out |
Zeit |
niedrig |
Regel deaktivieren, Zeitquelle prüfen |
AI70_ALLOW_AI_SMTP |
VLAN70 |
SMTP Relay 10.0.0.3 / später smtp.ad.lanstyle.de |
TCP 25 |
VLAN70 out |
Mailversand |
niedrig bis mittel |
Regel deaktivieren, Mailfunktionen pausieren |
Explizite Verbote fuer VLAN 70:
- Keine pauschale Regel
VLAN70 -> any.
- Keine externe Freigabe auf Qdrant
6333/6334, PostgreSQL oder Redis.
- Normale Client-VLANs dürfen nicht direkt auf Open Terminal
8001-8004.
- Normale Client-VLANs dürfen nicht direkt auf LiteLLM/MCPHub; Zugriff nur über NPM/Access-Konzept.
- VLAN70 darf nicht pauschal in produktive Servernetze, sondern nur über konkrete Zielregeln.
Validierungsstand:
- UniFi API zeigt
13 primäre AI70_ALLOW_* Regeln plus automatisch abgeleitete Return-Regeln.
- Alle
AI70_* Regeln sind ALLOW und enabled=true.
- Es wurde keine
AI70_* Block-Regel angelegt.
- Echte Zielservice-Connectivity auf
10.222.70.x wird erst nach Guest-IP-Migration möglich; bis dahin validiert die API-Regelprüfung die Policy-Vorbereitung.
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| NPM DMZ |
Open WebUI |
TCP 8080 |
ai.lanstyle.de |
| NPM DMZ |
Ollama/GB10 |
TCP 11434 |
ollama.lanstyle.de |
| NPM DMZ |
Agent Runtime / LiteLLM / MCPHub |
TCP 3000/3010/4000 nach Backend-Mapping |
litellm.lanstyle.de, mcphub.lanstyle.de, Agent Runtime |
| Open WebUI |
Ollama/GB10 |
TCP 11434 |
Chat- und RAG-Modelle |
| Open WebUI |
SearXNG |
TCP 8888 |
Websuche/RAG |
| Open WebUI |
Agent Runtime / LiteLLM / MCPHub |
TCP 3000/3010/4000 |
Tools, OpenAI-kompatible API, MCP |
| Agent Runtime |
Qdrant lokal/AI |
TCP 6333/6334 |
RAG/Vektorstore, nur AI-intern |
| Open WebUI |
externe TTS/API-Anbieter |
HTTPS 443 |
TTS/OpenAI-kompatible APIs, Secrets in Vault/Env |
| Open Terminal |
Open WebUI |
TCP 8080 |
WebUI-Integration |
| n8n |
interne APIs/NPM Backends |
HTTP/HTTPS nach Workflow |
Automatisierungen, vor Migration Workflows einzeln exportieren/pruefen |
Paperless / Medien-Stack
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| NPM DMZ |
Paperless |
TCP 80/8000 |
Webzugriff auf Paperless-Instanzen |
| Paperless-AI |
Paperless |
TCP 80/8000 |
Dokument-/OCR-/AI-Verarbeitung |
| Paperless-AI |
Ollama/OpenAI-kompatible APIs |
TCP 11434/HTTPS 443 nach Konfiguration |
AI-Auswertung, erst nach Config-Review final freigeben |
| Medien-Stack intern |
Radarr/Sonarr/Readarr/Prowlarr/SAB/Huntarr/Profilarr |
TCP 7777, 7878, 8989, 8787, 9696, 9705, 6868, 5005/5006 |
Medienautomation |
| Medien-Stack |
Plex |
TCP 32400 |
Plex-Status, Tautulli, Clients |
| Medien-Stack |
Storage/NAS |
NFS/SMB/RPC nach Mount-Review |
Medien- und Download-Pfade |
| Clients/Medien |
Plex |
TCP 32400, mDNS/Discovery nach Bedarf |
Medienwiedergabe |
Radius
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| UniFi Gateway/Switches/APs |
Radius 10.222.40.x oder Auth-Zielsegment |
UDP 1812/1813 |
RADIUS Auth/Accounting |
| berechtigte RadSec-Clients |
Radius |
TCP 2083 |
radsecproxy |
| Management |
Radius |
TCP 22/80 |
Administration/Web-UI |
| andere VLANs |
Radius MariaDB |
deny |
MariaDB bleibt lokal, keine pauschale Freigabe |
Radius Zertifikatsautomatisierung und RadSec-Clients
Stand 2026-06-08:
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
Certmgr LXC 112 (10.222.40.51) |
Let's Encrypt / IPv64 |
HTTPS, DNS-01 API |
Erneuerung von ad.lanstyle.de, *.ad.lanstyle.de und radius.lanstyle.de |
Certmgr LXC 112 |
Proxmox 10.0.0.220 |
SSH 22 |
Deploy-Sprungbrett fuer Zertifikat auf VM 601 |
Proxmox 10.0.0.220 |
Radius VM 601 |
QEMU Guest Agent |
Zertifikat schreiben, FreeRADIUS-Konfigtest, Service-Restarts |
Der alte lokale acme.sh-Cron auf der Radius-VM ist deaktiviert. Zertifikats-Renewal und Deploy erfolgen zentral ueber certmgr-renew.timer.
WAN-seitig ist fuer Schulstandorte nur RadSec TCP 2083 zum radsecproxy vorgesehen. Auth und Accounting werden danach intern auf VM 601 zu FreeRADIUS UDP 1812/1813 weitergereicht; keine separate oeffentliche UDP-Freigabe fuer 1812/1813.
| Standort |
Erlaubte RadSec-Quelle |
Ziel |
Port |
Hinweis |
| SGO |
DynDNS sgo.fortidyndns.com, aktuell 176.52.192.249 |
radius.lanstyle.de / NAT 80.155.133.58 -> 10.222.40.36 |
TCP 2083 |
radsecproxy Clientname sgo; DynDNS-Watcher gleicht IP-Aenderungen ab |
| SMS |
DynDNS sms.dyndns64.de, aktuell 80.153.196.109 |
radius.lanstyle.de / NAT 80.155.133.58 -> 10.222.40.36 |
TCP 2083 |
radsecproxy Clientname sms; DynDNS-Watcher gleicht IP-Aenderungen ab |
| SGJ |
82.119.173.50 |
radius.lanstyle.de / NAT 80.155.133.58 -> 10.222.40.36 |
TCP 2083 |
radsecproxy Clientname sgj |
radsecproxy-dyndns-watch.timer prueft SMS/SGO alle 5 Minuten. Keine statischen /etc/hosts-Overrides fuer diese Standorte dauerhaft verwenden. Es bleibt dabei: keine oeffentliche UDP-1812/1813-Freigabe, nur TCP 2083 fuer RadSec.
Monitoring
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| Monitoring-Logging |
Proxmox |
HTTPS 8006, Node Exporter, ICMP |
PVE Monitoring |
| Monitoring-Logging |
Server-Core |
Agent Ports, ICMP, HTTPS |
Dienstüberwachung |
| Monitoring-Logging |
Netzwerkgeräte |
SNMP, ICMP, HTTPS |
Infrastrukturüberwachung |
| interne Systeme |
Wazuh/Zabbix/Prometheus |
Agent/syslog Ports |
Telemetrie |
Phase-3-Entwurf fuer VLAN 60:
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| Monitoring-Logging |
DNS/DCs 10.222.40.10/11 |
TCP/UDP 53 |
Namensaufloesung nach DNS-first |
| Monitoring-Logging |
SMTP Relay 10.222.40.25 |
TCP 25/587 |
Alerts und Systemmails |
DMZ NPM 10.222.50.10 |
Grafana 10.222.60.12 |
TCP 3000 |
grafana.epxm.de nach Grafana-Schwenk |
Prometheus 10.222.60.13 |
PVE Exporter 10.222.60.14 |
TCP 9221 |
PVE-Metriken |
Prometheus 10.222.60.13 |
Proxmox 10.222.20.10 |
TCP 8006, ICMP |
PVE API nach Proxmox-Zielmigration |
Prometheus 10.222.60.13 |
Docker-Lanstyle/unpoller |
TCP 9130 |
bestehender Scrape, Legacy-Allow bis Zielmigration |
| interne Systeme |
Wazuh 10.222.60.10 |
TCP 1514/1515/55000, UDP 514 |
Agenten/Syslog; technisch migriert, Quellen fachlich pruefen |
SmartHome, Medien, Drucker
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
| Clients-LAN/WLAN |
Drucker |
TCP 9100, IPP 631, AirPrint/mDNS |
Drucken |
| Clients-LAN/WLAN |
Medien-AirPlay |
AirPlay, RAOP, mDNS |
Apple TV/Sonos |
| Clients-LAN/WLAN |
SmartHome |
Home Assistant HTTPS/App Ports |
Bedienung |
| SmartHome |
IoT/Gebäudetechnik |
Geräteports nach Inventar |
Automationen |
| SmartHome |
Medien-AirPlay |
mDNS/AirPlay nach Bedarf |
HomeKit/Automationen |
| IoT |
SmartHome |
nur etablierte Antworten |
Geräte sprechen nicht frei ins Core-Netz |
Ergaenzte Flow-Hinweise aus UDM Conntrack 2026-05-25:
| Quelle |
Ziel |
Ports/Protokolle |
Begründung |
Home Assistant Stein 10.222.160.11 |
Modbus-Ziele 192.168.1.217, 192.168.1.162 |
TCP/UDP 502 nach finaler Zielklaerung |
Solar/Wechselrichter/Zaehler ueber Modbus |
| Medien-AirPlay AppleTV |
IoT Meross/HomeKit-Geraete |
mDNS/HomeKit + beobachteter TCP 52432 |
HomeKit-/AppleTV-Automationen |
| SmartHome/SolarManager |
Gebaeudetechnik Go-e Charger |
HTTP 80 und ggf. Herstellerports |
Wallbox-/SolarManager-Steuerung |
mDNS / Bonjour
| Quelle |
Ziel |
Dienste |
Konzept |
| Clients-WLAN/LAN |
Drucker |
_ipp._tcp, _printer._tcp |
mDNS-Forwarding gezielt |
| Clients-WLAN/LAN |
Medien-AirPlay |
_airplay._tcp, _raop._tcp, Sonos |
mDNS-Forwarding gezielt |
| Clients-WLAN/LAN |
SmartHome |
_hap._tcp, Home Assistant |
mDNS-Forwarding gezielt |
| Gäste-WLAN |
alle |
keine |
kein mDNS ins interne Netz |
Offene Firewall-Daten
- Bestehende UniFi Firewall-Regeln müssen über klassische UniFi Controller API exportiert werden.
- Portprofile und WLAN-Zuweisungen müssen ebenfalls vor Änderungen gesichert werden.
- Produktive Regeländerungen nur nach Backup, Review und Wartungsfenster.