UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne „Doppeltes NAT“

Nachdem die UniFi-Infrastruktur inzwischen seit etwa einem halben Jahr erfolgreich das WLAN bei mir zuhause aufspannt, habe ich mich dazu entschlossen, meine komplette LAN-Infrastruktur hinter das UniFi Security Gateway zu hängen. Da das Security Gateway über kein DSL-Modem verfügt, stand ich vor der Wahl entweder meine FRITZ!Box 7490 als Router zwischen “das Internet” und mein Security Gateway zu hängen oder ein dediziertes DSL-Modem zu verwenden. Beide Varianten haben Vor- und Nachteile. Je nachdem wie weit man bereit ist, sich mit den technischen Herausforderungen auseinanderzusetzen, lassen sich die jeweiligen Nachteile jedoch beseitigen.

tl;dr

Die Nachteile haben in der Regel mit der Network Address Translation (NAT) zu tun. In den meisten Artikeln, die ich im Internet zu dem Thema gefunden habe, wird eine Lösung bevorzugt, bei der das UniFi Security Gateway über ein DSL-Modem oder einen Router, der als DSL-Modem konfiguriert wird, “direkt” mit dem Internet verbunden wird. Vorteil dieses Lösungsansatz ist, dass kein “Doppeltes NAT” – einmal durch den Internet-Router und einmal vom Gateway – durchgeführt wird, sondern es nur einmal vom Security Gateway erledigt wird. Dies ist zum Beispiel dann wichtig, wenn man mit einer Playstation 4, einer anderen Konsole oder einem PC online spielen möchte. Da hier oft direkter Datenaustausch zwischen den Teilnehmer erfolgt oder spezielle Ports freigegeben werden, ist das Spielen mit mehrfacher NAT nur eingeschränkt möglich. Dadurch, dass private IP Adressen, wie sie normalerweise in privaten Netzwerken genutzt werden, nicht im Internet weitergereicht werden, ist NAT am ersten Übergang vom Internet ins eigene LAN notwendig. Die per Default auf dem Security Gateway aktive NAT, lässt sich über die Oberfläche des UniFi Controllers leider nicht deaktivieren. Durch den Einsatz eines DSL-Modems findet NAT nur noch auf dem Security Gateway statt. Zusätzlich wird in einigen Artikeln die höhere Geschwindigkeit von bestimmten DSL-Modems gegenüber der FRITZ !Box aufgeführt. Persönlich hatte ich bisher in noch keinem Fall Probleme damit, dass eine FRITZ!Box aufgrund technischer Unzulänglichkeiten der Engpass bei einer Internetverbindung war. Trotzdem habe ich mich im ersten Versuch dafür entscheiden auf die FRITZ!Box zu verzichten und den DrayTek Vigor130 im (V)DSL-Modem-Modus zum Aufbau der Internetverbindung für mein Security Gateway zu verwenden.

Versuch 1: Security Gateway und Vigor130

Beim Konfigurieren des DrayTek Vigor130 bin ich nach der Anleitung DrayTek Vigor130 als VDSL-Modem einrichten von idomix.de vorgegangen. Er beschreibt ausführlich und gut verständlich die Schritte, die notwendig sind, um den Vigor130 als DSL-Modem für das Security Gateway einzurichten. Ein Teil der Einstellungen ist vom jeweiligen Internetanbieter abhängig. Da ich bei keinem der großen Anbieter bin, konnte ich zum Beispiel zu den VLAN-Einstellungen meines Providers nichts offizielles finden und durfte ausprobieren. Da ich mit fortschreitendem Alter nicht mehr jede Kleinigkeit selbst konfigurieren und ausprobieren möchte, hat mir das weniger gut gefallen…

Was (Sicherheits)updates und Stabilität angeht, habe ich bei AVM ein besseres Gefühl als bei DrayTek. Das ist jedoch nur ein Bauchgefühl, das sich darauf begründet, dass ich mit einer FRITZ!Card meinen ersten Linux-PC zusammengebaut hatte, um über die ISDN Verbindung meiner Eltern mit mehreren Freunden Ultima Online zu spielen. Daher ist die Marke FRITZ! positiv vorbelastet – ein qualifiziertes Auswahlkriterium ist das natürlich nicht.

Versuch 2: UniFi Security Gateway und FRITZ!Box 7490

Bei meinen Test mit dem DrayTek Vigor 130 ist mir wieder bewusst geworden, dass ich meine FRITZ!Box auch als Telefonanlage, Zeitserver, Fax, VPN-Endpoint und Strato-DynDNS-Client verwende. Also hätte ich die Box oder eine entsprechende Alternative zusätzlich zum Vigor130 immer noch hinter oder neben meinem Security Gateway benötigt. Außerdem legt mein Provider im Störfall sehr viel Wert darauf, dass die von ihm vermietete FRITZ!Box mit der richtigen Seriennummer angeschlossen ist. So habe ich mich damit auseinandergesetzt, wie NAT auf dem UniFi Security Gateway deaktiviert werden kann. Überraschender Weise ist es nicht sonderlich kompliziert. Auf dem Dateisystem des UniFi Controller ist hierfür eine Konfigurationsdatei anzulegen, in der FRITZ!Box sind statische Routen zu definieren und nach der manuellen Provisionierung des Security Gateways läuft alles wie erwartet.

config.gateway.json vorbereiten

Der UniFi Controller bietet über eine JSON-Datei die Möglichkeit das Security Gateway über das, was mit der grafischen Oberfläche einstellbar ist, hinaus zu konfigurieren. Hierzu muss die speziell vorbereitete Datei auf dem UniFi Controller unter <unifi_base>/data/sites/site_ID agelegt werden. Bei meinem UniFi Cloud Key habe ich hierfür per SSH im Verzeichnis /srv/unifi/data/sites/default die Datei config.gateway.json mit folgendem Inhalt angelegt:

{
	"service": {
		"nat": {                                       
			"rule": {                   
				"5999": {                        
					"exclude": "''",        
					"outbound-interface": "eth0",
					"type": "masquerade"
				}
			}
		}
	}
}

Die genaue Formatierung der Datei ist wichtig, daher hier als Download.

Die Konfigurationsdatei setzt vor die bereits vorhandenen NAT-Regeln eine zusätzliche Regel, die NAT auf dem WAN-Port (eth0) des Security Gateways deaktiviert.

Nachdem die Datei angepasst wurde, muss die Provisionierung des
Security Gateways im UniFi Controller manuell gestartet werden.

Statische Routen in der FRITZ!Box konfigurieren

Hierzu gibt es eine gute deutsche Beschreibung auf der Seite des Herstellers: Statische IP-Route in FRITZ!Box 7490 einrichten (AVM). Für jedes Subnet, das von der FRITZ!Box aus gesehen “hinter” dem UniFi Security Gateway liegt, muss eine eigene statische Route definiert werden.

Aktivieren der Änderungen im UniFi Security Gateway

Nachdem somit alles vorbereitet ist, können die Änderungen auf das Security Gateway übertragen werden. Hierzu ist in der Weboberfläche des UniFi Controllers ein manuelles Provisionieren für das Security Gateway auszulösen. Das dauert eine Weile und ist mit einem Neustart des Security Gateways verbunden. Sobald das Security Gateway wieder online und in der Weboberfläche des UniFi Controllers integriert ist, ist es geschafft. Das Security Gateway führt keine NAT mehr durch. Der Test mit der PS4 zeigt an, dass die Verbindung zum Internet über ein “Typ-2 NAT” erfolgt. Typ-2 bedeutet für die Playstation 4, dass nur an einer einzigen Stelle zwischen dem Playstation Network und der Konsole NAT durchgeführt wird (von der FRITZ!Box beim Übergang von einem öffentlichen IP-Netz zu meinem privaten).

LAN Infrastruktur vereinfacht, Stand 23.12.2018

Zugriff vom FRITZ!Box Subnet durch das Security Gateway in die anderen Subnets freigeben

Die Kommunikation von den durch das Security Gateway geschützten Netzen über die FRITZ!Box ins Internet und auch der direkte Zugriff auf die FRITZ!Box funktioniert problemlos. Jeder Verkehr, der nicht von einem Netz hinter dem Security Gateway initiert wird, wird von der Firewall des Security Gateways blockiert. Da ich im Subnet der FRITZ!Box (192.168.0.0) keine Endgeräte habe, ist dies auf den ersten Blick kein Problem. Natürlich gibt es immer einen Anwendungsfall, der die Ausnahme bildet. In meinem Fall ist es die VPN-Verbindung, die ich nutze, wenn ich unterwegs bin. Die Verbindung terminiert auf der FRITZ!Box und bekommt die interne IP-Adresse 192.168.0.201. Wenn ich mich per VPN einwähle, möchte ich auf mein komplettes LAN zugreifen, als ob ich zuhause wäre. Dafür habe ich im UniFi Controller unter “Einstellungen->Routing&Firewall->Firewall->IPv4 Regeln->WAN-Eingehend” eine neue Regel definiert:

  • Name: VPN Zugang über fritz.box
  • Aktiviert: EIN
  • Positionierung: vor den vordefinierten Regeln
  • Aktion: Akzeptieren
  • IPv4-Protokoll: Alle
  • Quell-Typ: IP-Adresse (im Beispiel 192.168.0.201, IP ist auf den Wert, den die FRITZ!Box für den jeweiligen VPN-Benutzer anzeigt anzupassen)
  • Ziel-Typ: Netzwerk (im Beispiel das im Gateway definierte “normale” LAN , in der Praxis könnte eine weniger großzügige Freigabe besser sein)

So klappt’s auch wieder mit dem Nachhausetelefonieren.

Persönliches Fazit

Die knapp 100 EUR für den Vigor130 waren im Nachhinein betrachtet für mich eine Fehlinvestition. Die Kombination FRITZ!Box 7490 und UniFi Security Gateway läuft mit wenig Aufwand ohne “Doppeltes NAT” zusammen und die FRITZ!Box bietet mit ihren vielen Features für mich einen deutlichen Mehrwert. Das meiste Kopfzerbrechen hatte mir der SSH-Zugriff auf den UniFi Controller bereitet, der bei mir auf einem UniFi Cloud Key läuft. Hier wird weder der UniFi-Controller-User noch der SSH-Account verwendet, der den direkte Zugriff auf die UniFi WLAN-ACs und LAN-Switche erlaubt. Um das Passwort dieses Benutzers (ubnt) zurück zu setzen, musste ich:

  • Ein aktuelles Backup meines UniFi Controllers erzeugen,
  • meinen UniFi Cloud Key auf den Werkszustand zurück setzen,
  • den Cloud Key neu konfigurieren,
  • das Passwort für den Benutzer ubnt setzen & merken und
  • das Anfangs erstellte Backup wieder einspielen.

Zumindest konnte ich so testen, was im Desaster Recovery Fall zu tun wäre – eigentlich gar nicht so schlimm, ich muss zukünftig nur noch zusehen, dass die automatischen Backups nicht mehr ausschließlich auf dem Cloud Key lagern.

too long; didn’t read

Das UniFi Security Gateway lässt sich problemlos ohne zusätzliche Hardware und ohne NAT-Funktion in ein bestehendes Netzwerk integrieren. Hierfür wird (Details siehe oben):

  • die Datei config.gateway.json vorbereitet,
  • config.gateway.json im Dateisystem des UniFi Controllers abgelegt,
  • die statische(n) Route(n) vom dem Security Gateway vorgelagerten Router/Gateway auf die durch das Security Gateway geschützten Netze eingerichtet,
  • das Security Gateway provisioniert und
  • optional die Firewall des Security Gateway so eingestellt, dass (spezielle) Anfragen aus dem vorgelagerten Netz in den geschützten Bereich zugelassen werden.

39 Gedanken zu „UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne „Doppeltes NAT““

  1. Vielen Dank, für den ausführlichen Beitrag. Genau das, was ich gesucht habe und seitdem ich es bei mir eingerichtet habe, läuft mein Netzwerk wunderbar.
    Gruß Marco

  2. Herzlichen Dank… super tolle Anleitung!

    Kurze Rückfrage:
    Wie verhält es sich mit Portfreigaben?
    z.B. Benötigt die Diskstation die Ports 5000 und 5001. Diese waren bisher in der Fritzbox geforwarded… reicht das aus und funktioniert es eine Subnetz-IP aus dem USG-LAN in der Fritzbox einzutragen?

    Danke.

    VG
    Michael

    1. Hallo Michael,
      um eine Anfrage vom Internet auf ein internes Gerät einzurichten, reicht es in der Fritzbox das Portforwarding zu konfigurieren. Mögliche Probleme: Die Route in der FritzBox ins das Subnet hinter dem USG ist nicht richtig gesetzt; die Firewall im USG verbietet den Aufbau von deinem Fritzbox Netz in das Netz hinter dem USG.
      Ich habe eine ähnliche Konfiguration. Allerdings gebe ich nicht den Port meiner Diskstation ins Internet frei, sondern verwende die VPN Funktionalität der FritzBox um von außen in das FritzBox Subnet zu kommen und dann auf die Geräte hinter der Firewall des USG zuzugreifen.

      Eine weitere Fehlerursache: Manche Internetprovider weisen nur noch private IPv4 Adressen zu. Dann kommst du von “außen” auch nicht an deine FritzBox.

      Hilft dir das weiter?

      Gruß Martin

  3. Hallo Martin,

    endlich bin ich auf einen tollen Artikel gestossen der genau das gelöst zu haben scheint was ich gern möchte, dafür erstmal Vielen Dank für den Artikel.
    Ich hätte aber eine Frage dazu , was für mich ganz wichtig ist bevor ich das ganze umbaue wie du es beschreibst, wie verhält es sich mit dem VPN Tunnel zur Fritzbox , du schreibst man muss die IP Adresse des VP Clients (user) (Quell-Typ: IP-Adresse (im Beispiel 192.168.0.201, IP ist auf den Wert, den die FRITZ!Box für den jeweiligen VPN-Benutzer anzeigt anzupassen)

    Diese Ip Adresse wird ja mit jeder VPN Verbindungsaufbau neu vergeben bzw sobald die Fritzbox eine neue IP Adresse vom Provider bekommt wenn ja wie hast du das Problem gelöst das die Ip Adresse wechseln, ich wüsste nicht wie ich das handeln sollte wenn ich ständig die die Route anpassen müsste auf dem USG

    Vielen Dank

    Gruss

    Georg

    1. Hallo Georg,
      es freut mich, wenn dir der Artikel weitergeholfen hat. Zu deiner Frage: Ja, sobald eine VPN-Verbindung neu aufgebaut wird (zum Beispiel, weil dein Client sich absichtlich getrennt hat oder dein Provider deine Internetverbindung beendet hat) bekommt der jeweilige VPN Client von der FritzBox eine neue interne IP-Adresse zugeordnet. Der erste sich verbindende Client bekommt bei mir immer die 192.168.0.201 (das Subnet kann bei dir abweichen). Im USG musst du für diesen Fall nicht das Routing anpassen sondern eine eingehende Firewall-Regel definieren. Das solltest du im Idealfall nur bei der Inbetriebnahme machen müssen.

      Das Vergeben der VPN-IP-Adressen der FritzBox ist unabhängig von der UniFi-Infrastruktur. Wenn du bereits eine FritzBox im Einsatz hast, kannst du vor der Anschaffung/Installation deiner UniFi-Infrastruktur in Ruhe beobachten, welche IP-Adressen die FritzBox deinen VPN-Clients vergibt (im Idealfall lässt du alle in Frage kommenden VPN-Clients sich auf einmal anmelden). Basierend auf diesen IP-Adressen kannst du später die Firewallregel im USG erstellen.

      Sollte es dir zu umständlich sein, kannst du die Regel aus dem Beitrag auch so anpassen, dass anstelle einer definierten IP (z. B. 192.168.0.201) das komplette Subnet (z. B. 192.168.0.0) zugelassen wird. Abhängig davon wie dein Netzwerk aufgebaut ist, kann das in Ordnung oder ein Sicherheitsproblem sein.

      Nur um sicher zu gehen: Die IP-Adresse des VPN-Clients (im Beispiel 192.168.0.201) ist nicht die externe IP-Adresse, die vom Provider zugewiesen wird. Der VPN-Client spricht die externe IP-Adresse (vom Provider) über einen DynDNS Dienst an und bekommt, im so aufgebauten Tunnel, die interne VPN-IP-Adresse mit der er für das USG sichtbar ist.

      Ich hoffe, ich habe deine Fragen richtig interpretiert – wenn nicht, einfach melden.

      Gruß Martin

  4. Hallo Martin

    Aktuell ist meine fritzbox dhcp Server und verteilt im Range 192.168.1…. die Adressen, wer würden dann dhcp Server spielen für das interne Netzwerk ? Und könnte ich nur die ip Adresse der fritzbox änderen auf 192.168.0… so das meine interne ip Adressen weiterhin in 192.168.1 laufen ?
    Und noch eine Frage 🙂 was passiert mit dem Fritz Telefon ? Wird das direkt dann an die fritzbox angeschlossen und wandert in das neue Netz der fritzbox ?

    Vielen Dank

    Gruß
    Georg

    1. Hallo Georg,
      wenn du eine Infrastruktur wie im Artikel beschrieben aufbaust, hast du zwei interne Subnetze. Eines, für das deine FritzBox zuständig ist und eines, für das das USG zuständig ist.
      Für diese zwei Netze kannst – bzw. musst – du Adressen aus zwei verschiedenen (privaten) Netzen verwenden. Zum Beispiel:

      • Die FritzBox verwaltet das Netz 192.168.1.0/24 (IP von 1-254; 0=Netz; 255=Broadcast)
      • Das UniFi Security Gateway verwaltet das Netz 192.168.34.0/24 (IP von 1-254; 0=Netz; 255=Broadcast)

      Alle Clients im Netz der FritzBox bekommen so Adressen aus dem Netz 192.168.1.0 – auch das USG auf seinem WAN Port. Das USG vergibt an alle Geräte, die in seinem Netz hängen, Adressen aus dem Netz 192.168.34.0. In der FritzBox konfigurierst du eine statische Route in das 34er Netz (über die WAN-IP des USG aus dem 1er Netz). Die USG hat bereits eine Route ins 1er Netz, daher können alle Clients aus dem 34er Netz, über das USG auf das von der FritzBox verwalte Netz zugreifen (die Clients im 34er Netz bekommen vom USG die 34er Adresse des USG als Default-Route mitgeteilt).

      Etwas konkreter zu deinen Fragen:
      Wenn das “Fritz Telefon” per DECT, ISDN oder analog an der FritzBox hängt, musst du nichts machen. Wenn du ein VoIP basiertes Telefon oder die Fritz!Fon-App nutzt, können diese Geräte aus beiden internen Netzen auf die FritzBox zugreifen. Ich habe meine an der FritzBox angemeldeten VoIP Telefone im Netz “hinter” dem USG, du kannst sie aber auch direkt ins Netz der FritzBox hängen.

      IP-Adresse der FritzBox ändern: Wenn ich dich richtig verstehe, willst du die IP deiner FritzBox von 192.168.1.1 auf 192.168.0.1 ändern, dann das USG so einstellen, dass es Adressen aus dem Netz 192.168.1.0 verteilt, damit du deine Clients nicht anpassen musst. Ja, kannst du machen. Wenn deine Clients Ihre Adressen per DHCP bekommen, musst du die Reihenfolge, wann du was umstellst sehr genau überlegen – sonst hast du Durcheinander. Wenn du bisher nur feste IPs für deine Clients verwendet hast, ist es weniger “aufwändig”. Wenn du es bei dir zuhause umstellst, kann es helfen alle Geräte abzuschalten, die Infrastruktur aufzubauen, zu testen und dann jedes Gerät einzubinden und zu prüfen.

      Anmerkung zu privaten IP-Adressen. Die FritzBox verwendet 192.168.178.0 als Gäste Netzwerk, dass solltest du nicht im USG definieren. Wenn du VPNs zwischen verschiedenen Standorten aufbauen möchtest, solltest du auch drauf achten, dass sich die Subnetze unterscheiden.

      Ich hoffe, es ist nicht zu umständlich beschrieben. Wenn doch, einfach fragen.

      Gruß Martin

      1. Hallo Martin,

        Ich habe die gleiche Infrastruktur (Fritzbox -> USG -> Switch -> APs) und ein Problem mit VOIP:

        Ich habe die Fritz!Fon-App auf meinem Handy eingerichtet und auf einem PC eine weitere VOIP-Software. Raustelefonieren funktioniert problemlos, aber sobald ein Anruf hereinkommt, klingeln lediglich die an meiner Fritzbox angeschlossenen Analogtelefone, aber am Handy und PC tut sich nichts. Wenn ich die beiden Geräte direkt mit der Fritzbox verbinde, funktioniert alles problemlos. Das NAT auf meinem USG ist deaktiviert. Mit den Portfreigaben habe ich auch schon experimentiert, leider ohne Erfolg.

        Gibt es irgendwelche Einstellungen, die man tätigen muss, um das zum Laufen zu bringen?

        Vielen Dank.

        Gruß Jakob

        1. Hallo Jakob,

          das eingehende Anrufe bei deinen analogen Telefonen signalisiert werden, ist schon mal ein gutes Zeichen – so bist du zur Lösung nicht auf deinen Telefonieanbieter angewiesen.
          Ich habe bei meiner Installation – neben direkt an der FritzBox angemeldeten DECT-Telefonen – diese VoIP Geräte/Software im Einsatz:

          • Fritz!Fon-App (iOS),
          • Siemens Gigaset Maxwell 3 und
          • media5-fone (iOS, Hinweis vom Hersteller: Media5 wird Sommer 2018 eingestellt).

          In deiner Frage hast du die statische Route von der FritzBox in das Netz “hinter” dem USG nicht erwähnt. Hast du eine konfiguriert?

          Für jedes VoIP-Telefon habe ich auf der FritzBox ein eigenes Telefoniegerät angelegt, in der FritzBox eingestellt, auf welche eingehenden Nummern das Telefoniegerät reagieren soll und mit welcher Nummer ausgehende Gespräche von dem jeweiligen Gerät geführt werden sollen. Der Benutzer für die Fritz!Fon-App (iOS) wurde von der App angelegt. Firewallregeln oder Portweiterleitungen auf der USG habe ich für VoIP keine konfiguriert.

          Eingehende Anrufe werden auf den konfigurierten Endgeräten signalisiert. Die Software auf iOS muss laufen, damit die Anrufe signalisiert werden. Bei der Fritz!Fon-App gibt es bei den Einstellungen die Option “Auf Anrufe reagieren”, die Option muss aktiv sein. Sowohl die Soft- als auch das Hardware VoIP Telefon sind bei mir in IP-Netzten “hinter” dem USG.

          Vielleicht ist eine der Optionen ja für dich die richtige.

          Gruß

          Martin

          1. Hallo Martin,

            ich habe für das IP-Netzwerk, das hinter dem USG liegt, eine statische Route in der Fritzbox eingerichtet. Dann habe ich am USG eine Route in das IP-Netzwerk der Fritzbox eingerichtet.
            Das hat aber noch nicht genügt. Ich musste noch eine Portfreigabe für den lokalen SIP Port, der in den Einstellungen der VOIP-Software auf meinem Rechner angezeigt wird, einrichten. Nun klingelt auch bei einkommenden Anrufen das Telefon.
            Allerdings stehe ich jetzt vor einem weiteren Problem: Man hört keinen Ton.
            Die Telefoniegeräte sind in der Fritzbox korrekt eingerichtet und funktionieren auch einwandfrei, solange sie sich nicht in einem Netz hinter dem USG befinden. Ich muss wohl die nötigen Ports am USG freischalten. Allerdings weiß ich nicht, welche das sind.

            Vielen Dank.

            Gruß Jakob

          2. Hallo Jakob,
            das klingt für mich als wäre NAT auf dem USG noch aktiv. Auf dem USG brauchst du, nachdem NAT deaktiviert ist, keine statische Route in das Netz der FritzBox zu konfigurieren (die USG hat eine Route in das Netz, da es eine IP-Adresse aus diesem Netz auf dem WAN-Interface hat). Wenn NAT deaktiviert ist, musst du auch keine Ports am USG freischalten/weiterleiten.
            Nachdem du auf dem UniFi Cloud Key im Verzeichnis /srv/unifi/data/sites/default die Datei config.gateway.json angepasst hast, muss du eine Provisionierung des USG manuell auslösen, damit die Firewallregel zum deaktivieren des NAT aktiv wird – eventuell fehlt dieser Schritt? Ich werde ihn im Artikel ergänzen.

            Gruß Martin

  5. Hallo Martin,

    Erstmal Danke für die ausführliche Beschreibung.
    Ich bin in Sachen Unifi noch ein Anfänger.
    In meiner Konstellation funktioniert der Internetzugriff über die FB leider nicht.
    Hänge ich die FB hinter das USG dann funktioniert alles. ( das USG wird ja quasi umgangen)
    Meine FB hat die IP 192.168.1.2/24 DHCP ist eingeschaltet. Das USG hat ja Standard 192.168.1.1 dies lässt sich ja nicht abändern, soviel ich weiß. Wenn ich alles richtig verstanden habe, dann hat der WAN am USG ja auch eine andere IP und zwar die zugewiesene von der FB. Welche Route muss ich nun in der FB eintragen?

    1. Hallo Maik,
      ich fürchte, ich habe nicht nur Antworten für dich.

      Erst mal zu den Antworten.
      Deine FritzBox hat “die IP 192.168.1.2/24 DHCP ist eingeschaltet”, bezieht sich auf die “LAN” Ports. Am “WAN” (DSL) Port hast du die IP deines Providers. Bzw., wenn du den WAN/DSL-Port deiner FritzBox mit dem USG verbunden hast bekommst du eine IP aus dem DHCP Range des USG. Das ist aus meiner Sicht auch schon die erste Stelle, die du anpassen solltest. Du solltest entweder deine FritzBox oder dein USG für ein anderes IP-Subnetz konfigurieren. Sowohl die IP der FritzBox als auch des USG lassen sich in andere Subnetze konfigurieren. Warum ist das wichtig: Wenn das USG mit seinem WAN-Port an einem LAN-Port der FritzBox (192.168.1.0/24) hängt und “alle deine Clients” hinter dem USG an dessen LAN-Port (192.168.1.0/24) hängen, steht das USG vor einem Dilemma. Wenn es Pakte in das Subnetz (192.168.1.0/24) schicken will, weiß es nicht auf welchem Interface (LAN oder WAN) die Pakete raus sollen. Als “Router” verbinden das USG und auch die FritzBox jeweils verschiedene Subnetze. Wenn du gleiche Subnetze verbinden wolltest, würdest du einen Switch/Hub verwenden.

      Was mir nicht ganz klar ist, ist wie “alles funktioniert”, wenn die FritzBox “hinter” dem USG ist. Ich stelle mir das so vor: DLS -> WAN PORT USG (kein internes Modem, sollte nicht gehen) -> LAN Port USG -> DSL/WAN-Port FritzBox (gleiches SubNetz am DSL/WAN-Port & LAN-Port der FritzBox; kein Routing möglich). Hier muss ich dich entweder falsch verstanden haben oder ich übersehe ein Detail. Wenn du das USG “vor” der FriitzBox installierst, brauchst du zusätzlich ein Modem (DSL, Kabel, …).

      Zum Abschluss noch eine Antwort.
      Welche Route muss du in die FritzBox eintragen: Wenn USG & FritzBox in verschiedenen Subnetzen sind und NAT auf dem USG deaktiviert ist, musst du in der FritzBox eine Route in das Netz hinter dem USG mit der IP, die das USG im SubNetz der FritzBox hat konfigurieren.
      Zum Beispiel:

      • FritzBox LAN-IP: 192.168.34.1
      • FritzBox LAN-Subnet: 192.168.34.0/24
      • USG WAN-IP: 192.168.34.250 (von der FritzBox bekommen oder fest eingestellt)
      • USG WAN-Subnet: 192.168.34.0/24 (Netz der FritzBox)
      • USG LAN-IP: 192.168.1.1
      • USG LAN-Subnet: 192.168.1.0/24
      • Route auf der Fritzbox: Alle Pakete für das Netz “192.168.1.0/24” (USG LAN-Subnet) an die IP “192.168.34.250” (USG WAN-IP) schicken.

      Wenn USG & FritzBox in verschiedenen Subnetzen sind und NAT auf dem USG aktiviert ist, musst du in der FritzBox keine Route eintragen. Hast dann aber “Doppeltes NAT”.

      Entschuldige die umständliche Beschreibung, ich hoffe du kannst etwas für dich darin finden.

      Gruß
      Martin

  6. Hallo

    danke für die Erklärung. Noch eine kurze Frage zur Verkablung. Du hast am WAN der Fritzbox das DSL dran und an einem LAN Port das USG. Das USG hängt am WAN port mit der Fritzbox zusammen und am LAN Port hängt der Uplink zu den Clients dahinter. Richtig?

    Vg
    Markus

    1. Hallo Markus,
      ja.

      Hier die genauen Bezeichnungen der Ports:

      • FritzBox 7490 “DSL/TEL” -> TAE Dose/DSL-Anschluss
      • FritzBox 7490 “LAN 1” -> USG “WAN 1”
      • USG “WAN 1” -> FritzBox 7490 “LAN 1”
      • USG “LAN 1” -> Switch (UniFi Switch 24 POE-250W) mit restlicher Infrastrukur, mehrere VLANs…

      Gruß
      Martin

  7. Hallo Herr Ziegler, vielen Dank für die ausführliche Anleitung! Ich habe einen Unitymedia Anschluss, den ich genau wie beschrieben betreiben möchte. Allerdings möchte ich am WAN Port 2 einen Vodafone DSL Anschluss parallel betreiben, einmal zur Bündelung aber auch als gegenseitiges Backup, falls eine Verbindung mal ausfällt. Ich nehme an, in diese, Fall muss das Gateway NAT übernehmen, oder? Vielen Dank für Ihre Antwort!

    1. Hallo,

      das ist eine spannende Frage. Da ich selbst nur einen DSL Anschluss habe, kann ich es nicht direkt testen. Vom Vorgehen her, würde ich in den Einstellungen des UniFi Controllers unter “Netzwerk” ein “Neues Netzwerk erstellen” und so konfigurieren:

      • Verwendung: WAN
      • Netzwerk Gruppe: WAN2
      • Lastverteilung: Nur Failover
      • Statusänderung der Schnittstelle melden: Ja

      In der Grundkonfiguration würde ich erwarten, dass das USG einen Ping auf einen Server im Internet über WAN1 laufen hat, schlägt dieser fehl, schaltet es automatisch auf WAN2 um (und auch wieder zurück). Wenn diese Konfiguration erfolgreich läuft, würde ich im nächsten Schritt versuchen NAT zu deaktivieren (wenn Sie das benötigen). Sollte auch das funktionieren, würde ich versuchen, die Einstellung für die Lastverteilung auf “Gewichtetes Load-Balancing” zu ändern.

      Bevor Sie einen DSL-Vertrag abschließen, könnten Sie einen UMTS/LTE Router (mit LAN Port) mit Ihrer Handykarte zum Testen verwenden.

      Leider alles ohne Gewähr, aufgrund mangelnder Möglichkeit zum Testen (habe kein UMTS/LTE Modem mit LAN Anschluss greifbar). Wenn Sie den Test wagen, wäre ich sehr am Ergebnis interessiert.

      Gruß

      Martin Ziegler

      1. Vielen Dank auch für die Antwort! Vodafone wird am 26.06.2019 geschaltet, danach kann und werde ich alle Möglichkeiten testen und gerne nochmal antworten.

  8. Hallo Martin,
    genau eine solche Lösung habe ich gesucht, vielen Dank!!

    Kurze Frage: Wie verhält es sich bei einem Software/Firmware Update? Müssen die Modifikationen der Config Datei dann wiederholt werden, oder wird diese bei einem Update nicht überschrieben?

    Solltest du das schon geschrieben und ich überlesen haben, bitte ich um Entschuldigung 😉

    Danke, beste Grüße
    Tobi

    1. Hallo Tobias,
      die Lösung übersteht Updates an der Geräte-Firmware des UniFi Security Gateway und Updates des UniFi Controller ohne manuelle Nacharbeiten. Die editierte Datei config.gateway.jso ist Bestandteil der “normalen” Konfiguration des UniFi Controllers. Nur die geänderten Optionen sind (noch) nicht über das Webinterface änderbar.

      Gruß

      Martin

  9. Hallo Martin,
    vielen Dank für die Anleitung, doch leider weiß ich nicht, ob das mit der Datei geklappt hat. Hier wäre auch mein erster Hinweis, denn die Datei wird als*.txt gespeichert sobald man diese runterläd. Somit muss diese dann noch an die Dateiendung angepasst werden.

    Gibt es eine Möglichkeit die Funktionalität zu testen? Ich bin mir nicht sicher ob alles geklappt hat. Wenn ich bei meiner Xbox one X den Nat Typ feststellen möchte springt dieser immer zwischen “moderat” und “offen” hin und her. Übrigens ist dies unabhängig ob die josn Datei sich auf dem Cloud Key befindet oder eben nicht.
    Weiterhin ist mir aufgefallen das ich keine Möglichkeit mehr habe meinen Vorwerk VR 200 Staubsaugroboter ans Wlan zu bringen (hier wird ein AddHoc WLAN zur Konfiguration aufgemacht und anschließend versucht die Verbindung mit dem “richtigen” Wlan aufzubauen).

    Kurz um, ich weiß nicht ob die Datei auf dem Cloud Key und die anschließende Provisierung überhaupt ein Effekt hat…

    Auch der versuch in der CMD mit “tracert 8.8.8.8” zeigt mir zuerst die IP meiner Firtz Box (192.168.5.1) und anschließend die IP des USG (192.168.1.1). Somit ist dies ja eigentlch schon falsch da der zweite Sprung schon die WAN Adresse sein sollte, oder?

    Viele Grüße und vielleicht hast du ein Tipp für mich,
    Chrisitan

    1. Hallo Christian,

      vielen Dank für deine Anmerkungen und Fragen.

      Json wird als TXT gespeichert: Per Default ist der Upload von json-Dateien bei WordPress nicht erlaubt. Als ich den Artikel geschrieben habe, war ich wohl etwas faul und habe die Datei in *.txt umbenannt. Ich habe die Datei erneut mit der richtigen Endung hochgeladen. Danke für den Hinweis.

      Dein tracert-Ergebnis deutet darauf hin, dass etwas nicht stimmt. So sieht’s bei mir aus:
      tracert 8.8.8.8
      Routenverfolgung zu dns.google [8.8.8.8]
      über maximal 30 Hops:
      1 1 ms 1 ms 1 ms UnifiGateway [192.168.1.1]
      2 1 ms 1 ms 1 ms fritz.box [192.168.0.1]
      3 8 ms 9 ms 9 ms #anderer Hop
      4 8 ms 8 ms 8 ms #anderer Hop
      5 10 ms 8 ms 9 ms #anderer Hop
      6 9 ms 8 ms 8 ms #anderer Hop
      7 9 ms 8 ms 8 ms #anderer Hop
      8 8 ms 8 ms 8 ms #anderer Hop
      9 8 ms 8 ms 8 ms dns.google [8.8.8.8]

      Erst kommt das USG, dann die FritzBox. Wie hast du deine Installation verkabelt?

      • FritzBox 7490 “DSL/TEL” -> TAE Dose/DSL-Anschluss
      • FritzBox 7490 “LAN 1” -> USG “WAN 1”
      • USG “WAN 1” -> FritzBox 7490 “LAN 1”
      • USG “LAN 1” -> Deine restliche Infrastruktur

      Wichtig ist, dass die FritzBox nicht zusätzlich an dem Switch “hinter” deinem USG hängt und das die FritzBox kein eigenes WLAN aufspannt (wenn du alles über UniFi Accesspoints machst). Alle Endgeräte bekommen IPs aus Subnetzen des USG (nicht von der FritzBox).

      Wenn du prüfen willst, ob die Regel 5999 aus der json-Datei auf dem USG aktiv ist, kannst du dich per SSH am USG anmelden und mit diesem Befehl den Status von iptables anschauen:
      sudo iptables -t nat -L -n -v
      Beim Output sollte eine Zeile mit NAT-5999 dabei sein:
      ...
      Chain POSTROUTING (policy ACCEPT 808K packets, 62M bytes)
      pkts bytes target prot opt in out source destination
      808K 62M UBNT_VPN_IPSEC_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M MINIUPNPD-POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M UBNT_PFOR_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      739K 57M RETURN all -- * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
      69080 4630K VYATTA_PRE_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      ...

      Das dein Staubsauger aktuell die Arbeit verweigert, stufe ich als Folgeproblem ein.

      Ich hoffe, es ist etwas dabei, was dir weiterhilft. Ansonsten einfach nachfragen.

      Gruß

      Martin

      1. Hallo Martin,
        danke für deine ausführliche Antwort. Bei mein tracert-Ergebnis sind die beiden ersten Punkte wie deine, hatte dies nur fälschlicherweise anders rum geschrieben. Ich dachte es dürfte erst gar keinen zweiten “Sprung” im eigenen Netz geben, weil dies unweigerlich zu einem doppelten NAT führt. Zumindest habe ich es in einem Forum so gelesen.

        Auch die Regel für Port 5999 ist bei mir via SSH Aufruf ersichtlich:

        314 22755 RETURN all — * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
        0 0 MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
        0 0 MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
        0 0 MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
        65 4175 VYATTA_PRE_SNAT_HOOK all — * * 0.0.0.0/0 0 .0.0.0/0

        Wieso mein Roboter dann noch Probleme hat muss dann an etwas anderem liegen.

        Grüße
        Christian

        1. Hallo Christian,
          jeder “Sprung” zeigt an, dass du in ein neues IP-Netz kommst. NAT/Masquerading kann genutzt werden um alle IP-Adressen eines Netzes hinter einer einzigen “zu verstecken”. Wenn du zum Beispiel eine FritzBox (oder irgendeinen anderen Router) verwendest, um ins Internet zu gehen, “maskiert” dieser sämtliche Anfragen aus deinem privaten Netz mit der öffentlichen IP Adresse am “DSL-Port” deiner FritzBox. Egal ob dein Staubsauger oder deine Xbox eine Anfrage ins Internet stellt, es sieht dort immer so aus, als würde die Anfrage von der IP deiner FritzBox kommen.
          Wenn dein USG auch NAT macht passiert folgendes:
          Wenn die FritzBox IPs aus dem Subnetz 192.168.5.0 vergibt und dein USG aus dem Subnetz 192.168.1.0 (auf dem LAN-Port) und die IP 192.168.5.200 (per DHPC von der FritzBox auf dem WAN Port des USG) bekommt, hat deine XBOX “hinter” dem USG zum Beispiel die Adresse 192.168.1.23. Da das USG NAT aktiv hat, kommen Anfragen von der XBOX bei der Fritzbox mit der IP des USG im Netz der FritzBox an (192.168.5.200) – ohne NAT auf dem USG würde die FritzBox die echte IP Adresse 192.168.1.23 der XBOX sehen. Da private IP Adressen nicht im Internet geroutet werden dürfen, muss der Router an der Schnittstelle von deinem privaten zum öffentlichen Netz NAT/Masquerading durchführen. Alle Router zwischen deinen privaten Netzen (zum Beispiel dein USG) können normal zwischen den Netzen routen und brauchen kein NAT/Masquerading.
          Einige Provider oder Anschlüsse mit DSL-Light vergeben auch am WAN-Port deines Routers (FritzBox) IPv4 Adressen aus privaten, nicht im Internet gerouteten Bereichen. Hier hättest du schon 2x NAT (Provider, FritzBox) und bekommst eventuell noch eine dritte Stufe (USG) dazu. An DSL-Light Anschlüssen kannst du, soweit ich weiß, nichts dagegen machen. Manche Provider (zum Beispiel Inexio) bieten “echte IPv4-Adressen” gegen einen monatlichen Aufpreis an.

          Ich hoffe das ist ohne Bild einigermaßen vorstellbar…

          Ist der NAT-Status deiner XBOX inzwischen stabil? Hast du neben IPv4 auch IPv6 aktiv? Dort hast du die Routing-Probleme normalerweise nicht. Hast du UPnP-Portfreigaben für die IP deiner XBOX auf der FritzBox erlaubt?

          Gruß

          Martin

          1. Hallo Martin,
            danke für deine ausführliche Erklärung. Der Nat Status meiner Xbox ist für mich die einzige Möglichkeit um die Funktionalität des json Datei zu testen, unabhängig von der Abfrage via SSH. Wenn die Sprünge via tracert bei dir genau so sind wie bei mir und die Regel 5999 auf dem USG auftaucht wird es wohl funktionieren.

            Bezüglich UPnP:
            Ich habe auf der FritzBox aktuell nur einen Teilnehmer, nämlich den USG. Somit kann ich doch nur für diesen Teilnehmer (was letztendlich dann meinem kompletten nachgelagerten LAN entspricht) die UPnP Freigabe erteilen, oder sehe ich das flasch?

            Generell müsste ich dann doch zusätzlich noch eine Freigabe auf dem USG definieren, da diese ja nur als Firewall dient oder liege ich hier abermals falsch?

            Viele Grüße und besten Dank.
            Christian

          2. Hallo Christian,
            in der Fritzbox werden bei den Freigaben leider nur die Geräte angezeigt, die direkt im IP-Netz der FritzBox sind. Du kannst aber durchaus mit “IP-Adresse manuell eingeben…” auch IPs “hinter” dem USG konfigurieren (solange NAT im USG deaktiviert ist). So kannst du es deiner XBox One erlauben Portfreigaben in der FritzBox einzurichten. Dafür sollte deine Xbox vom USG immer die selbe IP-Adresse bekommen.
            Zusätzlich darf die Firewall in deinem USG, wie du richtig angemerkt hast, eingehenden Verkehr zum Netz hinter dem USG natürlich nicht filtern – bzw. du muss es mit einer “WAN eingehend” Regel aktiv erlauben (allen eingehenden Verkehr zur IP deiner Xbox erlauben; optional mit Einschränkung auf bestimmte Ports).

            Gruß

            Martin

          3. Hallo Martin,
            kleiner Nachtrag:
            Aktuell habe ich nur eine statische Route von der FirtzBox auf das USG eingetragen:
            Netzwerk Subnetzmaske Gateway
            192.168.1.0 255.255.255.0 192.168.5.21

            Auf dem USG habe ich nur eine Firewallregel für VPN hinterlegt. Muss hier auch eine statische Route eingetragen werden Richtung FritzBox und wenn ja, wie?

            Grüße

          4. Hallo Christian,
            du brauchst für das Fritz-Box VPN im USG keine Route “zurück” einzurichten. VPN-Clients bekommen von der FritzBox IP-Adressen “nach” deinem DHCP Bereich. Zum Beispiel: Deine FritzBox vergibt per DHCP die IP Adressen 192.168.5.20-192.168.5.200, dann bekommt dein erster VPN-Client die 192.168.5.201. Da dein USG am WAN-Interface eine IP-Adresse aus dem Subnetz 192.168.5.0 hat, kennt es dadurch auch eine “Route” in dieses Netz.

            In der Firewall des USG muss du nur, wie du bereits beschrieben hast, eingehenden Verkehr für “WAN eingehend” von deiner VPN-IP auf bestimmte Server oder alle Netzte hinter deinem USG erlauben.

            Gruß

            Martin

  10. Hallo Martin,

    vielen Dank für die tolle Anleitung.

    Ich würde das NAT auf der USG auch gerne ausschalten und verschiedene Szenarien ausprobieren. Mein UniFi-Controller läuft allerdings auf Windows, da ich keinen Cloud-Key habe. Alternativ könnte ich die Controller-Software auch auf meiner Synology im Docker laufen lassen.

    Könntest Du vielleicht bei der Pfad-Angabe behilflich sein, wo die “config.gateway.json” bei Windows und/oder Docker hingehört? Oder geht das Abschalten über den Weg nur in Verbindung mit einem Cloud-Key?

    Danke und Gruß
    Rainer

    1. Hallo Rainer,
      der CloudKey ist keine Voraussetzung für die Änderungen. Unter Windows findest du deinen unifi_base-Pfad indem du %userprofile%/Ubiquiti UniFi in die Adressleiste deines Windows-Datei-Explorers kopierst. Wenn du unter Linux unsicher bist, kannst du schauen ob es ein Verzeichnis /srv/unifi oder /lib/unifi gibt. Alternativ kannst du dein ganzes Dateisystem durchsuchen
      find / -name unifi.

      Hier die englische Hilfe-Seite von Ubiquiti : UniFi – Where is <unifi_base>?

      Gruß
      Martin

      P.S. Der CloudKey (Gen 1) ist “nur” ein kleiner Server mit ARMv7 Processor und 2 GB RAM auf Basis Debian 8 (jessie) – alle Features für das UniFi Netzwerk werden über die Manager-Software gesteuert.

  11. Hallo Martin,

    vielen Dank für Deine Hilfe.

    Ich habe die “config.gateway.json” in das Verzeichnis

    %userprofile%\Ubiquiti UniFi\data\sites\site_ID

    eingefügt und in der Controler-Software über

    Geräte-USG-Konfiguraton-Geräte verwalten-Provisionierung erzwingen

    die Provisionierung manuell durchgeführt. Den letzten Ordner “site_ID” musste ich händisch anlegen.

    Als Ergebnis eines tracert erhalte ich folgendes Ergebnis:

    Routenverfolgung zu dns.google [8.8.4.4]
    über maximal 30 Hops:
    1 <1 ms <1 ms <1 ms USG [192.168.1.1]
    2 1 ms 1 ms 1 ms fritz.box [192.168.6.1]
    3 23 ms 22 ms 22 ms #anderer Hop
    4 22 ms 22 ms 32 ms #anderer Hop
    5 29 ms 30 ms 29 ms #anderer Hop
    6 30 ms 30 ms 29 ms #anderer Hop
    7 29 ms 29 ms 30 ms #anderer Hop
    8 31 ms 31 ms 31 ms #anderer Hop
    9 31 ms 30 ms 30 ms dns.google [8.8.4.4]

    Das Ergebnis sieht für mich erstmal gut aus. Ist damit auch schon sicher das NAT in der USG deaktiviert oder gibt es dafür noch einen andere Testmöglichkeit?

    Danke und Gruß
    Rainer

    1. Hallo Rainer,

      ich bin mir nicht sicher, ob ich dich richtig verstehe. site_ID ist als Platzhalter für die Bezeichnung deiner Site/Zone zu verstehen. Die erste Site/Zone heißt default, weitere haben kryptische Namen. Wenn es in deinem Ordner sites keine Unterordner gibt und du selbst einen neuen manuell angelegt hast, bist du an der falschen Stelle gelandet.

      Wenn du prüfen willst, ob die Regel 5999 aus der json-Datei auf dem USG aktiv ist, kannst du dich per SSH am USG anmelden und mit diesem Befehl den Status von iptables anschauen:
      sudo iptables -t nat -L -n -v
      Beim Output sollte eine Zeile mit NAT-5999 dabei sein:
      ...
      Chain POSTROUTING (policy ACCEPT 808K packets, 62M bytes)
      pkts bytes target prot opt in out source destination
      808K 62M UBNT_VPN_IPSEC_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M MINIUPNPD-POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M UBNT_PFOR_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      739K 57M RETURN all -- * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
      69080 4630K VYATTA_PRE_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      ...

      Gruß

      Martin

  12. Wieso habt ihr nicht einfach in der Fritzbox PPPoE-Passthrough aktiviert und die PPPOE Einwahl von der USG machen lassen…kein Doppeltes NAT und die Security Features sowie die volle Firewall Leistung der USG bleiben erhalten. Des weiteren funktioniert die Telefonie an der FB weiterhin. Ist nur ein Knopfdruck in der FritzBox und fertig 🙂 Wozu kauft man sich denn ein SecurityGateway wenn man doch bei der schnöden FritzBox bleibt? Da kann die USG auch gleich weg bleiben…ich betreibe meine FB nur als Modem und für die Telefonie…die pppoe Einwahl erfolgt über die USG-4-Pro. Somit bleiben alle Funktionen wie VPN / IPS usw. erhalten…die Routing-Tabellen im Netz funktionieren problemlos. Selbst IPTV ist mittels VLAN Tagging via WAN2 möglich.

    Wer hier noch weiter gehen will kann ein 2. LAN Kabel aus dem Unifi Subnet zurück zur FB führen und versuchen sie als SIP Trunk einzurichten, dann könnte man den EDU SIP in der USG aktivieren und seine Telefone auch ins Netz der USG hauen…Vorausgesetzt man hat richtige VoIP Geräte und keine DECT Telefone.

    Sollte die FB aufgrund der neuen Firmware kein PPPoE-Passthrough mehr unterstützen, hilft nur eine alte Firmware oder wieder der DrayTek als Modem und die FB hinter die USG. Einwahl dann auf DHCP stellen und ein Portforwarding ggf. mittels VLAN Tagging in der USG den weg für die SIP Einwahl der FB einrichten damit die TelefonAnlage weiterhin läuft. (nur Theorie habe ich selbst noch nicht versucht sollte aber funktionieren schließlich hat die USG ja 2 WAN Ports und das Modem meist ebenfalls mehr als einen falls ein eigenes VLAN für die Einwahl benötigt wird. Einige Provider machen das ja auch über öffentliche SIP Server die auch hinter einem NAT von der Fritzbox erreicht werden können)

    Gruß

    Hardy

    Ubiquiti Enterprise Admin

    1. Hallo Hardy,
      PPPoE ist auch eine gute Option. Das schöne bei IT ist, dass es verschiedene Ansätze gibt. Ich persönlich finde es einfacher jedes Gerät für sich zu betrachten und ganz “normal” zwischen den Netzen zu routen (deaktiviertes NAT auf dem USG). Auch hier stehen alle Vorteile der USG zum Schutz der Netze “hinter” der USG und zur Analyse der Daten zur Verfügung. Nur weil ich es einfacher finde, sagt das natürlich noch nichts darüber aus, ob es für andere auch die richtige Lösung ist.

      Eine alte Firmware für die FritzBox würde ich generell nicht empfehlen. Da die Option Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen) bei der FritzBox 7490 v7.11 zur Auswahl steht, gibt es dafür – Stand heute – keinen Grund. Das Risiko sehe ich eher beim Provider: Telekom: Parallele Verbindungen am DSL-Anschluss.

      Mit welchen Provider hast du bisher mit der PPPoE-Lösung gute Erfahrung sammeln können? Eventuell hilft das dem einen oder anderen zu entscheiden welche Lösung die passende ist.

      Gruß

      Martin

      1. Hi Martin,

        Ich finde ja nicht schlecht was ihr da macht. Wenn man damit aber täglich zu tun hat und auch mit Endkunden Erfahrungen sammelt, sind die einfachen Wege meist die besseren.

        Die Firmware der fritzbox spielt in meinem Beispiel keine Rolle da sie physisch nicht mit dem Internet verbunden ist. Die dhcp Funktion und auch die pppoe Einwahl der fritzbox sind deaktiviert. Nur die USG ist eingewählt.

        Mir stellt sich hier nur die Frage, wieso will ich denn zwischen beiden Netzen sauber Routen? Was hängt denn an der fritzbox denn dran? Oder was muss ich dort noch erreichen? Sie ist ja faktisch gesehen, nur noch ein modem mit tk Anlage. Wenn dein provider aber unbedingt eine internet Verbindung für die Telefonie braucht, kann sie auch hinter der usg hängen. Dann einfach die Einwahl von pppoe auf dhcp stellen und die notwendigen ports für die Telefonie für die fritzbox weiterleiten.

        Weil einfach, einfach, einfach ist 🙂

        Somit richte ich nur noch eine Freigabe für ein Gerät ein und muss nicht das gesamte NAT für alle clients umstricken.

        Ftth macht es möglich. Gute Erfahrungen habe ich mit 1&1 Versatel VDSL sowie Ftth der TCOM.

  13. Hallo Martin,

    ich dachte fälschlicherweise, dass „site_ID“ ein erforderliches Verzeichnis ist und hatte es daher manuell erstellt. Das Verzeichnis „default“ (bei mir derzeit einzige Site) existiert natürlich.

    Die “config.gateway.json” in „default“ – provisioniert – und NAT ist bei mir deaktiviert.
    Iptables mit SSH geprüft und die Zeile mit NAT-5999 ist vorhanden. Funktioniert wunderbar.
    Gegenprobe durchgeführt “config.gateway.json” aus default-Verzeichnis gelöscht – provisioniert – und NAT ist wieder aktiv, keine NAT-5999 Zeile mehr in den iptables vorhanden.

    Sorry für die doppelte Frage nach Funktionstest – hattest Du schon ein paar Kommentare weiter oben erklärt.

    Gruß
    Rainer

    1. Hallo Rainer,

      kein Problem, du kannst gerne Fragen. Aufgrund der verschiedenen Kommentare kann es recht schwer sein, die passende Antwort zu finden. Da die meisten Kommentare recht aktuell sind, erinnere ich mich noch an das was ich geschrieben habe und durch das Wiederholen von hilfreichen Antworten, finden andere Leser hoffentlich schneller was sie benötigen.

      Noch eine Anmerkung zum Test mit tracert: hier habe ich mit Christian getestet, ob die Reihenfolge der Hops stimmt. Aus dem Test kannst du jedoch nicht schließen ob NAT deaktiviert ist. Dafür müsstest du aus dem Netz deiner FritzBox auf einen Rechner “hinter” der USG pingen/prüfen. Das funktioniert jedoch erst, wenn du die Firewall im USG entsprechend öffnest. Da hier zwei potentielle Fehlerquellen dazu führen können, dass es unter Umständen nicht wie erwartet funktioniert (NAT ist noch aktiv oder die USG Firewall blockiert), teste ich lieber mit iptables auf dem USG.

      Gruß

      Martin

  14. Hallo Martin,

    danke für die Erklärungen.

    Ich teste gerade verschiedene Wege ein klassisches Heimnetzwerk (eine FB 7490 mit ein paar Clients, Drucker und WLAN, DECT) auf Komponenten von UniFi/Draytek umzustellen, beziehungsweise zu erweitern.

    Dabei ist mir der Weg mit Draytek Vigor 165, Unifi USG, UniFi-Switch, UniFi AP in den Sinn gekommen. Grundsätzlich funktioniert das auch, aber nicht gerade trivial. Bei ein paar Punkten bin ich auch nicht glücklich. Dazu zählen DDNS, hier kann man im UniFi-Controller nur aus wenigen Providern auswählen und keine benutzerdefinierten Eingaben vornehmen. Dann Probleme bei VPN. Ich möchte eine dauerhafte VPN-Verbindung zwischen zwei Netzwerken (Standorte) einrichten, die bisher über Fritz-Boxen realisiert wird. Das habe ich nicht hinbekommen. Das Thema Port-Weiterleitung habe ich erst gar nicht mehr ausprobiert.

    Aufgrund der genannten Probleme habe ich mir überlegt, die FB vorgeschaltet zu lassen und dahinter nur die UniFi-Komponenten einzurichten. So bin ich bei der Suche, wie man das NAT auf der USG deaktivieren kann, auf Deine Seite gestoßen… 🙂

    Gruß
    Rainer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.