UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne „Doppeltes NAT“

Nachdem die UniFi-Infrastruktur inzwischen seit etwa einem halben Jahr erfolgreich das WLAN bei mir zuhause aufspannt, habe ich mich dazu entschlossen, meine komplette LAN-Infrastruktur hinter das UniFi Security Gateway zu hängen. Da das Security Gateway über kein DSL-Modem verfügt, stand ich vor der Wahl entweder meine FRITZ!Box 7490 als Router zwischen “das Internet” und mein Security Gateway zu hängen oder ein dediziertes DSL-Modem zu verwenden. Beide Varianten haben Vor- und Nachteile. Je nachdem wie weit man bereit ist, sich mit den technischen Herausforderungen auseinanderzusetzen, lassen sich die jeweiligen Nachteile jedoch beseitigen.

tl;dr

Die Nachteile haben in der Regel mit der Network Address Translation (NAT) zu tun. In den meisten Artikeln, die ich im Internet zu dem Thema gefunden habe, wird eine Lösung bevorzugt, bei der das UniFi Security Gateway über ein DSL-Modem oder einen Router, der als DSL-Modem konfiguriert wird, “direkt” mit dem Internet verbunden wird. Vorteil dieses Lösungsansatz ist, dass kein “Doppeltes NAT” – einmal durch den Internet-Router und einmal vom Gateway – durchgeführt wird, sondern es nur einmal vom Security Gateway erledigt wird. Dies ist zum Beispiel dann wichtig, wenn man mit einer Playstation 4, einer anderen Konsole oder einem PC online spielen möchte. Da hier oft direkter Datenaustausch zwischen den Teilnehmer erfolgt oder spezielle Ports freigegeben werden, ist das Spielen mit mehrfacher NAT nur eingeschränkt möglich. Dadurch, dass private IP Adressen, wie sie normalerweise in privaten Netzwerken genutzt werden, nicht im Internet weitergereicht werden, ist NAT am ersten Übergang vom Internet ins eigene LAN notwendig. Die per Default auf dem Security Gateway aktive NAT, lässt sich über die Oberfläche des UniFi Controllers leider nicht deaktivieren. Durch den Einsatz eines DSL-Modems findet NAT nur noch auf dem Security Gateway statt. Zusätzlich wird in einigen Artikeln die höhere Geschwindigkeit von bestimmten DSL-Modems gegenüber der FRITZ !Box aufgeführt. Persönlich hatte ich bisher in noch keinem Fall Probleme damit, dass eine FRITZ!Box aufgrund technischer Unzulänglichkeiten der Engpass bei einer Internetverbindung war. Trotzdem habe ich mich im ersten Versuch dafür entscheiden auf die FRITZ!Box zu verzichten und den DrayTek Vigor130 im (V)DSL-Modem-Modus zum Aufbau der Internetverbindung für mein Security Gateway zu verwenden.

Versuch 1: Security Gateway und Vigor130

Beim Konfigurieren des DrayTek Vigor130 bin ich nach der Anleitung DrayTek Vigor130 als VDSL-Modem einrichten von idomix.de vorgegangen. Er beschreibt ausführlich und gut verständlich die Schritte, die notwendig sind, um den Vigor130 als DSL-Modem für das Security Gateway einzurichten. Ein Teil der Einstellungen ist vom jeweiligen Internetanbieter abhängig. Da ich bei keinem der großen Anbieter bin, konnte ich zum Beispiel zu den VLAN-Einstellungen meines Providers nichts offizielles finden und durfte ausprobieren. Da ich mit fortschreitendem Alter nicht mehr jede Kleinigkeit selbst konfigurieren und ausprobieren möchte, hat mir das weniger gut gefallen…

Was (Sicherheits)updates und Stabilität angeht, habe ich bei AVM ein besseres Gefühl als bei DrayTek. Das ist jedoch nur ein Bauchgefühl, das sich darauf begründet, dass ich mit einer FRITZ!Card meinen ersten Linux-PC zusammengebaut hatte, um über die ISDN Verbindung meiner Eltern mit mehreren Freunden Ultima Online zu spielen. Daher ist die Marke FRITZ! positiv vorbelastet – ein qualifiziertes Auswahlkriterium ist das natürlich nicht.

Versuch 2: UniFi Security Gateway und FRITZ!Box 7490

Bei meinen Test mit dem DrayTek Vigor 130 ist mir wieder bewusst geworden, dass ich meine FRITZ!Box auch als Telefonanlage, Zeitserver, Fax, VPN-Endpoint und Strato-DynDNS-Client verwende. Also hätte ich die Box oder eine entsprechende Alternative zusätzlich zum Vigor130 immer noch hinter oder neben meinem Security Gateway benötigt. Außerdem legt mein Provider im Störfall sehr viel Wert darauf, dass die von ihm vermietete FRITZ!Box mit der richtigen Seriennummer angeschlossen ist. So habe ich mich damit auseinandergesetzt, wie NAT auf dem UniFi Security Gateway deaktiviert werden kann. Überraschender Weise ist es nicht sonderlich kompliziert. Auf dem Dateisystem des UniFi Controller ist hierfür eine Konfigurationsdatei anzulegen, in der FRITZ!Box sind statische Routen zu definieren und nach der manuellen Provisionierung des Security Gateways läuft alles wie erwartet.

config.gateway.json vorbereiten

Der UniFi Controller bietet über eine JSON-Datei die Möglichkeit das Security Gateway über das, was mit der grafischen Oberfläche einstellbar ist, hinaus zu konfigurieren. Hierzu muss die speziell vorbereitete Datei auf dem UniFi Controller unter <unifi_base>/data/sites/site_ID agelegt werden. Bei meinem UniFi Cloud Key habe ich hierfür per SSH im Verzeichnis /srv/unifi/data/sites/default die Datei config.gateway.json mit folgendem Inhalt angelegt:

{
	"service": {
		"nat": {                                       
			"rule": {                   
				"5999": {                        
					"exclude": "''",        
					"outbound-interface": "eth0",
					"type": "masquerade"
				}
			}
		}
	}
}

Die genaue Formatierung der Datei ist wichtig, daher hier als Download.

Die Konfigurationsdatei setzt vor die bereits vorhandenen NAT-Regeln eine zusätzliche Regel, die NAT auf dem WAN-Port (eth0) des Security Gateways deaktiviert.

Nachdem die Datei angepasst wurde, muss die Provisionierung des
Security Gateways im UniFi Controller manuell gestartet werden.

Statische Routen in der FRITZ!Box konfigurieren

Hierzu gibt es eine gute deutsche Beschreibung auf der Seite des Herstellers: Statische IP-Route in FRITZ!Box 7490 einrichten (AVM). Für jedes Subnet, das von der FRITZ!Box aus gesehen “hinter” dem UniFi Security Gateway liegt, muss eine eigene statische Route definiert werden.

Update 11.01.2020: Viele Rückfragen und Kommentare beziehen sich auf Probleme mit den statischen Routen. Wenn, wie in meinem Beispiel:

  • die Fritz!Box die interne IP-Adresse 192.168.0.1/24 hat und
  • das USG die 192.168.0.250/24 (statisch oder per DHCP “fest”).

Muss, um auf das Netz 192.168.1.0/24 “hinter” dem UniFi Security Gateway zugreifen zu können, die statische Route wie folgt in der Fritz!Box konfiguriert werden:

  • Netzwerk: 192.168.1.0
  • Subnetzmaske: 255.255.255.0
  • Gateway: 192.168.0.250

192.168.0.0/24 meint: Das Subnetz 192.168.0.0 mit der Subnetzmaske 255.255.255.0 (24 Bit), der Broadcast Adresse 192.168.0.255 und 254 Adressen für Endgeräte von 192.168.0.1 bis 192.168.0.254.

Als Wert für den Parameter “Netzwerk” in der statischen Route wird oft versehentlich nicht die Netzadresse, sondern eine Endgeräte IP-Adresse eingetragen. Bei Problemen lohnt es sich daher hier doppelt zu prüfen. Im Idealfall durch das Erstellen einer Dokumentation mit der die Konfiguration abgeglichen werden kann. Ein sehr schönen Beispiel dafür hat der Leser Thomas zur Verfügung gestellt (siehe mein Kommentar vom 05. Januar 2020, 22:07 Uhr).

Aktivieren der Änderungen im UniFi Security Gateway

Nachdem somit alles vorbereitet ist, können die Änderungen auf das Security Gateway übertragen werden. Hierzu ist in der Weboberfläche des UniFi Controllers ein manuelles Provisionieren für das Security Gateway auszulösen. Das dauert eine Weile und ist mit einem Neustart des Security Gateways verbunden. Sobald das Security Gateway wieder online und in der Weboberfläche des UniFi Controllers integriert ist, ist es geschafft. Das Security Gateway führt keine NAT mehr durch. Der Test mit der PS4 zeigt an, dass die Verbindung zum Internet über ein “Typ-2 NAT” erfolgt. Typ-2 bedeutet für die Playstation 4, dass nur an einer einzigen Stelle zwischen dem Playstation Network und der Konsole NAT durchgeführt wird (von der FRITZ!Box beim Übergang von einem öffentlichen IP-Netz zu meinem privaten).

LAN Infrastruktur vereinfacht, Stand 23.12.2018

Zugriff vom FRITZ!Box Subnet durch das Security Gateway in die anderen Subnets freigeben

Die Kommunikation von den durch das Security Gateway geschützten Netzen über die FRITZ!Box ins Internet und auch der direkte Zugriff auf die FRITZ!Box funktioniert problemlos. Jeder Verkehr, der nicht von einem Netz hinter dem Security Gateway initiert wird, wird von der Firewall des Security Gateways blockiert. Da ich im Subnet der FRITZ!Box (192.168.0.0) keine Endgeräte habe, ist dies auf den ersten Blick kein Problem. Natürlich gibt es immer einen Anwendungsfall, der die Ausnahme bildet. In meinem Fall ist es die VPN-Verbindung, die ich nutze, wenn ich unterwegs bin. Die Verbindung terminiert auf der FRITZ!Box und bekommt die interne IP-Adresse 192.168.0.201. Wenn ich mich per VPN einwähle, möchte ich auf mein komplettes LAN zugreifen, als ob ich zuhause wäre. Dafür habe ich im UniFi Controller unter “Einstellungen->Routing&Firewall->Firewall->IPv4 Regeln->WAN-Eingehend” eine neue Regel definiert:

  • Name: VPN Zugang über fritz.box
  • Aktiviert: EIN
  • Positionierung: vor den vordefinierten Regeln
  • Aktion: Akzeptieren
  • IPv4-Protokoll: Alle
  • Quell-Typ: IP-Adresse (im Beispiel 192.168.0.201, IP ist auf den Wert, den die FRITZ!Box für den jeweiligen VPN-Benutzer anzeigt anzupassen)
  • Ziel-Typ: Netzwerk (im Beispiel das im Gateway definierte “normale” LAN , in der Praxis könnte eine weniger großzügige Freigabe besser sein)

So klappt’s auch wieder mit dem Nachhausetelefonieren.

Persönliches Fazit

Die knapp 100 EUR für den Vigor130 waren im Nachhinein betrachtet für mich eine Fehlinvestition. Die Kombination FRITZ!Box 7490 und UniFi Security Gateway läuft mit wenig Aufwand ohne “Doppeltes NAT” zusammen und die FRITZ!Box bietet mit ihren vielen Features für mich einen deutlichen Mehrwert. Das meiste Kopfzerbrechen hatte mir der SSH-Zugriff auf den UniFi Controller bereitet, der bei mir auf einem UniFi Cloud Key läuft. Hier wird weder der UniFi-Controller-User noch der SSH-Account verwendet, der den direkte Zugriff auf die UniFi WLAN-ACs und LAN-Switche erlaubt. Um das Passwort dieses Benutzers (ubnt) zurück zu setzen, musste ich:

  • Ein aktuelles Backup meines UniFi Controllers erzeugen,
  • meinen UniFi Cloud Key auf den Werkszustand zurück setzen,
  • den Cloud Key neu konfigurieren,
  • das Passwort für den Benutzer ubnt setzen & merken und
  • das Anfangs erstellte Backup wieder einspielen.

Zumindest konnte ich so testen, was im Desaster Recovery Fall zu tun wäre – eigentlich gar nicht so schlimm, ich muss zukünftig nur noch zusehen, dass die automatischen Backups nicht mehr ausschließlich auf dem Cloud Key lagern.

too long; didn’t read

Das UniFi Security Gateway lässt sich problemlos ohne zusätzliche Hardware und ohne NAT-Funktion in ein bestehendes Netzwerk integrieren. Hierfür wird (Details siehe oben):

  • die Datei config.gateway.json vorbereitet,
  • config.gateway.json im Dateisystem des UniFi Controllers abgelegt,
  • die statische(n) Route(n) vom dem Security Gateway vorgelagerten Router/Gateway auf die durch das Security Gateway geschützten Netze eingerichtet,
  • das Security Gateway provisioniert und
  • optional die Firewall des Security Gateway so eingestellt, dass (spezielle) Anfragen aus dem vorgelagerten Netz in den geschützten Bereich zugelassen werden.

165 Gedanken zu „UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne „Doppeltes NAT““

  1. Vielen Dank, für den ausführlichen Beitrag. Genau das, was ich gesucht habe und seitdem ich es bei mir eingerichtet habe, läuft mein Netzwerk wunderbar.
    Gruß Marco

  2. Herzlichen Dank… super tolle Anleitung!

    Kurze Rückfrage:
    Wie verhält es sich mit Portfreigaben?
    z.B. Benötigt die Diskstation die Ports 5000 und 5001. Diese waren bisher in der Fritzbox geforwarded… reicht das aus und funktioniert es eine Subnetz-IP aus dem USG-LAN in der Fritzbox einzutragen?

    Danke.

    VG
    Michael

    1. Hallo Michael,
      um eine Anfrage vom Internet auf ein internes Gerät einzurichten, reicht es in der Fritzbox das Portforwarding zu konfigurieren. Mögliche Probleme: Die Route in der FritzBox ins das Subnet hinter dem USG ist nicht richtig gesetzt; die Firewall im USG verbietet den Aufbau von deinem Fritzbox Netz in das Netz hinter dem USG.
      Ich habe eine ähnliche Konfiguration. Allerdings gebe ich nicht den Port meiner Diskstation ins Internet frei, sondern verwende die VPN Funktionalität der FritzBox um von außen in das FritzBox Subnet zu kommen und dann auf die Geräte hinter der Firewall des USG zuzugreifen.

      Eine weitere Fehlerursache: Manche Internetprovider weisen nur noch private IPv4 Adressen zu. Dann kommst du von “außen” auch nicht an deine FritzBox.

      Hilft dir das weiter?

      Gruß Martin

    2. Super genial.
      Nach dieser Lösung suche ich seit Monaten.
      Seit dem Wechsel auf FTTH habe ich zwar eine phantastiache Internetgeschwindigkeit, aber weil ich den externen Zugriff auf mein Nas über IPV6 mit dem USG nicht hinbekommen habe, klappt es nun mit dieser Lösung und endlich kann ich die features vom USG wieder Nutzen

      LG Detlef

      1. Hallo Manfred,
        leider war die Freude nur von kurzer Dauer, weil ich es nicht hinbekommen habe das meien Geräte auch per DHCP IPV6 Adressen bekommen. Meine Synology konnte ich deswegen nicht mehr von außen ansprechen.
        Das würde ich gerne nochmal angehen. Mein USG liegt jetzt schon 6 Monate brach. Ich würde es gerne wieder aktivieren.
        Kannst Du mir helfen um IPV6 DHCP zu aktivieren.

        LG
        Detlef Meyer

  3. Hallo Martin,

    endlich bin ich auf einen tollen Artikel gestossen der genau das gelöst zu haben scheint was ich gern möchte, dafür erstmal Vielen Dank für den Artikel.
    Ich hätte aber eine Frage dazu , was für mich ganz wichtig ist bevor ich das ganze umbaue wie du es beschreibst, wie verhält es sich mit dem VPN Tunnel zur Fritzbox , du schreibst man muss die IP Adresse des VP Clients (user) (Quell-Typ: IP-Adresse (im Beispiel 192.168.0.201, IP ist auf den Wert, den die FRITZ!Box für den jeweiligen VPN-Benutzer anzeigt anzupassen)

    Diese Ip Adresse wird ja mit jeder VPN Verbindungsaufbau neu vergeben bzw sobald die Fritzbox eine neue IP Adresse vom Provider bekommt wenn ja wie hast du das Problem gelöst das die Ip Adresse wechseln, ich wüsste nicht wie ich das handeln sollte wenn ich ständig die die Route anpassen müsste auf dem USG

    Vielen Dank

    Gruss

    Georg

    1. Hallo Georg,
      es freut mich, wenn dir der Artikel weitergeholfen hat. Zu deiner Frage: Ja, sobald eine VPN-Verbindung neu aufgebaut wird (zum Beispiel, weil dein Client sich absichtlich getrennt hat oder dein Provider deine Internetverbindung beendet hat) bekommt der jeweilige VPN Client von der FritzBox eine neue interne IP-Adresse zugeordnet. Der erste sich verbindende Client bekommt bei mir immer die 192.168.0.201 (das Subnet kann bei dir abweichen). Im USG musst du für diesen Fall nicht das Routing anpassen sondern eine eingehende Firewall-Regel definieren. Das solltest du im Idealfall nur bei der Inbetriebnahme machen müssen.

      Das Vergeben der VPN-IP-Adressen der FritzBox ist unabhängig von der UniFi-Infrastruktur. Wenn du bereits eine FritzBox im Einsatz hast, kannst du vor der Anschaffung/Installation deiner UniFi-Infrastruktur in Ruhe beobachten, welche IP-Adressen die FritzBox deinen VPN-Clients vergibt (im Idealfall lässt du alle in Frage kommenden VPN-Clients sich auf einmal anmelden). Basierend auf diesen IP-Adressen kannst du später die Firewallregel im USG erstellen.

      Sollte es dir zu umständlich sein, kannst du die Regel aus dem Beitrag auch so anpassen, dass anstelle einer definierten IP (z. B. 192.168.0.201) das komplette Subnet (z. B. 192.168.0.0) zugelassen wird. Abhängig davon wie dein Netzwerk aufgebaut ist, kann das in Ordnung oder ein Sicherheitsproblem sein.

      Nur um sicher zu gehen: Die IP-Adresse des VPN-Clients (im Beispiel 192.168.0.201) ist nicht die externe IP-Adresse, die vom Provider zugewiesen wird. Der VPN-Client spricht die externe IP-Adresse (vom Provider) über einen DynDNS Dienst an und bekommt, im so aufgebauten Tunnel, die interne VPN-IP-Adresse mit der er für das USG sichtbar ist.

      Ich hoffe, ich habe deine Fragen richtig interpretiert – wenn nicht, einfach melden.

      Gruß Martin

  4. Hallo Martin

    Aktuell ist meine fritzbox dhcp Server und verteilt im Range 192.168.1…. die Adressen, wer würden dann dhcp Server spielen für das interne Netzwerk ? Und könnte ich nur die ip Adresse der fritzbox änderen auf 192.168.0… so das meine interne ip Adressen weiterhin in 192.168.1 laufen ?
    Und noch eine Frage 🙂 was passiert mit dem Fritz Telefon ? Wird das direkt dann an die fritzbox angeschlossen und wandert in das neue Netz der fritzbox ?

    Vielen Dank

    Gruß
    Georg

    1. Hallo Georg,
      wenn du eine Infrastruktur wie im Artikel beschrieben aufbaust, hast du zwei interne Subnetze. Eines, für das deine FritzBox zuständig ist und eines, für das das USG zuständig ist.
      Für diese zwei Netze kannst – bzw. musst – du Adressen aus zwei verschiedenen (privaten) Netzen verwenden. Zum Beispiel:

      • Die FritzBox verwaltet das Netz 192.168.1.0/24 (IP von 1-254; 0=Netz; 255=Broadcast)
      • Das UniFi Security Gateway verwaltet das Netz 192.168.34.0/24 (IP von 1-254; 0=Netz; 255=Broadcast)

      Alle Clients im Netz der FritzBox bekommen so Adressen aus dem Netz 192.168.1.0 – auch das USG auf seinem WAN Port. Das USG vergibt an alle Geräte, die in seinem Netz hängen, Adressen aus dem Netz 192.168.34.0. In der FritzBox konfigurierst du eine statische Route in das 34er Netz (über die WAN-IP des USG aus dem 1er Netz). Die USG hat bereits eine Route ins 1er Netz, daher können alle Clients aus dem 34er Netz, über das USG auf das von der FritzBox verwalte Netz zugreifen (die Clients im 34er Netz bekommen vom USG die 34er Adresse des USG als Default-Route mitgeteilt).

      Etwas konkreter zu deinen Fragen:
      Wenn das “Fritz Telefon” per DECT, ISDN oder analog an der FritzBox hängt, musst du nichts machen. Wenn du ein VoIP basiertes Telefon oder die Fritz!Fon-App nutzt, können diese Geräte aus beiden internen Netzen auf die FritzBox zugreifen. Ich habe meine an der FritzBox angemeldeten VoIP Telefone im Netz “hinter” dem USG, du kannst sie aber auch direkt ins Netz der FritzBox hängen.

      IP-Adresse der FritzBox ändern: Wenn ich dich richtig verstehe, willst du die IP deiner FritzBox von 192.168.1.1 auf 192.168.0.1 ändern, dann das USG so einstellen, dass es Adressen aus dem Netz 192.168.1.0 verteilt, damit du deine Clients nicht anpassen musst. Ja, kannst du machen. Wenn deine Clients Ihre Adressen per DHCP bekommen, musst du die Reihenfolge, wann du was umstellst sehr genau überlegen – sonst hast du Durcheinander. Wenn du bisher nur feste IPs für deine Clients verwendet hast, ist es weniger “aufwändig”. Wenn du es bei dir zuhause umstellst, kann es helfen alle Geräte abzuschalten, die Infrastruktur aufzubauen, zu testen und dann jedes Gerät einzubinden und zu prüfen.

      Anmerkung zu privaten IP-Adressen. Die FritzBox verwendet 192.168.178.0 als Gäste Netzwerk, dass solltest du nicht im USG definieren. Wenn du VPNs zwischen verschiedenen Standorten aufbauen möchtest, solltest du auch drauf achten, dass sich die Subnetze unterscheiden.

      Ich hoffe, es ist nicht zu umständlich beschrieben. Wenn doch, einfach fragen.

      Gruß Martin

      1. Hallo Martin,

        Ich habe die gleiche Infrastruktur (Fritzbox -> USG -> Switch -> APs) und ein Problem mit VOIP:

        Ich habe die Fritz!Fon-App auf meinem Handy eingerichtet und auf einem PC eine weitere VOIP-Software. Raustelefonieren funktioniert problemlos, aber sobald ein Anruf hereinkommt, klingeln lediglich die an meiner Fritzbox angeschlossenen Analogtelefone, aber am Handy und PC tut sich nichts. Wenn ich die beiden Geräte direkt mit der Fritzbox verbinde, funktioniert alles problemlos. Das NAT auf meinem USG ist deaktiviert. Mit den Portfreigaben habe ich auch schon experimentiert, leider ohne Erfolg.

        Gibt es irgendwelche Einstellungen, die man tätigen muss, um das zum Laufen zu bringen?

        Vielen Dank.

        Gruß Jakob

        1. Hallo Jakob,

          das eingehende Anrufe bei deinen analogen Telefonen signalisiert werden, ist schon mal ein gutes Zeichen – so bist du zur Lösung nicht auf deinen Telefonieanbieter angewiesen.
          Ich habe bei meiner Installation – neben direkt an der FritzBox angemeldeten DECT-Telefonen – diese VoIP Geräte/Software im Einsatz:

          • Fritz!Fon-App (iOS),
          • Siemens Gigaset Maxwell 3 und
          • media5-fone (iOS, Hinweis vom Hersteller: Media5 wird Sommer 2018 eingestellt).

          In deiner Frage hast du die statische Route von der FritzBox in das Netz “hinter” dem USG nicht erwähnt. Hast du eine konfiguriert?

          Für jedes VoIP-Telefon habe ich auf der FritzBox ein eigenes Telefoniegerät angelegt, in der FritzBox eingestellt, auf welche eingehenden Nummern das Telefoniegerät reagieren soll und mit welcher Nummer ausgehende Gespräche von dem jeweiligen Gerät geführt werden sollen. Der Benutzer für die Fritz!Fon-App (iOS) wurde von der App angelegt. Firewallregeln oder Portweiterleitungen auf der USG habe ich für VoIP keine konfiguriert.

          Eingehende Anrufe werden auf den konfigurierten Endgeräten signalisiert. Die Software auf iOS muss laufen, damit die Anrufe signalisiert werden. Bei der Fritz!Fon-App gibt es bei den Einstellungen die Option “Auf Anrufe reagieren”, die Option muss aktiv sein. Sowohl die Soft- als auch das Hardware VoIP Telefon sind bei mir in IP-Netzten “hinter” dem USG.

          Vielleicht ist eine der Optionen ja für dich die richtige.

          Gruß

          Martin

          1. Hallo Martin,

            ich habe für das IP-Netzwerk, das hinter dem USG liegt, eine statische Route in der Fritzbox eingerichtet. Dann habe ich am USG eine Route in das IP-Netzwerk der Fritzbox eingerichtet.
            Das hat aber noch nicht genügt. Ich musste noch eine Portfreigabe für den lokalen SIP Port, der in den Einstellungen der VOIP-Software auf meinem Rechner angezeigt wird, einrichten. Nun klingelt auch bei einkommenden Anrufen das Telefon.
            Allerdings stehe ich jetzt vor einem weiteren Problem: Man hört keinen Ton.
            Die Telefoniegeräte sind in der Fritzbox korrekt eingerichtet und funktionieren auch einwandfrei, solange sie sich nicht in einem Netz hinter dem USG befinden. Ich muss wohl die nötigen Ports am USG freischalten. Allerdings weiß ich nicht, welche das sind.

            Vielen Dank.

            Gruß Jakob

            1. Hallo Jakob,
              das klingt für mich als wäre NAT auf dem USG noch aktiv. Auf dem USG brauchst du, nachdem NAT deaktiviert ist, keine statische Route in das Netz der FritzBox zu konfigurieren (die USG hat eine Route in das Netz, da es eine IP-Adresse aus diesem Netz auf dem WAN-Interface hat). Wenn NAT deaktiviert ist, musst du auch keine Ports am USG freischalten/weiterleiten.
              Nachdem du auf dem UniFi Cloud Key im Verzeichnis /srv/unifi/data/sites/default die Datei config.gateway.json angepasst hast, muss du eine Provisionierung des USG manuell auslösen, damit die Firewallregel zum deaktivieren des NAT aktiv wird – eventuell fehlt dieser Schritt? Ich werde ihn im Artikel ergänzen.

              Gruß Martin

  5. Hallo Martin,

    Erstmal Danke für die ausführliche Beschreibung.
    Ich bin in Sachen Unifi noch ein Anfänger.
    In meiner Konstellation funktioniert der Internetzugriff über die FB leider nicht.
    Hänge ich die FB hinter das USG dann funktioniert alles. ( das USG wird ja quasi umgangen)
    Meine FB hat die IP 192.168.1.2/24 DHCP ist eingeschaltet. Das USG hat ja Standard 192.168.1.1 dies lässt sich ja nicht abändern, soviel ich weiß. Wenn ich alles richtig verstanden habe, dann hat der WAN am USG ja auch eine andere IP und zwar die zugewiesene von der FB. Welche Route muss ich nun in der FB eintragen?

    1. Hallo Maik,
      ich fürchte, ich habe nicht nur Antworten für dich.

      Erst mal zu den Antworten.
      Deine FritzBox hat “die IP 192.168.1.2/24 DHCP ist eingeschaltet”, bezieht sich auf die “LAN” Ports. Am “WAN” (DSL) Port hast du die IP deines Providers. Bzw., wenn du den WAN/DSL-Port deiner FritzBox mit dem USG verbunden hast bekommst du eine IP aus dem DHCP Range des USG. Das ist aus meiner Sicht auch schon die erste Stelle, die du anpassen solltest. Du solltest entweder deine FritzBox oder dein USG für ein anderes IP-Subnetz konfigurieren. Sowohl die IP der FritzBox als auch des USG lassen sich in andere Subnetze konfigurieren. Warum ist das wichtig: Wenn das USG mit seinem WAN-Port an einem LAN-Port der FritzBox (192.168.1.0/24) hängt und “alle deine Clients” hinter dem USG an dessen LAN-Port (192.168.1.0/24) hängen, steht das USG vor einem Dilemma. Wenn es Pakte in das Subnetz (192.168.1.0/24) schicken will, weiß es nicht auf welchem Interface (LAN oder WAN) die Pakete raus sollen. Als “Router” verbinden das USG und auch die FritzBox jeweils verschiedene Subnetze. Wenn du gleiche Subnetze verbinden wolltest, würdest du einen Switch/Hub verwenden.

      Was mir nicht ganz klar ist, ist wie “alles funktioniert”, wenn die FritzBox “hinter” dem USG ist. Ich stelle mir das so vor: DLS -> WAN PORT USG (kein internes Modem, sollte nicht gehen) -> LAN Port USG -> DSL/WAN-Port FritzBox (gleiches SubNetz am DSL/WAN-Port & LAN-Port der FritzBox; kein Routing möglich). Hier muss ich dich entweder falsch verstanden haben oder ich übersehe ein Detail. Wenn du das USG “vor” der FriitzBox installierst, brauchst du zusätzlich ein Modem (DSL, Kabel, …).

      Zum Abschluss noch eine Antwort.
      Welche Route muss du in die FritzBox eintragen: Wenn USG & FritzBox in verschiedenen Subnetzen sind und NAT auf dem USG deaktiviert ist, musst du in der FritzBox eine Route in das Netz hinter dem USG mit der IP, die das USG im SubNetz der FritzBox hat konfigurieren.
      Zum Beispiel:

      • FritzBox LAN-IP: 192.168.34.1
      • FritzBox LAN-Subnet: 192.168.34.0/24
      • USG WAN-IP: 192.168.34.250 (von der FritzBox bekommen oder fest eingestellt)
      • USG WAN-Subnet: 192.168.34.0/24 (Netz der FritzBox)
      • USG LAN-IP: 192.168.1.1
      • USG LAN-Subnet: 192.168.1.0/24
      • Route auf der Fritzbox: Alle Pakete für das Netz “192.168.1.0/24” (USG LAN-Subnet) an die IP “192.168.34.250” (USG WAN-IP) schicken.

      Wenn USG & FritzBox in verschiedenen Subnetzen sind und NAT auf dem USG aktiviert ist, musst du in der FritzBox keine Route eintragen. Hast dann aber “Doppeltes NAT”.

      Entschuldige die umständliche Beschreibung, ich hoffe du kannst etwas für dich darin finden.

      Gruß
      Martin

  6. Hallo

    danke für die Erklärung. Noch eine kurze Frage zur Verkablung. Du hast am WAN der Fritzbox das DSL dran und an einem LAN Port das USG. Das USG hängt am WAN port mit der Fritzbox zusammen und am LAN Port hängt der Uplink zu den Clients dahinter. Richtig?

    Vg
    Markus

    1. Hallo Markus,
      ja.

      Hier die genauen Bezeichnungen der Ports:

      • FritzBox 7490 “DSL/TEL” -> TAE Dose/DSL-Anschluss
      • FritzBox 7490 “LAN 1” -> USG “WAN 1”
      • USG “WAN 1” -> FritzBox 7490 “LAN 1”
      • USG “LAN 1” -> Switch (UniFi Switch 24 POE-250W) mit restlicher Infrastrukur, mehrere VLANs…

      Gruß
      Martin

      1. Hallo,

        Darf ich bei deiner Antwort kurz noch eine Frage ergänzen, weil ich diesen Artikel mit der Diskussion super hilfreich und interessant finde.

        Wenn, wie von Dir beschrieben, das USG mit mehreren vlans hinter der fritzbox hängt, muss ich dann in der fritzbox auch statische routen in die IP Bereiche der Vlans einrichten?

        ZB habe ich 3x vlans hinter dem USG. Und einen Server hinter dem USG, auf den alle vlans und auch clients, die direkt an der FB hängen zugreifen müssen…

        Im USG muss ich wahrscheinlich die IP des servers für alle vlans freigeben (wie genau muss ich noch herausfinden) aber
        Von der fritzbox würde ich auch gerne Zugang auf die IP Bereiche inkl. Server haben..

        Ich hoffe du hast einen kurzen Rat für mich.

        Beste Grüße,
        Mario

        1. Hallo Mario,
          für die VLANs (mit je eigenen IPv4 Netzen) hinter deinem USG brauchst du, wie du bereits geschrieben hast, jeweils eine eigene statische Route in der Fritz!Box. Die Daten vom Netz der Fritz!Box zu Netzen hinter dem USG lassen sich über “WAN eingehend” bei den Firewallregeln des USG filtern/freigeben. Wenn der Server in einem Netz hinter dem USG hängt (untagged?) musst du für den Zugriff aus den VLANs “hinter” dem USG in der Regel nichts konfigurieren, da per default nichts blockiert wird – ansonsten wäre die Regel bei “LAN eingehend” gut aufgehoben.

          Hoffe das hilft dir weiter.

          Gruß
          Martin

  7. Hallo Herr Ziegler, vielen Dank für die ausführliche Anleitung! Ich habe einen Unitymedia Anschluss, den ich genau wie beschrieben betreiben möchte. Allerdings möchte ich am WAN Port 2 einen Vodafone DSL Anschluss parallel betreiben, einmal zur Bündelung aber auch als gegenseitiges Backup, falls eine Verbindung mal ausfällt. Ich nehme an, in diese, Fall muss das Gateway NAT übernehmen, oder? Vielen Dank für Ihre Antwort!

    1. Hallo,

      das ist eine spannende Frage. Da ich selbst nur einen DSL Anschluss habe, kann ich es nicht direkt testen. Vom Vorgehen her, würde ich in den Einstellungen des UniFi Controllers unter “Netzwerk” ein “Neues Netzwerk erstellen” und so konfigurieren:

      • Verwendung: WAN
      • Netzwerk Gruppe: WAN2
      • Lastverteilung: Nur Failover
      • Statusänderung der Schnittstelle melden: Ja

      In der Grundkonfiguration würde ich erwarten, dass das USG einen Ping auf einen Server im Internet über WAN1 laufen hat, schlägt dieser fehl, schaltet es automatisch auf WAN2 um (und auch wieder zurück). Wenn diese Konfiguration erfolgreich läuft, würde ich im nächsten Schritt versuchen NAT zu deaktivieren (wenn Sie das benötigen). Sollte auch das funktionieren, würde ich versuchen, die Einstellung für die Lastverteilung auf “Gewichtetes Load-Balancing” zu ändern.

      Bevor Sie einen DSL-Vertrag abschließen, könnten Sie einen UMTS/LTE Router (mit LAN Port) mit Ihrer Handykarte zum Testen verwenden.

      Leider alles ohne Gewähr, aufgrund mangelnder Möglichkeit zum Testen (habe kein UMTS/LTE Modem mit LAN Anschluss greifbar). Wenn Sie den Test wagen, wäre ich sehr am Ergebnis interessiert.

      Gruß

      Martin Ziegler

      1. Vielen Dank auch für die Antwort! Vodafone wird am 26.06.2019 geschaltet, danach kann und werde ich alle Möglichkeiten testen und gerne nochmal antworten.

  8. Hallo Martin,
    genau eine solche Lösung habe ich gesucht, vielen Dank!!

    Kurze Frage: Wie verhält es sich bei einem Software/Firmware Update? Müssen die Modifikationen der Config Datei dann wiederholt werden, oder wird diese bei einem Update nicht überschrieben?

    Solltest du das schon geschrieben und ich überlesen haben, bitte ich um Entschuldigung 😉

    Danke, beste Grüße
    Tobi

    1. Hallo Tobias,
      die Lösung übersteht Updates an der Geräte-Firmware des UniFi Security Gateway und Updates des UniFi Controller ohne manuelle Nacharbeiten. Die editierte Datei config.gateway.jso ist Bestandteil der “normalen” Konfiguration des UniFi Controllers. Nur die geänderten Optionen sind (noch) nicht über das Webinterface änderbar.

      Gruß

      Martin

  9. Hallo Martin,
    vielen Dank für die Anleitung, doch leider weiß ich nicht, ob das mit der Datei geklappt hat. Hier wäre auch mein erster Hinweis, denn die Datei wird als*.txt gespeichert sobald man diese runterläd. Somit muss diese dann noch an die Dateiendung angepasst werden.

    Gibt es eine Möglichkeit die Funktionalität zu testen? Ich bin mir nicht sicher ob alles geklappt hat. Wenn ich bei meiner Xbox one X den Nat Typ feststellen möchte springt dieser immer zwischen “moderat” und “offen” hin und her. Übrigens ist dies unabhängig ob die josn Datei sich auf dem Cloud Key befindet oder eben nicht.
    Weiterhin ist mir aufgefallen das ich keine Möglichkeit mehr habe meinen Vorwerk VR 200 Staubsaugroboter ans Wlan zu bringen (hier wird ein AddHoc WLAN zur Konfiguration aufgemacht und anschließend versucht die Verbindung mit dem “richtigen” Wlan aufzubauen).

    Kurz um, ich weiß nicht ob die Datei auf dem Cloud Key und die anschließende Provisierung überhaupt ein Effekt hat…

    Auch der versuch in der CMD mit “tracert 8.8.8.8” zeigt mir zuerst die IP meiner Firtz Box (192.168.5.1) und anschließend die IP des USG (192.168.1.1). Somit ist dies ja eigentlch schon falsch da der zweite Sprung schon die WAN Adresse sein sollte, oder?

    Viele Grüße und vielleicht hast du ein Tipp für mich,
    Chrisitan

    1. Hallo Christian,

      vielen Dank für deine Anmerkungen und Fragen.

      Json wird als TXT gespeichert: Per Default ist der Upload von json-Dateien bei WordPress nicht erlaubt. Als ich den Artikel geschrieben habe, war ich wohl etwas faul und habe die Datei in *.txt umbenannt. Ich habe die Datei erneut mit der richtigen Endung hochgeladen. Danke für den Hinweis.

      Dein tracert-Ergebnis deutet darauf hin, dass etwas nicht stimmt. So sieht’s bei mir aus:
      tracert 8.8.8.8
      Routenverfolgung zu dns.google [8.8.8.8]
      über maximal 30 Hops:
      1 1 ms 1 ms 1 ms UnifiGateway [192.168.1.1]
      2 1 ms 1 ms 1 ms fritz.box [192.168.0.1]
      3 8 ms 9 ms 9 ms #anderer Hop
      4 8 ms 8 ms 8 ms #anderer Hop
      5 10 ms 8 ms 9 ms #anderer Hop
      6 9 ms 8 ms 8 ms #anderer Hop
      7 9 ms 8 ms 8 ms #anderer Hop
      8 8 ms 8 ms 8 ms #anderer Hop
      9 8 ms 8 ms 8 ms dns.google [8.8.8.8]

      Erst kommt das USG, dann die FritzBox. Wie hast du deine Installation verkabelt?

      • FritzBox 7490 “DSL/TEL” -> TAE Dose/DSL-Anschluss
      • FritzBox 7490 “LAN 1” -> USG “WAN 1”
      • USG “WAN 1” -> FritzBox 7490 “LAN 1”
      • USG “LAN 1” -> Deine restliche Infrastruktur

      Wichtig ist, dass die FritzBox nicht zusätzlich an dem Switch “hinter” deinem USG hängt und das die FritzBox kein eigenes WLAN aufspannt (wenn du alles über UniFi Accesspoints machst). Alle Endgeräte bekommen IPs aus Subnetzen des USG (nicht von der FritzBox).

      Wenn du prüfen willst, ob die Regel 5999 aus der json-Datei auf dem USG aktiv ist, kannst du dich per SSH am USG anmelden und mit diesem Befehl den Status von iptables anschauen:
      sudo iptables -t nat -L -n -v
      Beim Output sollte eine Zeile mit NAT-5999 dabei sein:
      ...
      Chain POSTROUTING (policy ACCEPT 808K packets, 62M bytes)
      pkts bytes target prot opt in out source destination
      808K 62M UBNT_VPN_IPSEC_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M MINIUPNPD-POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M UBNT_PFOR_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      739K 57M RETURN all -- * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
      69080 4630K VYATTA_PRE_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      ...

      Das dein Staubsauger aktuell die Arbeit verweigert, stufe ich als Folgeproblem ein.

      Ich hoffe, es ist etwas dabei, was dir weiterhilft. Ansonsten einfach nachfragen.

      Gruß

      Martin

      1. Hallo Martin,
        danke für deine ausführliche Antwort. Bei mein tracert-Ergebnis sind die beiden ersten Punkte wie deine, hatte dies nur fälschlicherweise anders rum geschrieben. Ich dachte es dürfte erst gar keinen zweiten “Sprung” im eigenen Netz geben, weil dies unweigerlich zu einem doppelten NAT führt. Zumindest habe ich es in einem Forum so gelesen.

        Auch die Regel für Port 5999 ist bei mir via SSH Aufruf ersichtlich:

        314 22755 RETURN all — * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
        0 0 MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
        0 0 MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
        0 0 MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
        65 4175 VYATTA_PRE_SNAT_HOOK all — * * 0.0.0.0/0 0 .0.0.0/0

        Wieso mein Roboter dann noch Probleme hat muss dann an etwas anderem liegen.

        Grüße
        Christian

        1. Hallo Christian,
          jeder “Sprung” zeigt an, dass du in ein neues IP-Netz kommst. NAT/Masquerading kann genutzt werden um alle IP-Adressen eines Netzes hinter einer einzigen “zu verstecken”. Wenn du zum Beispiel eine FritzBox (oder irgendeinen anderen Router) verwendest, um ins Internet zu gehen, “maskiert” dieser sämtliche Anfragen aus deinem privaten Netz mit der öffentlichen IP Adresse am “DSL-Port” deiner FritzBox. Egal ob dein Staubsauger oder deine Xbox eine Anfrage ins Internet stellt, es sieht dort immer so aus, als würde die Anfrage von der IP deiner FritzBox kommen.
          Wenn dein USG auch NAT macht passiert folgendes:
          Wenn die FritzBox IPs aus dem Subnetz 192.168.5.0 vergibt und dein USG aus dem Subnetz 192.168.1.0 (auf dem LAN-Port) und die IP 192.168.5.200 (per DHPC von der FritzBox auf dem WAN Port des USG) bekommt, hat deine XBOX “hinter” dem USG zum Beispiel die Adresse 192.168.1.23. Da das USG NAT aktiv hat, kommen Anfragen von der XBOX bei der Fritzbox mit der IP des USG im Netz der FritzBox an (192.168.5.200) – ohne NAT auf dem USG würde die FritzBox die echte IP Adresse 192.168.1.23 der XBOX sehen. Da private IP Adressen nicht im Internet geroutet werden dürfen, muss der Router an der Schnittstelle von deinem privaten zum öffentlichen Netz NAT/Masquerading durchführen. Alle Router zwischen deinen privaten Netzen (zum Beispiel dein USG) können normal zwischen den Netzen routen und brauchen kein NAT/Masquerading.
          Einige Provider oder Anschlüsse mit DSL-Light vergeben auch am WAN-Port deines Routers (FritzBox) IPv4 Adressen aus privaten, nicht im Internet gerouteten Bereichen. Hier hättest du schon 2x NAT (Provider, FritzBox) und bekommst eventuell noch eine dritte Stufe (USG) dazu. An DSL-Light Anschlüssen kannst du, soweit ich weiß, nichts dagegen machen. Manche Provider (zum Beispiel Inexio) bieten “echte IPv4-Adressen” gegen einen monatlichen Aufpreis an.

          Ich hoffe das ist ohne Bild einigermaßen vorstellbar…

          Ist der NAT-Status deiner XBOX inzwischen stabil? Hast du neben IPv4 auch IPv6 aktiv? Dort hast du die Routing-Probleme normalerweise nicht. Hast du UPnP-Portfreigaben für die IP deiner XBOX auf der FritzBox erlaubt?

          Gruß

          Martin

          1. Hallo Martin,
            danke für deine ausführliche Erklärung. Der Nat Status meiner Xbox ist für mich die einzige Möglichkeit um die Funktionalität des json Datei zu testen, unabhängig von der Abfrage via SSH. Wenn die Sprünge via tracert bei dir genau so sind wie bei mir und die Regel 5999 auf dem USG auftaucht wird es wohl funktionieren.

            Bezüglich UPnP:
            Ich habe auf der FritzBox aktuell nur einen Teilnehmer, nämlich den USG. Somit kann ich doch nur für diesen Teilnehmer (was letztendlich dann meinem kompletten nachgelagerten LAN entspricht) die UPnP Freigabe erteilen, oder sehe ich das flasch?

            Generell müsste ich dann doch zusätzlich noch eine Freigabe auf dem USG definieren, da diese ja nur als Firewall dient oder liege ich hier abermals falsch?

            Viele Grüße und besten Dank.
            Christian

            1. Hallo Christian,
              in der Fritzbox werden bei den Freigaben leider nur die Geräte angezeigt, die direkt im IP-Netz der FritzBox sind. Du kannst aber durchaus mit “IP-Adresse manuell eingeben…” auch IPs “hinter” dem USG konfigurieren (solange NAT im USG deaktiviert ist). So kannst du es deiner XBox One erlauben Portfreigaben in der FritzBox einzurichten. Dafür sollte deine Xbox vom USG immer die selbe IP-Adresse bekommen.
              Zusätzlich darf die Firewall in deinem USG, wie du richtig angemerkt hast, eingehenden Verkehr zum Netz hinter dem USG natürlich nicht filtern – bzw. du muss es mit einer “WAN eingehend” Regel aktiv erlauben (allen eingehenden Verkehr zur IP deiner Xbox erlauben; optional mit Einschränkung auf bestimmte Ports).

              Gruß

              Martin

          2. Hallo Martin,
            kleiner Nachtrag:
            Aktuell habe ich nur eine statische Route von der FirtzBox auf das USG eingetragen:
            Netzwerk Subnetzmaske Gateway
            192.168.1.0 255.255.255.0 192.168.5.21

            Auf dem USG habe ich nur eine Firewallregel für VPN hinterlegt. Muss hier auch eine statische Route eingetragen werden Richtung FritzBox und wenn ja, wie?

            Grüße

            1. Hallo Christian,
              du brauchst für das Fritz-Box VPN im USG keine Route “zurück” einzurichten. VPN-Clients bekommen von der FritzBox IP-Adressen “nach” deinem DHCP Bereich. Zum Beispiel: Deine FritzBox vergibt per DHCP die IP Adressen 192.168.5.20-192.168.5.200, dann bekommt dein erster VPN-Client die 192.168.5.201. Da dein USG am WAN-Interface eine IP-Adresse aus dem Subnetz 192.168.5.0 hat, kennt es dadurch auch eine “Route” in dieses Netz.

              In der Firewall des USG muss du nur, wie du bereits beschrieben hast, eingehenden Verkehr für “WAN eingehend” von deiner VPN-IP auf bestimmte Server oder alle Netzte hinter deinem USG erlauben.

              Gruß

              Martin

  10. Hallo Martin,

    vielen Dank für die tolle Anleitung.

    Ich würde das NAT auf der USG auch gerne ausschalten und verschiedene Szenarien ausprobieren. Mein UniFi-Controller läuft allerdings auf Windows, da ich keinen Cloud-Key habe. Alternativ könnte ich die Controller-Software auch auf meiner Synology im Docker laufen lassen.

    Könntest Du vielleicht bei der Pfad-Angabe behilflich sein, wo die “config.gateway.json” bei Windows und/oder Docker hingehört? Oder geht das Abschalten über den Weg nur in Verbindung mit einem Cloud-Key?

    Danke und Gruß
    Rainer

    1. Hallo Rainer,
      der CloudKey ist keine Voraussetzung für die Änderungen. Unter Windows findest du deinen unifi_base-Pfad indem du %userprofile%/Ubiquiti UniFi in die Adressleiste deines Windows-Datei-Explorers kopierst. Wenn du unter Linux unsicher bist, kannst du schauen ob es ein Verzeichnis /srv/unifi oder /lib/unifi gibt. Alternativ kannst du dein ganzes Dateisystem durchsuchen
      find / -name unifi.

      Hier die englische Hilfe-Seite von Ubiquiti : UniFi – Where is <unifi_base>?

      Gruß
      Martin

      P.S. Der CloudKey (Gen 1) ist “nur” ein kleiner Server mit ARMv7 Processor und 2 GB RAM auf Basis Debian 8 (jessie) – alle Features für das UniFi Netzwerk werden über die Manager-Software gesteuert.

  11. Hallo Martin,

    vielen Dank für Deine Hilfe.

    Ich habe die “config.gateway.json” in das Verzeichnis

    %userprofile%\Ubiquiti UniFi\data\sites\site_ID

    eingefügt und in der Controler-Software über

    Geräte-USG-Konfiguraton-Geräte verwalten-Provisionierung erzwingen

    die Provisionierung manuell durchgeführt. Den letzten Ordner “site_ID” musste ich händisch anlegen.

    Als Ergebnis eines tracert erhalte ich folgendes Ergebnis:

    Routenverfolgung zu dns.google [8.8.4.4]
    über maximal 30 Hops:
    1 <1 ms <1 ms <1 ms USG [192.168.1.1]
    2 1 ms 1 ms 1 ms fritz.box [192.168.6.1]
    3 23 ms 22 ms 22 ms #anderer Hop
    4 22 ms 22 ms 32 ms #anderer Hop
    5 29 ms 30 ms 29 ms #anderer Hop
    6 30 ms 30 ms 29 ms #anderer Hop
    7 29 ms 29 ms 30 ms #anderer Hop
    8 31 ms 31 ms 31 ms #anderer Hop
    9 31 ms 30 ms 30 ms dns.google [8.8.4.4]

    Das Ergebnis sieht für mich erstmal gut aus. Ist damit auch schon sicher das NAT in der USG deaktiviert oder gibt es dafür noch einen andere Testmöglichkeit?

    Danke und Gruß
    Rainer

    1. Hallo Rainer,

      ich bin mir nicht sicher, ob ich dich richtig verstehe. site_ID ist als Platzhalter für die Bezeichnung deiner Site/Zone zu verstehen. Die erste Site/Zone heißt default, weitere haben kryptische Namen. Wenn es in deinem Ordner sites keine Unterordner gibt und du selbst einen neuen manuell angelegt hast, bist du an der falschen Stelle gelandet.

      Wenn du prüfen willst, ob die Regel 5999 aus der json-Datei auf dem USG aktiv ist, kannst du dich per SSH am USG anmelden und mit diesem Befehl den Status von iptables anschauen:
      sudo iptables -t nat -L -n -v
      Beim Output sollte eine Zeile mit NAT-5999 dabei sein:
      ...
      Chain POSTROUTING (policy ACCEPT 808K packets, 62M bytes)
      pkts bytes target prot opt in out source destination
      808K 62M UBNT_VPN_IPSEC_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M MINIUPNPD-POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
      808K 62M UBNT_PFOR_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      739K 57M RETURN all -- * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
      0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
      69080 4630K VYATTA_PRE_SNAT_HOOK all -- * * 0.0.0.0/0 0.0.0.0/0
      ...

      Gruß

      Martin

  12. Wieso habt ihr nicht einfach in der Fritzbox PPPoE-Passthrough aktiviert und die PPPOE Einwahl von der USG machen lassen…kein Doppeltes NAT und die Security Features sowie die volle Firewall Leistung der USG bleiben erhalten. Des weiteren funktioniert die Telefonie an der FB weiterhin. Ist nur ein Knopfdruck in der FritzBox und fertig 🙂 Wozu kauft man sich denn ein SecurityGateway wenn man doch bei der schnöden FritzBox bleibt? Da kann die USG auch gleich weg bleiben…ich betreibe meine FB nur als Modem und für die Telefonie…die pppoe Einwahl erfolgt über die USG-4-Pro. Somit bleiben alle Funktionen wie VPN / IPS usw. erhalten…die Routing-Tabellen im Netz funktionieren problemlos. Selbst IPTV ist mittels VLAN Tagging via WAN2 möglich.

    Wer hier noch weiter gehen will kann ein 2. LAN Kabel aus dem Unifi Subnet zurück zur FB führen und versuchen sie als SIP Trunk einzurichten, dann könnte man den EDU SIP in der USG aktivieren und seine Telefone auch ins Netz der USG hauen…Vorausgesetzt man hat richtige VoIP Geräte und keine DECT Telefone.

    Sollte die FB aufgrund der neuen Firmware kein PPPoE-Passthrough mehr unterstützen, hilft nur eine alte Firmware oder wieder der DrayTek als Modem und die FB hinter die USG. Einwahl dann auf DHCP stellen und ein Portforwarding ggf. mittels VLAN Tagging in der USG den weg für die SIP Einwahl der FB einrichten damit die TelefonAnlage weiterhin läuft. (nur Theorie habe ich selbst noch nicht versucht sollte aber funktionieren schließlich hat die USG ja 2 WAN Ports und das Modem meist ebenfalls mehr als einen falls ein eigenes VLAN für die Einwahl benötigt wird. Einige Provider machen das ja auch über öffentliche SIP Server die auch hinter einem NAT von der Fritzbox erreicht werden können)

    Gruß

    Hardy

    Ubiquiti Enterprise Admin

    1. Hallo Hardy,
      PPPoE ist auch eine gute Option. Das schöne bei IT ist, dass es verschiedene Ansätze gibt. Ich persönlich finde es einfacher jedes Gerät für sich zu betrachten und ganz “normal” zwischen den Netzen zu routen (deaktiviertes NAT auf dem USG). Auch hier stehen alle Vorteile der USG zum Schutz der Netze “hinter” der USG und zur Analyse der Daten zur Verfügung. Nur weil ich es einfacher finde, sagt das natürlich noch nichts darüber aus, ob es für andere auch die richtige Lösung ist.

      Eine alte Firmware für die FritzBox würde ich generell nicht empfehlen. Da die Option Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen) bei der FritzBox 7490 v7.11 zur Auswahl steht, gibt es dafür – Stand heute – keinen Grund. Das Risiko sehe ich eher beim Provider: Telekom: Parallele Verbindungen am DSL-Anschluss.

      Mit welchen Provider hast du bisher mit der PPPoE-Lösung gute Erfahrung sammeln können? Eventuell hilft das dem einen oder anderen zu entscheiden welche Lösung die passende ist.

      Gruß

      Martin

      1. Hi Martin,

        Ich finde ja nicht schlecht was ihr da macht. Wenn man damit aber täglich zu tun hat und auch mit Endkunden Erfahrungen sammelt, sind die einfachen Wege meist die besseren.

        Die Firmware der fritzbox spielt in meinem Beispiel keine Rolle da sie physisch nicht mit dem Internet verbunden ist. Die dhcp Funktion und auch die pppoe Einwahl der fritzbox sind deaktiviert. Nur die USG ist eingewählt.

        Mir stellt sich hier nur die Frage, wieso will ich denn zwischen beiden Netzen sauber Routen? Was hängt denn an der fritzbox denn dran? Oder was muss ich dort noch erreichen? Sie ist ja faktisch gesehen, nur noch ein modem mit tk Anlage. Wenn dein provider aber unbedingt eine internet Verbindung für die Telefonie braucht, kann sie auch hinter der usg hängen. Dann einfach die Einwahl von pppoe auf dhcp stellen und die notwendigen ports für die Telefonie für die fritzbox weiterleiten.

        Weil einfach, einfach, einfach ist 🙂

        Somit richte ich nur noch eine Freigabe für ein Gerät ein und muss nicht das gesamte NAT für alle clients umstricken.

        Ftth macht es möglich. Gute Erfahrungen habe ich mit 1&1 Versatel VDSL sowie Ftth der TCOM.

        1. Hi,

          bin noch ein bischen verwirrt, ob es nun besser ist die Fritzbox so zu lassen und NAT auf dem USG zu deaktivieren oder umgekehrt.
          Auf der Fritzbox nutze ich Telefonie, VPN und der DynDNS Service für die Fritzbox. Wen ich die Box jetzt auf PPoE passthrough setze, kann ich sie weiterhin für Telefonie nutzen (Dect) und die Softphone app auf den Smartphones sowie VPN?
          Die Box soll gleichzeitig Modem sein für die USG aber auch VPN und Telefonie zur Verfügung stellen. Für Fritz Dyndns, das ja so nicht mehr funktioniert, müsste ich mir eine andere Lösung einfallen lassen. D.h. aber auch das die Fritzbox eine IP aus dem lokalen Netz braucht. Wie funktioniert hier die Verkabelung? Muss ich vom Switch nochmal ein Kabel zurück zur Box legen?

          DHCP übernimmt im meinem Netz ein SBS2011, nutze allerdings nur die Mailfunktionalität des Servers. Trotzdem muss der Server als DHCP laufen. Deswegen sollen auch alle clients im selben IP Bereich des Servers stehen.

          DSL-> Fritzbox (Wan) -> Fritzbox Lan 1 -> USG Wan1 ->?

          Hintergrund für den Aufwand, ich will ein paar IoT Geräte einbinden in ein eigenes VLAN das eben durch die USG abgesichert ist (Wlan Geräte und Hardwired).

          Wen ich das so löse wie eben hier im Beitrag vorgeschlagen, bekommt die USG eine normale IP aus dem Bereich in dem die FritzBox liegt und spannt dahinter eigene Netze auf (in dem Fall ersteinmal nur für die IoT devices.

          Vom Gefühl her tendiere ich eher für die Lösung mit der Fritzbox als Modem und die USG erledigt die PPoE Einwahl (und bekommt damit die IP vom Provider). Damit könnte die USG sowohl das eigentliche Heimnetz als auch weitere VLAN schützen.

          Physisch gesehen hängt damit die Fritzbox sehr wohl im Internet (Wan ist mit der Gegenstelle der Telekom verbunden) nur die Einwahl wird nun von der USG erledigt.

          1. Hallo Udo,
            zur Frage ob es “besser” ist

            1. “die Fritzbox so zu lassen und NAT auf dem USG zu deaktivieren” oder
            2. “NAT auf der FritzBox zu deaktivieren und das USG so zu lassen”

            Deine zweite Option funktioniert so nicht, außer du meintest mit “umgekehrt”, dass du PPPoE passthrough auf der Fritzbox aktivierst (oder ich habe dich komplett falsch verstanden). Du hast noch die Option NAT sowohl auf der FritzBox als auch im USG aktiviert zu lassen. Ob das Deaktivieren von NAT für dich einen Vorteil bringt, hängt davon ab, ob du hinter dem USG Geräte hast, die mit doppeltem NAT Probleme haben oder ob du aus dem Subnetz der Fritzbox auf Netze/Clients hinter dem USG direkt zugreifen möchtest (ohne Portforwarding). Da der Artikel nicht die PPPoE-Lösung beschreibt, möchte ich nicht allzu sehr darauf eingehen, um nicht zu weit vom Thema des Artikels abzuweichen. Vielleicht noch ein paar Anmerkungen zum DHCP: Du musst nicht alle Clients/IoT-Geräte im selben IP-Bereich haben (was du auch nicht vorhast?). SBS2011 kann die IPs im Subnetz der Fritzbox vergeben, wenn nötig. Das USG kann für weiter Netze/VLANs als DHCP Server agieren oder den SBS2011 als DHCP Relay nutzen. Der SBS kann auch in einem Netz hinter dem USG hängen und dort als DHCP aktiv sein.
            Wie schon in anderen Post geschrieben tendiere ich gefühlsmäßig nicht zur PPPoE-Lösung, was aber nichts über die Qualität der verschiedenen Lösungen aussagt. Wichtig ist, dass sie deine Anforderungen erfüllt und du dich im Störfall damit zurechtfindest. Ich habe bei mir die FritzBox “normal” am Laufen, damit ich alle Dienste der Box, wie zum Beispiel VPN, Telefonanalage, FAX, wireshark Netzwerktrace oder DynDNS nutzen kann. Im Netz der Fritzbox hängt nur das USG mit deaktiviertem NAT und aktiver Firewall. Hinter dem USG habe ich verschiedene Subnetzte/VLAN für verschiedene Anwendungszwecke, die untereinander und nach “außen” durch das USG abgesichert sind.

            Vom USG unterstützte DynDNS Dienste: afraid, dnspark, dslreports, dyndns, easydns, namecheap, noip, sitelutions und zoneedit.

            Hinweise von AVM zu PPPoE-Passthrough: https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3232_PPPoE-Passthrough-in-FRITZ-Box-einrichten/

            Ich hoffe du kannst mit der Antwort etwas anfangen. Wenn ich einen dir wichtigen Aspekt übersehen habe oder dich nicht richtig verstanden habe, bitte nachfragen.

            Gruß Martin

          2. Hi Udo,

            “Physisch gesehen hängt damit die Fritzbox sehr wohl im Internet (Wan ist mit der Gegenstelle der Telekom verbunden) nur die Einwahl wird nun von der USG erledigt.”

            Das ist schlichtweg Falsch, da die FB nur mit dem DSL Port des Anbieters verbunden ist. Es besteht keine WAN Verbindung / TCP/IP Verbindung in irgendeine Richtung. Nur die Modulation der Verbindungsrate wird ausgehandelt und aufgebaut. Die Geräte sprechen also nicht miteinander. Dafür sind die OSI-Layer und PVC Lines zuständig, solange also über z.B. PVC 1/32 keine Einwahldaten gesendet werden findet auch keine Kommunikation mit irgendeinem Server statt und die FritzBox ist über keine IP der Welt erreichbar, nicht einmal von der DSL Port Management Karte…die zeigt ggf eine Vendor ID die ausgelesen werden kann.

          3. Hi Martin,

            anscheinend ist die “Antwort” Funktion abhängig von der tiefe der Antworten, ich kann auf Deinen und Hardys Beitrag nicht mehr antworten.

            Deswegen nochmal auf diesem Weg.

            Mit Option 2 meinte ich tatsächlich PPoE auf die USG durchleiten und die USG übernimmt die Einwahl.

            Vorteil deiner im Artikel beschriebenen Lösung:

            + FritzBox bleibt Modem, Telefonanlage, übernimmt VPN und MyFritz (Dyndns)
            + Das Hauptnetz so wie es im Augenblick konfiguriert ist kann (fast) bleiben wie es ist.

            Neutral (nenne es mal nicht Nachteil)

            – ich verliere die Möglichkeit die FritzBox selber als AP zu nutzen, da ich in dem von der FB ausgeleuchteten Bereich auch IoT Geräte liegen (eigener IP Bereich eigene VLAN ID).
            – die USG kümmert sich lediglich um die Netze hinter der USG (und da bin ich mir nicht sicher auch wegen der Verkabelung ).

            So hast du verkabelt:
            FritzBox 7490 “DSL/TEL” -> TAE Dose/DSL-Anschluss
            FritzBox 7490 “LAN 1” -> USG “WAN 1”
            USG “LAN 1” -> Deine restliche Infrastruktur

            Würde ich jetzt auch so verkabeln.

            Als Infrastruktur nutze ich noch einen 24Port Unifi Switch an dem praktisch alle Geräte und AP hängen.

            Im Augenlick habe ich ein Hauptnetz 192.168.10.x (der gesamte Park an netzwerkfähigen Geräten) und ein Gast WLAN (Ip Adressbereich kenne ich im Augenlick nicht auswendig, auf jeden Fall mit VLAN 100 tag).

            Ziel wäre die IoT Geräte in ein eigenes Netz zu sperren ohne Zugang zum Internet:
            192.168.10.x weiterhin Hauptnetz
            Ip Adressbereich unbekannt -> weiterhin Gastzugang VLAN 100
            192.168.30.x -> nur für IoT ohne Internet Zugang eigener VLAN tag
            event. ein weiteres Netz für Streaming Boxen (will die nicht wirklich mit den IoT Geräten mischen da sie auch Internetzugang benötigen und in meinem Hauptnetz brauch ich sie auch nicht wirklich (streame nur aus dem Internet, habe keinen lokalen Content den ich über diese Boxen abrufen will).

            Die zweite Lösung mit PPoE durchreichen:

            Vorteil:

            – die komplette Netzwerkverwaltung liegt hinter der USG und kann damit gesichert werden auch das Hauptnetz (inklusive Monitoring).

            Neutral:

            – die Fritzbox verkommt zum Modem
            – kann Telefonie im vollem Umfang genutzt werden (Fax, Phone App)??
            – My Fritz geht nicht mehr -> Alternativen hast du bereits genannt.
            – VPN geht nicht, bin mir nicht sicher ob man VPN aus der USG weiterleiten kann (oder soll) oder direkt einen neuen Zugang auf der USG konfiguriert.
            – ich verliere die Möglichkeit die FritzBox selber als AP zu nutzen, da ich in dem von der FB ausgeleuchteten Bereich auch IoT Geräte liegen (eigener IP Bereich eigene VLAN ID).

            Für beide Scenarien muss ich mir noch einen weiteren UnifiAP anschaffen um den AP Funktion der FB zu ersetzen.

            Wie erwähnt kann mich nicht wirklich entscheiden was die einfachere Lösung ist (Konfiguration und Zukunftsicherheit).

            Btw, vielen Dank für diesen Beitrag -> toller Blog!

            @Hardy
            du hast natürlich Recht, mit “physisch” meinte ich natürlich auch physische Geräte.

            Gruß
            Udo

            1. Hallo Udo,
              danke für den Hinweis mit den Kommentaren und die positive Rückmeldung zum Beitrag. Ich habe die erlaubten Ebenen für Antworten von 5 auf 10 angepasst, hoffe das hilft.

              Du hast die Lösungen schön gegenübergestellt. Bei Lösung 1, kannst du dein “Hauptnetz” auch hinter das USG hängen. Die FritzBox würde dann zu Beispiel 192.168.38.0 verwalten und hätte nur das USG als Gerät im eigenen Netz. Im USG würdest du ein VLAN (ohne TAG) für 192.168.10.0 auf die relevanten Ports der Switchs und das relevante WLAN konfigurieren. So sollte sich für deine Clients fast nichts ändern.

              Deine Anmerkung, dass das WLAN der FritzBox idealerweise deaktiviert wird, sehe ich auch so. Da ich zuerst mein Haus mit UniFi APs versorgt habe und mir später das USG zugelegt habe, hatte ich diesen Aspekt bisher nicht bedacht. Hier habe ich persönlich die Erfahrung gemacht, dass mehr UniFi Geräte mit “schwachen” Sendewerten im Haus besser sind als wenige mit “starken”. Die AVM WLAN Hardware, die ich vorher im Einsatz hatte, war da weniger problematisch.

              Ich vermute, die Entscheidung ist so “schwer” da alle drei Lösungen

              1. FritzBox als Router, USG mit aktivem NAT
              2. FritzBox als Router, USG ohne NAT als Router
              3. FritzBox als “Modem”, PPPoE, USG mit aktivem NAT

              ans Ziel führen. Ich hatte mit Lösung 1 gestartet und nachdem NAT bei mir Probleme gemacht hatte, auf Lösung 2 erweitert. Auf Lösung 3 bin ich erst durch Hardy aufmerksam geworden.

              Im Prinzip kannst du nichts falsch machen 😉

              Viel Erfolg

              Martin

              1. Da ich ja “neu” bin, habe ich mich für Lösung 3 entschieden, da sie mir am einfachsten zu implementieren schien.

                Worüber ich erstaunt bin bei dieser Lösung, ist der Umstand, dass meine VPN Konfiguration von der Fritzbox immer noch funktioniert. Ich werde aber später auch dies über das USG erledigen. Auch die DynDNS Konfiguration der Fritzbox benutze ich immer noch, da der USG es nicht erlaubt, einen beliebigen Anbieter zu konfigurieren.

                Danke für deinen Blog-Beitrag Martin, der mir den Impuls gab, die USG (die schon seit Wochen unbenutzt Staub ansammelte) endlich in Betrieb zu nehmen.

                Ist nett, wenn alles funktioniert 🙂

                1. Hallo Carbonide,
                  es freut mich, dass Harys Lösung für dich funktioniert. Mich erstaunt allerdings auch, dass das VPN der FritzBox noch funktioniert. Bei Lösung 3 sollte, soweit ich die Diskussion verstanden habe, die Fritzbox keine IP vom Provider mehr zugewiesen bekommen (durch falsch hinterlegte Zugangsdaten) und von daher auch nicht direkt vom Internet aus zu erreichen sein. Bist du dir sicher, dass deine Fritzbox keine eigene Verbindung parallel zum USG aufbaut? Technisch wäre das nicht wirklich schlimm. Abhängig vom Vertrag mit deinem Provider besteht jedoch die Möglichkeit, dass das zu zusätzlichen Kosten führen könnte.

                  DynDNS mit der Fritzbox könnte auch bei Lösung 3 funktionieren. Sie bekommt eine IP aus einem Subnetz des USG und stellt über dieses als Default-Route die Aktualisierungsanfrage. Der DynDNS Dienst sieht die IP, die das USG vom Provider bekommen hat (und hinter der deine Netzte durch NAT versteckt sind) und aktualisiert den Eintrag. Zumindest in der Theorie – wie bereits erwähnt: Lösung 3 habe ich nicht im Einsatz..

                  Gruß

                  Martin

                  1. Dass DynDNS funktioniert ist klar, der Service könnte ja auf einem beliebigen Gerät im internen Netz laufen (vor vielen, vielen Jahren hat das Mal ein Programm auf meinem Desktop-Rechner erledigt).

                    Die Geschichte mit dem VPN hat mich daran erinnert, das man auch auf einigen NAS einen VPN-Dienst einrichten kann (so z. B. auf meiner Synology), ich habe das aber nie probiert, da ich von Anfang an die Fritzbox dazu benutzt habe. Schleierhaft ist mir aber auch hier, wie das funktionieren kann. Ich dachte, das müsste immer über den Router/Gateway (das 1. Gerät in der Kette) geregelt werden.

              2. Hi Martin,

                ich habe das jetzt mal so umgesetzt wie im Artikel beschrieben. Allerdings hat es einige Stunden gebraucht bis alles so funktioniert hat. Kleiner Verbesserungsvorschlage für deinen Artikel, schreib die Pfade in den Artikel und verlinke zu https://help.ubnt.com/hc/en-us/articles/115004872967.

                Nachdem das gelöst ware habe ich auch ein bischen gebraucht bis ich WinSCP daszu übereden konnte das file in dem entsprechenden Verzeichnis abzulgen. Da mein Controller auf einem Raspi läuft und ich normalerweise kein Rechte auf das Unifi Verzeichnis habe. Der Link hier hat mir weitergeholfen: https://www.serverraumgeschichten.de/2016/03/winscp-mit-sudo-nutzen/.

                Den Exchange Server konnte ich soweit mit doppelter Portweiterleitung auch wieder
                erreichbar machen (FritzBox zu USG und weiter zum Server).

                Auch VPN funktioniert, zumindest z.T. Vielleicht kannst du mir noch einen Tipp geben. Die VPN user landen jetzt im DHCP Bereich der Fritzbox und der USG (192.168.38.x). Ich komm von dort aber nicht mehr weiter auf das Hauptnetz 192.168.10.x. um dort Fernwartung zu machen. Mache ich hier einen Denkfehler?

                Gruß
                Udo

                1. Hi Martin,

                  die Antwort steht im letzten Abschnitt deines Artikels, hab ich tatsächlich übersehen. Sorry. Kasst du auch einen IP Bereich freigeben der für die VPN user genutzt wird anstelle einer einzelnen IP? Ich kann vermutlich nicht sicherstellen das der gerade eingewählte User immer die selbe IP zugewiesen bekommt. Das funktionierte mal über das Fernzugangstool der FritzBox, da war es möglich jedem user seine eigene IP zuzuweisen. Über die Konfig der Fritz Oberfläche geht das aber nicht mehr und ich musst den DHCP dafür auf der Fritzbox wieder einschalten.

                  Gruß
                  Udo

                  1. Hallo Udo,
                    habe die zweite Antwort übersehen. Du könntest dem ganzen Subnetz der Fritzbox den Zugriff in der USG Firewall erlauben (erleichtert auch die Portforwardings). Nach meiner Erfahrung bekommt jeder VPN-Nutzer immer die gleiche IP Adresse aus der Fritzbox – auch wenn er über die Oberfläche angelegt wurde.

                    Gruß Martin

                2. Hallo Udo,
                  du musst, um vom VPN aus in dein Hauptnetz zu kommen, die Firewall im USG für die IP-Adressen der VPN Nutzer freischalten. Wenn du die Lösung aus dem Artikel nimmst, solltest du auch kein doppeltes Portforwarding benötigen. Nur eines von der Fritzbox hinter das USG und eine Firewallfreischaltung im USG. Das habe ich versucht im Abschitt “Zugriff vom FRITZ!Box Subnet durch das Security Gateway in die anderen Subnets freigeben” zu beschreiben. Passt das zu deinem Problem?

                  Vielen Dank für den Artikel mit dem sudo-Tipp für WinSCP. Das habe ich bisher umständlicher gelöst. Werde ich gleich mal ausprobieren.

                  Gruß

                  Martin

    2. Genügt es wirklich nur einfach diese eine Checkbox zu aktivieren und das war’s?

      Denn dann verstehe ich nicht den Aufwand der mit Methode 1 und 2 betrieben wird, wenn man genau die gleichen Vorteile mit Methode 3 hat.

      Welche IP müsste dann die Fritzbox haben?

      1. Hallo Carbonide,
        auf welche Checkbox beziehst du dich? Da in den verschiedenen Posts, abhängig von der konkreten Frage, verschiedene Methoden vorgestellt wurden, gelingt es mir leider nicht, deine Frage zuzuordnen.

        Kannst du deine Frage mit Beispielen konkretisieren?

        Gruß Martin

        1. Ich beziehe mich auf Hardy’s Post vom 28. Juni 2019 (“Ist nur ein Knopfdruck in der FritzBox und fertig”).

          Da ich sehr zufrieden bin mit meinem aktuellen Setup bestehend aus diversen Ubiquiti UniFi Switches, APs und Kameras, möchte ich jetzt die Fritzbox so weit es geht zu einem simplen Modem degradieren und alle anderen Aufgaben durch ein USG Pro 4 ersetzen. Die Funktionen der Fritzbox, die ich aktuell noch benutze sind:

          – VPN Server
          – DynDNS Aktualisierung
          – DHCP Server
          – Telefoniefunktionen

          Die ersten beiden Funktionen sind wesentlich, die 3. wohl kein Problem für USG, und die letzte von weniger Bedeutung.

          Am liebsten würde ich alle Dienste durch das USG erledigen wollen, wenn eine sehr einfache Lösung aber die vorgenannten Dienste auf der Fritzbox lässt, könnte ich damit leben.

          1. Hi Carbonide,

            korrekt! In der Fritzbox wird mit einem Knopfdruck die Interneteinwahl deaktiviert.
            Bitte darauf achten das die FB keine Zugangsdaten mehr gespeichert hat, da in den meisten fällen nur eine PPPoE Verbindung pro Anschluss aufgebaut werden kann.

            “https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3232_PPPoE-Passthrough-in-FRITZ-Box-einrichten/”

            Danach in der USG in den WAN Settings die PPPoE Einrichtung durchführen.
            – VPN Server -> muss dann zwingen in der USG eingerichtet werden (was kein Problem ist, bei mir läuft ein Client VPN Netzwerk sowie 3 IKeV2 Dynamic Verbindungen in Microsoft Azure)
            – DynDNS Aktualisierung -> Einrichtung muss dann ebenfalls in der USG vorgenommen werden, da die Fritzbox dann keine Öffentliche IP mehr bekommt, da sie nur noch die DSL Verbindung aufbaut.
            – DHCP übernimmt dann? klar die USG dafür ist sie ja da!

            – Telefoniefunktionen -> hier kommt es jetzt wirklich auf den Anbieter an.
            Einige Anbieter setzen eine Internet Verbindung für den aufbau der VoIP Session voraus, da nur so der VoIP Server des
            Providers erreichbar ist (Resale Anschlüsse, dein Provider mietet einen Port bei der Tcom, somit kein Management des DSL Ports
            möglich und keine eigenen Routen zum VoIP Server realisierbar), andere nutzen dafür unterschiedliche VLAN’s (z.B. FTTH Tcom),
            dann gibt es noch die Bereitstellung über den DSLAM des Providers, ähnlich wie bei PPPoE entscheidet der Benutzername und die PVC Line welchen
            Weg die Session am DSLAM des Providers geht und das schlimmste kommt zum schluss “NGN ” die VoIP Session wird vom Provider
            via MAC Adresse der Bereitgestellten Hardware aufgebaut (Router baut Verbindung zum Server auf und Authentifiziert sich über
            die Hardware ID)

            Gruß

            Hardy

          2. Ich antworte hier, da ich komischerweise keinen Antworten-Knopf bei Hardys untenstehendem Post finden kann.

            Wie gesagt ist mir die Telefonie jetzt mal zweitrangig, die 3 mir wichtigen Funktionen scheinen ja keine Probleme zu bereiten.

            Aber was mir noch nicht klar ist, in deinem Link von AVM steht von zusätzlicher PPPoE Einwahl, ich will ja aber die der Fritzbox ganz abschalten und die USG dies erledigen lassen.

            Ausserdem hat die Fritzbox bei mir aktuell die IP 192.168.1.1, die, soweit ich weiss, zwingenderweise die USG haben muss. Welche IP sollte die Fritzbox denn jetzt bekommen? Muss man nicht auch unter Heimnetz > Netzwerk > Netzwerkeinstellungen [x] Client IP einstellen (ich weiss leider nicht ob auf deutsch da auch Client IP steht, da ich meine Fritzbox eben von französisch auf deutsch umgestellt habe, komischerweise aber auf dieser Seite die Texte der beiden Optionen immer noch auf französisch erscheinen, wahrscheinloch soll es Bridge Mode sein).

          3. Wenn du Passthrough in de FB aktivierst kann die USG eine einwahl durchführen, wenn du jetzt zusätlich in den FB Internet Settings die Daten löschst und oder einstellst dass sie keine Verbindung aufbauen sollst, haben wir was wir brauchen….

            USG kann sich einwählen
            FB versucht nicht sich einzuwählen 🙂

            Check?

          4. “Ausserdem hat die Fritzbox bei mir aktuell die IP 192.168.1.1, die, soweit ich weiss, zwingenderweise die USG haben muss. Welche IP sollte die Fritzbox denn jetzt bekommen? Muss man nicht auch unter Heimnetz > Netzwerk > Netzwerkeinstellungen [x] Client IP einstellen (ich weiss leider nicht ob auf deutsch da auch Client IP steht, da ich meine Fritzbox eben von französisch auf deutsch umgestellt habe, komischerweise aber auf dieser Seite die Texte der beiden Optionen immer noch auf französisch erscheinen, wahrscheinloch soll es Bridge Mode sein).”

            Die USG und die FB können auch die gleiche IP haben. Die USG interessiert das netz davor nicht, da sie eine PPPoE Anfrage schickt und eine Öffentliche IP bekommt.

            Du kannst auch gerne in der FB den DHCP Server deaktivieren und sie komplett in den BridgedMode befördern. Der USG ist das egal da eine Wan PPPoE einwahl nicht auf TCPIP eben erfolgt. Wenn die USG eine PPPoE Einwahl macht, kommst du auch nicht mehr in das Subnet der FB, dass geht nur im DHCP mode, dann müssen die Subnetze aber auch zwingend unterschiedlich sein.

          5. Ich dachte bisher immer, dass 2 identische IP Adressen in einem Netz nicht möglich wären, oder nur Probleme bereiten würden.

            Sind folgende Schritte korrekt, um die USG in mein Heimnetz einzubinden:

            1. Fritzbox LAN Kabel auf USG WAN1
            2. USG WAN1 auf Switch anstelle der Fritzbox
            3. PPPoE Passthrough auf der Fritzbox aktivieren
            4. PPPoE Einwahl in der USG einrichten (eventuell in der Fritzbox ganz abschalten, was passiert wenn beide Geräte sich gleichzeitig einwählen?)

            und das war’s schon um wieder einen funktionierenden Internetzugang zu haben ohne doppeltes NAT? Den Rest (VPN, DHCP, DynDNS, Telefonie) würde zu einem späteren Zeitpunkt erfolgen.

            Ich entschuldige mich für meine langtatmige Fragerei, aber dies ist alles neu für mich.

          6. Fritzbox LAN1 auf USG WAN1 -> USG LAN1 auf Switch…fertig

            Für die Änderungen in der FB musst du dann den Rechner an der FB an LAN2/3/4 anschließen.
            Änderungen im Unifi Netz gehen dann nur am UnifiSwitch

            “PPPoE Einwahl in der USG einrichten (eventuell in der Fritzbox ganz abschalten, was passiert wenn beide Geräte sich gleichzeitig einwählen?)”
            wird nicht funktionieren, da der Provider meist nur eine Einwahl zulässt..demnach bekommt das gerät eine IP welches am schnellsten versucht hat die Verbindung herzustellen

            Und ja das reicht, da es kein doppel NAT geben kann. Es gibt dann 2 von einander getrennte netze.

          7. Ah, das ist also der Nachteil dieser Lösung: möchte ich auf die Fritzbox zugreifen (da diese hin und wieder mal die DSL Synchronisation verliert und ich nachschauen möchte, ob dies der Grund für den ausgefallenen Internetzugang ist) muss ich umstöpseln.

            Ich muss mir überlegen welche Lösung mir lieber ist.

            Vielen Dank für deine Hilfe!

          8. Na ja, es geht auch anders…^^
            Verkabelung so lassen…DHCP in FB deaktivieren…ihr eine Feste IP im gleichen Netz wie der USG geben (bitte darauf achten das sie nicht schon von einem anderen Gerät verwendet wird)…dann ein kabel von FB LAN2 auf Unifi Switch…und schon ist die FB über die Fest eingetragene IP auch im Unifi Netz erreichbar, wie jeder andere client auch…aber wir schweifen hier gerade etwas ab oder?

            Alternativ kann man ja auch nen Debug WLAN der Fb laufen lassen…dann kann man mal auf die FB wechseln und gucken was los ist…

            Vllt ist es aber auch besser die Synchronisierung’s Probleme zu beheben ^^

            1. Guten Abend,

              dieses Setup ist genau das, was ich im Kopf hatte.

              FB -> USG -> Switch wobei in der FB PPPoE einwahl für anderen Geräte erlaubt ist

              FB Lan2 auf Switch

              Würde hier auch ein Telefon funktionieren was an einem TAE Anschluss der FB hängt?

              Grüße Tobias

              1. Hallo Tobias,

                ich habe bei mir die Lösung ohne PPPoE im Einsatz. Hier funktioniert die Telefonanlage in der FritzBox wie gewohnt. Bei einer Lösung, in der die FritzBox die Internetverbindung über PPPoE weitergibt und gleichzeitig als IP-Client “hinter” dem USG (das die Interneteinwahl macht) hängt, liegen die theoretischen Probleme aber “nur” darin den VoIP Client der FritzBox (und eventuell NAT/Portforwarding in dem USG) so zu konfigurieren, dass er eine stabile Verbindung zu deinem Provider aufbaut und eingehende Anrufe entgegen nimmt. Wenn das klapp, funktionieren auch alle analogen, ISDN oder DECT Telefone wie gewohnt.
                Etwas anderes wäre es, wenn du noch einen klassischen Telefonanschluss ohne VoIP (also analog oder ISDN hättest). Das wäre komplett unabhängig von der PPPoE Konfiguration.

                Gruß

                Martin

    3. Hallo Hardy,

      Deine Lösung gefällt mir sehr gut, habe jedoch einige Schwierigkeiten bei der Umsetzung.
      Mein Szenario:

      FB 6490 Cable (Vodafone) mit fester öffentlicher IP (wird aber auch über DHCP zugewiesen)
      Seit einem der letzten Firmware Updates seitens Vodafone gibt es die Möglichkeit, die LAN-Ports 2-4 zu bridgen. Ich habe dies testweise auf LAN2 durchgeführt mit dem Ergebnis, dass ich an diesem Port die gleiche öffentliche IP wie die FB selbst erhalten habe. Logischerweise bin ich dann an diesem Port nicht ins Internet gekommen. Habe hierzu heute mit dem Business Support von Vodafone telefoniert und einen ziemlich arroganten MA erwischt. Dieser sagte mir klip und klar, dass das Bridging nicht supportet wird. Ist mir nur unklar, warum dann diese Funktion bereitgestellt wird.
      Kann es sein, dass dies mit meiner Option “Feste IP-Adresse” zusammenhängt und ich deshalb keine 2te virtuelle IP zugewiesen bekomme?
      Ich kann leider auch nicht auf die Telefoniefunktionen der FB verzichten und ein zusätzliches Modem möchte ich auch nicht installieren. Allerdings begeistern mich die UNIFI-Geräte und speziell das USG.
      Muss ich jetzt doch auf die alternativen Lösungen (NAT deaktivieren, Exposed Host) zurückgreifen?

      Viele Grüße
      Siegmar

  13. Hallo Martin,

    ich dachte fälschlicherweise, dass „site_ID“ ein erforderliches Verzeichnis ist und hatte es daher manuell erstellt. Das Verzeichnis „default“ (bei mir derzeit einzige Site) existiert natürlich.

    Die “config.gateway.json” in „default“ – provisioniert – und NAT ist bei mir deaktiviert.
    Iptables mit SSH geprüft und die Zeile mit NAT-5999 ist vorhanden. Funktioniert wunderbar.
    Gegenprobe durchgeführt “config.gateway.json” aus default-Verzeichnis gelöscht – provisioniert – und NAT ist wieder aktiv, keine NAT-5999 Zeile mehr in den iptables vorhanden.

    Sorry für die doppelte Frage nach Funktionstest – hattest Du schon ein paar Kommentare weiter oben erklärt.

    Gruß
    Rainer

    1. Hallo Rainer,

      kein Problem, du kannst gerne Fragen. Aufgrund der verschiedenen Kommentare kann es recht schwer sein, die passende Antwort zu finden. Da die meisten Kommentare recht aktuell sind, erinnere ich mich noch an das was ich geschrieben habe und durch das Wiederholen von hilfreichen Antworten, finden andere Leser hoffentlich schneller was sie benötigen.

      Noch eine Anmerkung zum Test mit tracert: hier habe ich mit Christian getestet, ob die Reihenfolge der Hops stimmt. Aus dem Test kannst du jedoch nicht schließen ob NAT deaktiviert ist. Dafür müsstest du aus dem Netz deiner FritzBox auf einen Rechner “hinter” der USG pingen/prüfen. Das funktioniert jedoch erst, wenn du die Firewall im USG entsprechend öffnest. Da hier zwei potentielle Fehlerquellen dazu führen können, dass es unter Umständen nicht wie erwartet funktioniert (NAT ist noch aktiv oder die USG Firewall blockiert), teste ich lieber mit iptables auf dem USG.

      Gruß

      Martin

  14. Hallo Martin,

    danke für die Erklärungen.

    Ich teste gerade verschiedene Wege ein klassisches Heimnetzwerk (eine FB 7490 mit ein paar Clients, Drucker und WLAN, DECT) auf Komponenten von UniFi/Draytek umzustellen, beziehungsweise zu erweitern.

    Dabei ist mir der Weg mit Draytek Vigor 165, Unifi USG, UniFi-Switch, UniFi AP in den Sinn gekommen. Grundsätzlich funktioniert das auch, aber nicht gerade trivial. Bei ein paar Punkten bin ich auch nicht glücklich. Dazu zählen DDNS, hier kann man im UniFi-Controller nur aus wenigen Providern auswählen und keine benutzerdefinierten Eingaben vornehmen. Dann Probleme bei VPN. Ich möchte eine dauerhafte VPN-Verbindung zwischen zwei Netzwerken (Standorte) einrichten, die bisher über Fritz-Boxen realisiert wird. Das habe ich nicht hinbekommen. Das Thema Port-Weiterleitung habe ich erst gar nicht mehr ausprobiert.

    Aufgrund der genannten Probleme habe ich mir überlegt, die FB vorgeschaltet zu lassen und dahinter nur die UniFi-Komponenten einzurichten. So bin ich bei der Suche, wie man das NAT auf der USG deaktivieren kann, auf Deine Seite gestoßen… 🙂

    Gruß
    Rainer

    1. Genau das versuche ich auch gerade , bis zum Externen Interface der gegenseite kann ich pingen , zur Fritzbox jedoh nicht . auch nicht mit den Einstellungen hier .

      1. Hallo,
        wenn du deinen Aufbau (welche Subnetze hast du konfiguriert? welche Komponenten setz du ein? hat es schon mal funktioniert? wenn ja, nach welcher Änderung hat es aufgehört zu laufen?) genauer beschreibst, kann ich versuchen dir bei der Fehlersuche zu helfen. Manchmal ist es nur eine Kleinigkeit in der Konfiguration, die nicht passt.

        Gruß
        Martin

  15. Hallo zusammen,

    zuerst mal vielen Dank für diese top Anleitung und die Mühe die Du Dir gemacht hast.
    Ich muss aber trotzdem noch eine Frage stellen, vielleicht habe ich es auch einfach falsch verstanden.

    Ich habe alles nach Anleitung umgesetzt. Auch wird NAT-5999 angezeigt (heißt, doppeltes NAT ist deaktiviert, richtig?). Dennoch muss ich jede Portforwarding Regel die ich in der FB erstellt habe im USG ebenfalls erstellen, da ich ansonsten nicht auf meine NAS zugreifen kann.

    Habe ich nun einen Knoten im Kopf und schmeiße unterschiedliche Dinge zusammen, oder funktioniert es bei mir nicht richtig?

    Vielen Dank und Grüße
    Jochen

    1. Hallo Jochen,
      vielen Dank für deine Rückmeldung. Zu deinen Fragen:
      wenn die Regel 5999 auf deinem USG angezeigt wird, führt das USG kein NAT mehr durch. Die nächste Stelle auf dem Weg ins Internet, an dem wieder NAT passieren könnte, ist die FritzBox. Wenn du Pech hast (oder einen DSL-Light-Tarif) führt dein Provider in seinem Netz nochmal NAT durch, wenn er sparsam mit öffentlichen IP-Adressen umgehen möchte. Im Prinzip macht es das was du willst, also ein “ja” auch deine Frage.
      Das du zusätzliche Regeln im USG anlegen musst, ist ungewöhnlich.
      Ein Netzwerkgerät hat in der Regel (Ausnahmen gibt es immer, gehen wir aber mal davon aus, dass es stimmt) für jedes Netzwerkinterface eine Regel, die besagt, dass Pakete, die an Zieladressen im Subnetz des Interface gehen, über dieses Interface das Gerät verlassen. Zusätzlich gibt es noch eine “default” Route, an die alle IP-Pakete gehen, die in Netze sollen, die nicht direkt an dem jeweiligen Netzwerkgerät hängen.
      Das ist alles schwer ohne Bild zu beschreiben, ich versuche schon einige Zeit ein aussagekräftiges zu erstellen, aber bisher leider ohne Erfolg. Vielleicht hilft dir das hier weiter:
      Beispiel für Routing (DRAFT)
      Achtung: Das Bild ist ein Rohentwurf und kann Fehler enthalten.

      Was zur Beantwortung deiner Frage noch wichtig ist: In welchem Netz hängt dein NAS und welche IP hat es?

      Hoff es hilft dir weiter.

      Gruß

      Martin

      1. Hallo Martin,
        vielen Dank. Ich glaube ich habe verstanden. Meine Konfig sieht wie folgt aus:

        unitymedia zur Fritzbox
        Netz: 10.10.10.0

        Fritzbox zum USG
        Netz: 10.10.10.0 auf 192.168.1.0

        NAS im Netz 192.168.1.0 an einem managed switch (akt. keine konfigurierten Regeln)

        Auf der FB sind Regeln angelegt um die NAS über gewisse Ports aus dem Internet erreichbar zu machen.

        Diese Regeln musste ich nun auf dem USG ebenfalls anlegen. D.h. 1x existieren die forwarding Regeln auf der FB und ebenfalls auf dem USG.

        -5999 wird dennoch angezeigt.

        Muss ich vielleicht auf dem USG separate fw Regeln anlegen?

        Ich dachte das mit dem ausschalten des NAT die Regeln nicht doppelt angelegt werden müssen.

        Grüße Jochen

        1. Hi,
          wenn ich dich richtig verstehe:

          • FritzBox verwaltet 10.10.10.0/24
          • USG verwaltet 192.168.1.0/24
          • NAS hängt an Switch hinter der USG im Netz 192.168.1.0/24

          Wenn du vom Netz 10.10.10.0 (zum Beispiel per VPN oder eben per FritzBox Port-Forwarding) auf dein NAS hinter dem USG zugreifen willst, musst du im USG die Firewall anpassen. Ohne Anpassungen lässt sie nur Pakete zu Verbindungen zu, die initial aus dem Netz 192.168.1.0/24 (in deiner Konfiguration) kommen.
          Das Unifi Security Gateway schützt alle Netze “hinter” sich (aus Sicht Internet). Du musst den Zugriff gezielt erlauben. Routen muss du keine setzen. Ich habe das im Abschnitt Zugriff vom FRITZ!Box Subnet durch das Security Gateway in die anderen Subnets freigeben versucht zu beschreiben.

          Gruß
          Martin

          1. Hallo Martin,
            alles klar, verstanden. Vielen Dank. Dann liegt es sicher daran, dass ich die FW durch die Portforwarding Regeln umgehe.
            Ich suche mir Deinen threat gleich mal raus und richte die fw ein.
            Gibt es eigentlich Nachteile dadurch das wir nat auf dem USG ausgeschaltet haben?

            Liebe Grüße
            -Jochen

            1. Hallo Jochen,
              wenn du die Firewall des USG durch Portforwarding umgehst, terminiert das Forwarding von der FritzBox auf dem USG anstelle deines NAS? Da die FritzBox dein NAS nicht direkt “sieht”, steht es dir im Portforwarding der Fritzbox nicht als Ziel zur Auswahl und du musst die IP-Adresse des Ziels (in deinem Fall dein NAS, nicht das USG) für die Weiterleitung (nicht das Routing) manuell in der FritzBox eingeben.

              Für deinen Anwendungsfall (Zugriff aus dem Internet auf ein Gerät in deinem LAN) hast du durch deaktivieren des NAT keinen direkten Vorteil. Du kannst es entweder durch Portforwarding, Routing und Firewallfreigaben ohne NAT oder mit mehrfachem Portforwarding mit NAT lösen. Der Vorteil entsteht beim Zugriff von deinem LAN ins Internet mit Geräten/Diensten, die bei doppeltem NAT nicht in vollem Umfang oder nicht optimal zur Verfügung stehen (zum Beispiel Spielkonsolen). Ein Nachteil ist, dass du in deiner UniFi Infrastruktur “manuelle” Änderungen vornimmst. Sie könnten durch ein Update oder eine Anpassung der verwendeten Komponenten irgendwann nicht mehr unterstützt sein. Zusätzlich musst du dich zur Konfiguration etwas mit “Netzwerken” beschäftigen – ob das ein Vor- oder Nachteil ist, sieht jeder etwas verschieden…

              Anstelle einer direkten Freigabe deines NAS, steht dir auch die Möglichkeit offen, eine VPN Verbindung zu deiner FritzBox zu nutzen um auf dein NAS mobil zuzugreifen – das reduziert deine “Angriffsfläche” etwas. Erschwert jedoch den eventuell gewünschten Zugriff von dritten auf dein NAS.

              Gruß

              Martin

  16. Hallo Martin,
    erstmal vielen Dank für die tolle Anleitung!

    Ich bin aktuell etwas verzweifelt da ich den korrekten Pfad nicht finden kann. Ich habe einen Raspberry mit dem Controller laufen. Auf der Seite https://help.ubnt.com/hc/en-us/articles/115004872967 wird ja für Debian/Ubuntu Linux folgender Pfad zur angegeben: /usr/lib/unifi . Sowohl unter dem Pfad /var/lib/unifi/ (hier gibt es kein data) als auch /usr/lib/unifi/data gibt es bei mir keine Sites… .

    Grundsätzlich scheint es mit den Rechten auf dem Raspi etwas schwieriger zu sein, hierzu habe ich folgenden Artikel gefunden: https://www.agmedia.de/index.php/de/technik-ecke/zugriff-auf-modem-hinter-usg-router

    “”Beim Raspberry PI als Controller einfach mit WIN-SCP die angepasste config.gateway.json ins Homeverzeichnis (/home/pi/) kopieren und dann mit Putty auf dem PI einloggen. Mit den folgenden Schritten wird die Datei dann ins richtige Verzeichins kopiert. Das Unifi-Verzeichnis ist gesperrt, also als Superuser arbeiten.””

    Wohin nun mit der config.gateway.json ??

    Vielen Dank für eure Hilfe!
    Marc

    1. Hallo Marc,
      /usr/lib/unifi/data könnte ein symbolischer Link nach /srv/unifi/data sein. Wenn du ganz sicher gehen willst, kannst du dich als “root” mit SSH an deinem Server anmelden (oder per sudo werden) und mit dem Befehl “find / -name firmware.json” nach einer Datei suchen, die im data-Verzeichnis liegen sollte. Hier sollte dann ein Ordner sites existieren in dem dann normalerweise default der richtige Ordner für config.gateway.json ist.

      Gruß Martin

      1. Hallo Martin,
        danke für die schnelle Antwort. Ich habe mich als pi mit sudo su angemeldet, eine firmware.json finde ich nur unter /var/lib/unifi/ . In diesem Ordner gibt es allerdings nur die Ordner backup, db, keystore und die Dateien firmware.json, system.properties und system.properties.bk.

        Der einzige Ort wo ich /data/defaults/ finden kann ist unter /usr/lib/unifi/webapps/ROOT/app-unifi/data/defaults. In diesem Ordner befinden sich 2 Dateien: dashboard-common-modules.json und dashboard-default-modules.json. Aber ich denke hier bin ich wohl auch nicht richtig 🙁

        Ich habe den Controller mit der Version 5.11.39.0 nach dieser Anleitung mit dem Skript ohne pi-hole installiert: https://community.ui.com/questions/Step-By-Step-Tutorial-Guide-Raspberry-Pi-with-UniFi-Controller-and-Pi-hole-from-scratch-headless/e8a24143-bfb8-4a61-973d-0b55320101dc

        Bin relativer Linux Neuling aber lernfähig, danke für die Geduld und ich freue mich über weitere Unterstützung!

        Viele Grüße
        Marc

        1. Hallo Marc,
          warst du schon am UniFi Controller angemeldet und hast eine Site/Zone konfiguriert?

          Beim Cloud Key liegt die Konfiguration hier: /usr/lib/unifi/data/sites/default
          Der Ordner “default” ohne “s” und nicht unter “data” sondern unter “sites”.

          Gruß Martin

          1. Hallo Martin,
            das “s” bei default ist mir rausgerutscht, natürlich default 🙂 Aber wie gesagt, der einzige Ort an dem ich als pi user mit sudo su eine firmware.json finde ist /var/lib/unifi und hier gibt es außer backup, db und keystore keine weiteren Ordner.

            Eine Site mit 5 Vlan´s ist konfiguriert, 3AP´s, USG und ein Unifi 24Port Switch sind soweit eingerichtet und funktionieren klaglos.

            Bin ich denn der einzige User der den Controller auf einem Raspi laufen hat? Vieleicht sollte ich doch das Geld für den Cloud Kex investieren… 🙁

            Viele Grüße
            Marc

            1. Hallo Marc,
              der CloudKey (Gen 1) ist auch “nur” ein kleiner Server mit ARMv7 Processor und 2 GB RAM auf Basis Debian 8.11 (jessie). Der Ordner “/usr/lib/unifi” ist der richtige -Ordner (UniFi – Where is ?). Die Ordner backup, db und keystore sollten jedoch nicht direkt in diesem Ordner liegen, sondern in einem Unterordner data (eventuell ein symbolischer Link auf einen anderen Ordner, wie zum Beispiel /srv/unifi/data). Parallel zu diesen Ordnern sollte in data der sites Ordner liegen.
              root@UniFi-CloudKey:/usr/lib/unifi/data# ls -al
              total 160
              drwxr-x--- 8 unifi unifi 4096 Sep 26 21:44 .
              drwxr-xr-x 5 root root 4096 Dec 21 2018 ..
              drwxr-x--- 3 unifi unifi 4096 Sep 28 21:47 backup
              drwxr-x--- 7 unifi unifi 4096 Sep 28 21:55 db
              drwxr-x--- 3 unifi unifi 4096 Jun 15 08:11 firmware
              -rw-r----- 1 unifi unifi 120353 Sep 28 21:46 firmware.json
              lrwxrwxrwx 1 unifi unifi 35 Dec 21 2018 keystore -> /etc/ssl/private/unifi.keystore.jks
              drwxr-x--- 4 unifi unifi 4096 Jun 21 22:31 sites
              -rw-r----- 1 unifi unifi 0 Dec 21 2018 system.configured
              -rw-r----- 1 unifi unifi 1383 Sep 26 21:44 system.properties
              -rw-r----- 1 unifi unifi 1383 Sep 26 21:44 system.properties.bk
              drwxr-x--- 3 unifi unifi 4096 Sep 26 21:44 tmp
              drwxr-x--- 3 unifi unifi 4096 Dec 21 2018 webrtc

              Gruß Martin

            2. Hallo, auch ich nutze seit paar Wochen Unifi. Mein Controller läuft auch auf einem pi. Auch ich finde das Verzeichnis Sites nicht. Ich habe es halt manuell angelegt, aber die config Datei wird wohl nicht beachtet. Habe parallel auf Ubuntu den Controller installiert. Auch dort finde ich das Verzeichnis sites nicht. Ich nutze die aktuellste Version des Controllers…. ich hoffe ich finde in dem Forum Hilfe….

              Grüße

              1. Hallo Roland,
                ich habe den Controller zum Testen auf einem Ubuntu Server installiert und kann bestätigen, dass das “sites”-Verzeichnis mit seinen individuellen Unterverzeichnissen pro Site nicht angelegt ist. Wenn du die Verzeichnisse nicht manuell anlegen willst, kannst du alternativ für jede deiner Sites bei den Einstellungen unter Gaststeuerung die Optionen Gastportal aktivieren und Vorlagen mit eigenen Anpassungen überschreiben anklicken und die Änderungen übernehmen. Dadurch werden die Verzeichnisse angelegt und bleiben auch bestehen, wenn du die Optionen wieder deaktivierst. Das manuelle Anlegen sollte auch funktionieren, du kannst die automatisch erstellten Verzeichnisse mit deinen vergleichen – eventuell fällt dir eine Abweichung auf.

                Ich hoffe das hilft dir weiter.

                Grüße
                Martin

                1. Hallo Martin,
                  vielen Dank! die Seiten wurden tatsächlich angelegt. Ich werde versuchen die Config Datei entsprechend abzulegen und dann den Gastportal wieder deaktivieren. Wie ist es denn auf den anderen Systemen (Windows, Mac) wird dort das Verzeichnis automatisch angelegt oder muss auch die Option Gastportal aktiviert werden?

                  Grüße
                  Roland

                  1. Hallo Roland,
                    freut mich, dass es klappt. Bisher bin ich davon ausgegangen, dass das Verzeichnis immer da sei, da es bei mir noch nie gefehlt hatte. Ich habe mir meine Installationen nochmal angeschaut. In allen Unterverzeichnissen für die jeweiligen Sites liegt bei mir neben der Datei config.gateway.json ein Verzeichnis map. Da ich NAT bisher immer in bereits bestehenden und etwas gereiften Installationen deaktiviert habe, vermute ich, dass andere Aktionen auch dazu führen, dass die notwendige Verzeichnisstruktur angelegt wird. Je mehr ein Benutzer mit seiner Installation und den möglichen Einstellungen und Übersichtsseiten im UniFi-Controller experimentiert hat, umso größer schätze ich die Chance ein, dass er kein Problem mit nicht vorhandenen Sites-Verzeichnissen hat.

                    Gruß
                    Martin

  17. Guten Tag,

    wir haben auch eine Fritzbox (Kabel, Unitymedia) und dahinter USG etc. etc. etc.
    Mir scheint es manchmal so (Zugriff von außen) sehr langsam zu sein.
    Hängt das mit diesen Doppelten NAT zusammen?
    Eigentlich hatte ich die Fritzbox (komme aktuell nicht auf die Fritzbox weil komplett andere IP etc, und bisher nicht geschaft mir da das zu routen, drauf) auf Bridge MOdues und Exposed Host gestellt. Ich bekomme auf jedenfall eine öffentliche IP an den USG was eigentlich heißt kein doppel NAT oder?

    Danke für den tollen Artikel!

    1. Hallo Daniel,
      wenn du eine öffentliche IP an deinem USG hast, sollte nur einmal NAT (auf dem USG) durchgeführt werden. Doppeltes NAT führt zu Problemen, wenn du direkte Verbindungen mit anderen Endgeräten im Internet aufbauen willst (zum Beispiel: Online Spiele mit PC/Konsole). Dass der Zugriff (von außen) manchmal sehr langsam wirkt, ist keine typische Begleiterscheinung von doppeltem NAT. Eher von einer ausgelasteten Verbindung. Hast du den Speedtest auf dem UniFi Controller regelmäßig laufen? Hier solltest du zumindest erkennen können, ob deine Internet Verbindung manchmal “gefühlt” oder “richtig” langsam ist.

      Gruß Martin

  18. Hallo Martin,
    ich bin Dank Deiner Anleitung einen großen Schritt weitergekommen bei der Umsetzung DSL -> Fritzbox -> USG.
    ——
    RETURN all — * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */
    MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set corporate_network src /* NAT-6001 */
    MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set remote_user_vpn_network src /* NAT-6002 */
    MASQUERADE all — * eth0 0.0.0.0/0 0.0.0.0/0 match-set guest_network src /* NAT-6003 */
    —–
    Die statischen Routen habe ich in der Fritzbox auch eingetragen.
    Nur komme ich nicht mehr von den Geräten die über WLAN (UniFi AP-AC-Lite) angebunden sind ins Internet.
    Intern funktioniert alles (z.B iPhone -> Synologybox , zwei verschiedene VLANs) . Auch ein “Ping” vom iPhone auf die FritzBox funktioniert.
    Hast Du eine Idee wo hier der Fehler ist?
    Danke!
    Gruß
    Jürgen

    1. Hallo Jürgen,
      welche IP-Netze (und Adressen) verwendest du

      • zwischen FritzBox und USG
      • “hinter” dem USG

      und wohin zeigen die Default- und statischen Routen deiner Endgeräte, des USG und der FritzBox?

      Die Informationen könnten helfen die Ursache einzugrenzen.

      Gruß
      Martin

  19. Hallo Martin,

    Die Adressen “hinter” der USG sind von “LAN” 192.168.1.0/24 bis 192.168.15.0/24 (einzelne VLANs)
    Das Netz zwischen FritzBox und der USG hat die 192.168.20.0/24
    FritzBox = 192.168.20.1
    USG = 192.168.20.2
    Routing: z.B. 192.168.2.0 / 255.255.255.0 / 192.168.20.2

    Für die FritzBox und der USG selbst habe ich keine Routen eingetragen.

    Noch als Hinweis:
    Es betrifft ja auch nur die WLAN-Netze, die “kabelgebundenen” Rechner kommen in Internet.

    Gruß
    Jürgen

  20. Hallo Martin,
    mein “Problem” ist gelöst.
    Ich habe meine Adressvergabe noch einmal komplett neu aufgesetzt, danach hat es funktioniert.

    Danke!

    Gruß
    Jürgen

    1. Hi,

      was genau hast du gemacht…
      Ich habe den gleichen Effekt.

      NAT auf USG (192.168.1.1) deaktiviert und Route auf FB (192.168.178.1) eingrichtet.
      192.168.1.0 => 255.255.255.0 => 192.168.178.20 <= IP des USG

      IPTables Eintrag ist auch vorhanden.
      4460 422K RETURN all — * eth0 0.0.0.0/0 0.0.0.0/0 /* NAT-5999 */

      Leider haben dann die CLients teilweise keinen connect mehr

      Gruß
      Markus

  21. Hallo,

    Vielen Dank für den Bericht und all die Kommentare, dies hat mich schon sehr weiter gebracht.

    Mein Setup sieht wie folgt aus: Fritzbox USG Unifi Switch Unifi AP / Cloud Key
    Ich habe auf der USG noch ein Port Forwarding eingerichtet (Port 111), die mich auf einen Server (192.168.1.11 Port 80) weiterleitet im hinter dem USG. Das Ziel ist es, dass ich ubnt.fritz.box:111 eingeben kann dann auf dem Server lande.

    –>Wenn ich mich zum Wireless von der Fritzbox einwähle, komme ich mit ubnt.fritz.box:111 auf meinen Server.
    –>Wenn ich mich nun aber via VPN auf meine Fritzbox einwähle, funktioniert es nicht.

    Hat mir jemand einen Tipp, an was dies liegen kann.

    Vielen Dank im Voraus für jegliche Hilfe.
    Thomas

    1. Hallo Thomas,
      wenn ich dich richtig verstehe, hast du sowohl bei der FritzBox als auch dem USG NAT aktiv?
      Wie verhält sich der VPN Client,

      • wenn du anstelle des DNS Namens (ubnt.fritz.box) die IP-Adresse verwendest (um auszuschließen, dass es ein DNS Problem ist),
      • wenn du per VPN andere Geräte in dem Netz der FritzBox ansprichst?

      Gruß
      Martin

      1. Hi Martin,

        Vielen Dank für Dein Feedback.

        Nein, ich habe das NAT ausgeschaltet auf dem USG, wie im Blog beschrieben.

        Wenn ich im FritzBox Netzt bin, ist es egal ob ich ubnt.fritz.box:111 oder 192.168.10.10:111 verwende, beides funktioniert. Und wenn ich via VPN rein komme, funktioniert beides NICHT. (und vom FritzBox netz, kann ich kein Device ansprechen das hinter der USG ist)

        Wenn ich im VPN bin, kann ich auf die FritzBox oberfläche zugreifen via IP oder fritz.box. Sonst hat es keine Devices in diesem Netz ausser der USG.

        Gruss
        Thomas

        1. Hallo Thomas,
          wenn das USG kein NAT macht, musst du kein Portforwarding einrichten. Es reicht, wenn du den Zugriff auf den Rechner hinter dem USG in der USG-Firewall freigibst. Ansprechen würdest du den Zielrechner mit seiner normalen Adresse. Deine Variante sollte aber auch gehen. Welche IP Subnetze hast du

          • hinter der USG,
          • hinter der FritzBox (192.168.10.0) und
          • in dem Netz von dem du aus das VPN zur FritzBox aufbaust

          verwendet?

          Gruß Martin

          1. Hi Martin,

            Vielen Dank für Dein Feedback.
            Ich konnte das Problem nun Lösen. Es war ein Konfigurationsproblem auf der Fritzbox.

            Nochmals vielen Dank für den Blog und den Super Support.
            Gruss
            Thomas

  22. Super Und ausführliche Beschreibung! Muss die config.Gateway.joson auf dem UniFi Controller und nicht USG abgelegt werden? Wie führe ich für den UniFi Controller eine Provisionierung durch und wie kann ich sehen, daß der USG die config Datei berücksichtigt. D.h. NAT disabled ist?
    VG

    1. Hallo Thorsten,

      • Ja, die config.gateway.json (Schreibweise relevant!) gehört auf den UniFi Controller.
      • Die Provisionierung muss auf dem Controller für das USG gestartet werden (nicht für den Controller).
      • Am UniFi Controller anmelden
      • USG auswählen
      • Konfiguration
      • Gerät verwalten
      • Provisionieren
      • Zum Prüfen, ob NAT deaktiviert wurde, kannst du dich an dem USG per SSH anmelden und mit sudo iptables -t nat -L -n -v nach der Regel NAT-5999 suchen (Details in meiner Antwort vom 28. Juni 2019 um 20:42 Uhr an Rainer).

      Gruß Martin

  23. Hallo zusammen,

    super Anleitung hier!! Leider verhält sich bei mir irgendwie einiges anders als hier beschrieben.

    Zum Setup:
    Standard DSL100 von Vodafone
    TAE Dose -> Fritzbox 7590 (LAN1) -> USG (WAN)
    USG (LAN1) -> Zyxel Switch (managed) -> Unifi APs und div. andere Devices
    Alle Endgeräte erhalten ihre IP über DHCP.
    USG und APs sind in den Controller sauber eingebunden der auf einem raspberrypi3 läuft.

    Netze:
    Fritzbox 192.168.178.0/24 – DHCP aktiviert
    USG 192.168.1.0/24 – DHCP aktiviert
    Stat. Route auf FB eingerichtet damit das Netz 192.168.1.0/24 via VPN erreichbar ist

    Das Netz läuft soweit, die Endgeräte können ins Inet und untereinander reden.
    Nun möchte ich Doppel-NAT vermeiden, daher habe ich die /usr/lib/unifi/data/sites/default/config.gateway.json erstellt und die USG erneut provisioniert.

    Nun, kann ich von den Endgeräten aus nicht mehr ins Internet !?!
    root@raspberrypi3:~# traceroute 8.8.8.8
    traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
    1 USG (192.168.1.1) 0.606 ms * *
    2 fritz.box (192.168.178.1) 1.668 ms 2.094 ms 2.439 ms
    3 * * *
    4 * * *
    ….

    Auf dem USG funktioniert der traceroute interessanterweise weiterhin:
    root@USG:~# traceroute 8.8.8.8
    traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
    1 fritz-nas.box (192.168.178.1) 0.883 ms 0.374 ms 0.329 ms
    2 #################.pools.vodafone-ip.de (##########) 5.537 ms 4.915 ms 4.928 ms

    Sobald ich nun die config.gateway.json nach /tmp schiebe und erneut provisioniere, funktioniert die Kommunikation wieder und die Endgeräte können ins Internet.

    Jetzt wirds noch seltsamer:
    NAT auf USG ist aktiv, andernfalls würde folgender Befehl eine Zeile ausspucken, richtig?
    root@USG:~# iptables -t nat -L -n -v |grep 5999

    Netzwerk Check auf der PS4:
    NAT Typ-2

    Und Typ-2 bedeutet wenn ich das hier richtig lese, dass kein Doppel-NAT vorliegt ….
    Ich bin ein wenig ratlos warum bei mir scheinbar Doppel-NAT nicht vorliegt, bzw. warum die Internet Verbindung unterbrochen wird sobald das NATting auf der USG deaktiviert wird.

    Ergibt das für die Experten hier einen Sinn?

    Viele Grüße, Sven

    1. Hallo Sven,

      wenn ich dich richtig verstehe, hattest du in der FritzBox bereits eine statische Route definiert, bevor du NAT im USG deaktiviert hattest? Die statische Route dient in der Anleitung nicht für den Zugriff über VPN (das müsste bei Problemen in der Firewall des USG konfiguriert werden), sondern, dass die FritzBox weiß, an welche IP (die des USG im Netz der FritzBox, bei dir 192.168.178.?) es die Pakete der Netze “hinter” dem USG schicken soll (bei dir 192.168.168.1.0/24).

      Hast du in der Firewall des USG oder bei der UPnP Konfiguration Änderungen vorgenommen? Wenn die PS4 auch bei doppeltem NAT “zufrieden” ist, deutete es darauf hin, dass die relevanten Ports sauber geforwared werden und “von außen” erreichbar sind.

      Zu deiner Frage zu “iptables -t nat -L -n -v |grep 5999” – ja, wenn NAT wie in der Anleitung beschrieben deaktiviert wurde, würde eine Zeile zurück geliefert.

      Ich würde als erstes die Routen- und Firewall-Konfigurationen prüfen. Hoffe du findest die Ursache, wenn dir noch etwas merkwürdig vorkommt, einfach fragen.

      Gruß

      Martin

      1. Hi Martin,

        danke für die Richtigstellung bzgl. der Route auf der FB. Ich hatte die Route bereits erstellt bevor ich mit dem NATting auf dem USG angefangen habe. Die USG hat auf der WAN Seite (eth0) die IP 192.168.178.100 und LAN seitig (eth1) 192.168.1.1.
        Ich habe das Thema i.d. Zwischenzeit etwas runtergebrochen und einen offiziellen Thread dazu aufgemacht, der hier zu finden ist. https://community.ui.com/questions/USG-no-internet-access-when-NAT-is-disabled/2f2602d5-78d6-4d6e-8aa2-033075eb056e

        In Kurzform, sobald ich die relevante NAT Regel 6001 deaktiviere wird die Internet Verbindung für die Endgeräte unterbrochen. Interessanterweise kann die USG selbst weiterhin Dienste wie Google DNS etc. erreichen. Sobald ich eine Provisionierung über den Controller forciere wird die USG Config überschrieben und damit ist die Regel 6001 wieder aktiv und alle Endgeräte können wieder ins Internet.

        Leider verstehe ich nicht welche Änderungen sich noch implizit ergeben wenn die NAT Regel 6001 deaktiviert wird. Es scheint auf jeden Fall nicht nur die Address-Translation zu sein …

        Bin für jeden Tipp dankbar!

        Gruss Sven
        Leider bekomme ich das Problem mit meinem bescheidenen Netzwerk Kentnissen nicht in den Griff.

        1. Hallo Sven,

          ich habe mir eben den von dir verlinkten Eintrag zum Ubiquiti-Supportforum angeschaut. Da dich gestern jemand wieder auf den Blog hier zurückverwiesen hat, gehe ich davon aus, dass im Supportforum nicht mehr viel ergänzt wird. Eine der Antworten im Supportforum ging um die Frage ob – oder warum – NAT im USG deaktiviert werden soll. Wenn du keine Probleme hast, brauchst du das nicht zu machen. Es gibt aber einige Anwendungen, die doppeltes NAT nicht mögen. Neben doppeltem NAT (“Auslieferzustand”) und der im Blogartikel beschrieben Lösung (“normales routen”), hat Hardy in den Kommentaren einen weiteren Lösungsansatz (“PPPoE passthrough”) beschrieben. Einen “exposed host” brauchst du in keinem der Lösungsansätze.

          Was mir nicht ganz klar ist, ist wie du die NAT Regeln “deaktiviert” hast. Hast du, wie hier im Blog beschrieben, mit der Regel 5999 das Netzwerkdevice eth0 generell vom Masquerading ausgenommen oder, wie in deiner Anfrage im Ubiquiti-Supportforum beschrieben nur die NAT-Regel 6001 deaktiviert?

          Gruß Martin

          1. Hi Martin,

            über die cli des usg kann man einzelne Regeln deaktivieren/löschen oder sich einfach den Status anschauen.

            Für Versuchszwecke hatte ich die rule 6001 gelöscht, nach dem “force provision” ist sie dann wieder vorhanden.

            admin@USG:~$ configure
            [edit]
            admin@USG# delete service nat rule 6001
            [edit]
            admin@USG# commit
            [edit]
            admin@USG# save
            Saving configuration to ‘/config/config.boot’…
            Done
            [edit]
            admin@USG# exit

            Das eigentliche Problem habe ich bisher dennoch nicht abstellen können, fälschlicherweise dachte ich bereits es mit “exposed host” gelöst zu haben. Also alles zurück auf Anfang. Das Netz wurde i.d.Zwischenzeit um 3 VLAN erweitert.

            LAN 192.168.1.0/24 (Corporate – Mgmt)
            VLAN10 10.10.0.0/24 (Corporate – Trusted)
            VLAN10 10.20.0.0/24 (Corporate – IoT)
            VLAN10 10.30.0.0/24 (Corporate – Guest)

            Statische Routen wurde auf der FB nachgetragen für die 10er Netze.
            Wenn ich NAT deaktiviere auf der USG (per json File, Regel ist aktiv), dann können Endgeräte im 192.168.1.0 Netz weiterhin 8.8.8.8 anpingen. Endgeräte aus einem der 10er Netze erreichen google nicht mehr. Ein traceroute sieht wie folgt aus:

            root@raspberrypi3:~# traceroute 8.8.8.8
            traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
            1 10.10.0.1 (10.10.0.1) 0.577 ms 0.639 ms 0.763 ms
            2 192.168.178.1 (192.168.178.1) 1.965 ms 2.465 ms 2.912 ms
            3 * * *
            …. ab hier kommen nur noch ****

            Um das weiter eingrenzen zu können wäre ich Dir dankbar wenn Du mir die ein oder andere Frage beantworten könntest.
            1) Nutzt Du neben dem default LAN auf der USG weitere VLANs (Corporate, oder VLAN only)?
            2) Wenn ja, hast Du auch weitere statische Routen auf der FB dafür eingerichtet?
            3) Wie sehen die bei Dir aus?
            4) Ist es wichtig, wann diese erzeugt werden, also erst NAT deaktivieren und dann statische Route?
            5) Hast Du auf USG Seite irgendwelche extra DNS/DHCP Anpassungen gemacht?

            Ich frage mich halt was mit den DNS Requests passiert, wenn ich aus dem 10er Netz ins 192.168.1.0 Netz (also die USG LAN Adresse) hoppe und von dort dann über USG WAN IP und Fritzbox ins Internet. Findet NATting zwischen den 10er und 192.168.1.0 Netzen statt oder wie funktioniert das übersetzen der Adressen intern? Wenn ja, dann könnte das erklären warum ich aus dem 10er Netz nicht weiterkomme, sobald NAT deaktiviert ist ….

            Gruss Sven
            Ich habe auf jeden Fall eine steile Lernkurve :).

            Gruss Sven

            1. Hallo Sven,

              vielen Dank für das Eingrenzen der Fragen 😉

              1) Nutzt Du neben dem Default-LAN auf der USG weitere VLANs (Corporate, oder VLAN only)?
              Ja. Alle sind entweder Corporate/Unternehmen oder Guest/Gast. Eines mit aktiver “Präfix-Delegierung” für IPv6.
              2) Wenn ja, hast Du auch weitere statische Routen auf der FB dafür eingerichtet?
              Ja, für jedes Netz eine eigene Route
              3) Wie sehen die bei Dir aus?
              Netzwerk: das jeweilige Netzwerk hinter dem USG. (Bei 24-Bit-Netzmaske ist es die Adresse mit der Null am Ende)
              Subnetzmaske: 255.255.255.0
              Gateway: IP des USG im Netz der FritzBox.

              4) Ist es wichtig, wann diese erzeugt werden, also erst NAT deaktivieren und dann statische Route?
              Nein. Solange du einen Client direkt im Netz der FritzBox hast, kannst du sie auch nachträglich konfigurieren.
              5) Hast Du auf USG Seite irgendwelche extra DNS/DHCP Anpassungen gemacht?
              Ja, ich nutze in einigen der Netze hinter dem USG die erweiterten DHCP-Optionen “DHCP NTP-Server” und “DHCP Netzwerk Boot”. Hat aber nichts mit dem Deaktivieren des doppelten NAT zu tun.

              Zum Testen würde ich nicht die Regel 6001 entfernen, sondern die Regel 5999 wie im Artikel beschrieben auf dem USG konfigurieren. Das, in Kombination mit den statischen Routen, sollte das gewünschte Verhalten erreichen. Zur Sicherheit kannst du auch deine FritzBox und dein USG zurücksetzen. Für den Fall, dass du noch Konfigurationen alter Versuche aktiv hast.

              Wenn du genau wissen willst, wie deine Pakete aussehen, die über die Fritzbox laufen, lohnt ein Blick auf http://fritz.box/html/capture.html in Verbindung mit Wireshark.

              Gruß

              Martin

  24. Guten Abend,

    ich bin dieser Anleitung gefolgt und sehr dankbar für diese Möglichkeit. Leider ist es bei mir so, dass sobald ich die Datei hochlade und das USG provisioniere der Zugang zum Internet gekappt wird.
    Meine Fritzbox liegt auf 192.168.178.1 und mein USG WAN auf 192.168.178.3. Auf der anderen Seite gibt es das Subnetz mit 192.168.108.1.
    Nun habe ich eine statische Route auf der Fritzbox nach der Anletiung eingerichtet und die Datei hochgeladen.
    Das interessante ist, dass meine USG weiterhin der Meinung ist sie wäre im Internet. Das steht zumindest dran, wenn ich mich direkt bei 192.168.108.1 anmelde.
    Die Fritzbox kann jedoch auch nicht mehr erreicht werden.
    Der tracert Befehl schlägt fehl.
    Die Fritzbox selbst ist aber online. Über sie kann man ganz normal ins Internet.

    Hat jemand eine Idee?

    Gruß

    Felix

    1. Hallo Felix,

      um sicher zu gehen, dass ich dich richtig verstanden habe.

      Netzwerkkonfiguration:

      • FritzBox: 192.168.178.1
      • USG WAN: 192.168.178.3
      • USG LAN: 192.168.108.1
      • Subnetz “hinter” der USG: 192.168.108.0/24

      Statische Route in FritzBox:

      • Netzwerk: 192.168.108.0
      • Subnetzmaske: 255.255.255.0
      • Gateway: 192.168.178.3

      Dass deine FritzBox noch ins Internet kommt (und alle Geräte im 192.168.178.0/24 Netz) ist schon mal eine gute Sache. Auch, dass dein USG noch “online” ist, ist zu erwarten, da das USG einen direkten Zugang zum Netz 192.168.178.0/24 über sein WAN-Device hat und die FritzBox (192.168.178.1) seine Default-Route ist. Dass die Geräte im Netz 192.168.108.0/24 nur noch aufs USG kommen, deutet auf ein Problem im Routing hin. Ich vermute, entweder ist die Route von der FritzBox nicht korrekt eingerichtet oder die Endgeräte hinter der USG haben die falsche Default-Route (192.168.0.1). Kannst du die statische Route in der FritzBox nochmal prüfen?

      Gruß
      Martin

      1. Hallo Martin,

        du hast alles richtig verstanden. Und so wie es aussieht hast du mir auch direkt die Lösung präsentiert. Vermutlich werden sich hier jetzt einige an den Kopf fassen aber ich hatte das so:

        FritzBox: 192.168.178.2
        USG WAN: 192.168.178.3
        USG LAN: 192.168.108.1
        Subnetz “hinter” der USG: 192.168.108.0/24

        Soweit so klar. Nur das Subnetz hinter der USG habe ich bis jetzt immer mit 192.168.108.1/24 angegeben. Also auch in der USG direkt. Mir ist der Unterschied aus Sicht der Fritzbox auch immer noch nicht klar. Es gibt die Adresse 192.168.108.0 doch gar nicht da mein Subnetz 192.168.108.1/24 ist.

        Zwar kann ich abschließend nicht wirklich sagen, ob ich das NAT ausgeschaltet habe (* NAT-5999 */ erscheint), aber es funktioniert nun mit der 192.168.108.0 als Route für die Fritzbox. Ich komme ins Internet und an die Fritzbox und das obwohl ich die json hochgeladen habe.

        Ich habe einmal mehr hier eine Menge gelernt. Ganz herzlichen Dank für deinen Artikel und auch deine schnelle Hilfe. Ich bin mir sicher, dass diese Seite unabhängig, ob nun die PPPoE Variante oder deine genutzt wird, einigen Leute weitergeholfen hat. Danke für die Mühe die du dir machst dein Wissen zu teilen und sogar noch zu helfen! Auch danke an die anderen Beitragenden, vor allem Harvey, da sie deinen Artikel sinnvoll ergänzen.

        Ich mach mich mal weiter ans recherchieren. Nun muss ich verstehen warum ein Windowsrechner eine komplett fremde IP bekommt, wie die Firewall des USGs funktioniert und wie ich meine NAS wieder zum Laufen bringe. Nicht zu vergessen die Überlegung am Ende, ob es das alles wert war ;-).
        Guten Start in die neue Woche.

        Grüße
        Felix

        1. Hallo Felix,

          es freut mich, dass du einen Schritt weiter gekommen bist. Wenn du die statische Route in der Fritzbox hinterlegt hast, musst du mit der JSON-Datei das NAT deaktivieren (NAT-regel 5999) – passt also alles zusammen.
          Eine kleine Anmerkung zu den Bezeichnungen von IPv4-Adressen und IPv4-Netzen. 192.168.108.1/24 meint so viel wie:

          • die IP-Adresse 192.168.108.1
          • mit der Subnetzmaske 255.255.255.255.0 (24 Bit)
          • [=> 24 Bit für Netze und 8 Bit für Endgeräte, 254 nutzbare IP-Adressen]

          • aus dem Subnetz 192.168.108.0
          • mit der Broadcastadresse 192.168.108.255 und
          • den IP-Adressen 192.168.108.1 bis 192.168.108.254

          Ins Blaue geraten: Wenn der Windowsrechner eine IP aus dem Netz 169.254.0.0/16 bekommt, hat er keinen DHCP Server im Netz.

          Gruß

          Martin

          1. Hallo Martin,

            beides konnte ich auch in Erfahrung bringen. Vermutlich hätte ich einfach auf deine Antwort warten müssen ;-).

            Das mit dem fehlenden DHCP-Server war irgendwie auch klar. Nur warum ist mir nicht klar. Problem ist behoben indem ich dem PC eine fixe IP aus dem Subnetz 192.168.108.0 zugewiesen habe. Aber der DHCP-Server in Form der USG war eigentlich die ganze Zeit da. Anschluss erfolgte die ganze Zeit über LAN.

            Ich auf der Suche nach der Frage warum eigentlich genau die 169.254.0.0/16 aber auf die Möglichkeit aufmerksam geworden der localdomain einen Namen geben zu können und so per “Namen” auch die Clients anzusprechen zu können.
            Das ist das tolle an dieser Materie: So viele Möglichkeiten, so viel zum Probieren.

            Danke nochmal für deine Hilfe.

            Viele Grüße
            Felix

            1. Ich muss doch noch mal eine Frage nachreichen.

              Ich habe nun versucht Freigaben in der Fritzbox für die USG zu erstellen. So wie gewohnt gebe ich also zum Beispiel den 5786 für mein NAS frei. Bestätige ich das Ganze bekomme ich dann von der Fritzbox einen komplett anderen Port präsentiert. Wird dieser von der USG vorgegeben oder wie kommt es zu der Portänderung? Und wie kann ich so durch einen DDNS-Dienst meine NAS erreichen?
              Ich meine mich hier gelesen zu haben, dass sich bei der Version das NAT auszuschalten sich Anpassungen an der Firewall des USGs erübrigen und es bei der Fritzbox bleibt. Ist das korrekt oder bin ich auf dem kompletten Holzweg?

              Gruß
              Felix

              1. Ich nochmal.

                Der letzte Beitrag war tatsächlich ziemlich, ähm, nennen wir es unqualifiziert.
                Natürlich muss in der USG der Port eingetragen, woher soll sie es wissen?
                Und die komsichen Ports in der Fritzbox kommen, wenn man die alten Freigaben mit den gleichen Ports – so wie ich- nicht richtig löscht. Also löschen und dan nochmal Übernehmen.

                Nun gehts, wie es soll.
                Vielleicht willst du, Martin, einfach beide Beiträge löschen :-).

                Viele Grüße

                Felix

                1. Hallo Felix,
                  wenn es dich nicht stört, würde ich deine Frage inklusive deiner Antwort gerne so stehen lassen. Andere hatten bereits das gleiche Problem wie du und hoffentlich hilft deine Erklärung dem einen oder anderen in der Zukunft sein Problem zu analysieren.
                  P.S. unqualifiziert finde ich deine Frage nicht. Gerade bei größeren Installationen mit vielen Subnetzen und verschiedenen Firewalls steht man im Fehlerfall öfter vor dem Problem, dass nicht ganz klar ist, wo und warum Pakete verloren gehen. Mir hilft es hier ein Schaubild zu zeichnen (was als Dokumentation eigentlich immer vorliegen sollte). Spätestens wenn du jemand das Bild und den Datenfluss erklärst, findest du in der Regel die Ursache für das unerwartete Verhalten.

                  Gruß
                  Martin

                  1. Hallo Martin,

                    wenn du glaubst, dass es jemandem hilft kannst du es gerne einfach stehen lassen.

                    Bei dem Bild muss ich dir Recht geben. Ich habe das nach deiner gestrigen Anmerkung und der Erinnerung sowas hier bereits gesehen zu haben ebenfalls in Angriff genommen und die Dinge werden so tatsächlich etwas verständlicher. Vor allem aber wird das in ein paar Monaten sehr nützlich sein, wenn man nicht mehr in allem komplett drinsteckt.

                    Grüße
                    Felix

  25. Hallo Martin,

    erstmal Danke für die Anleitung – bin mir aber nicht sicher wie ich das bei mir Umsetzen muss:

    Hab mir jetzt alles durchgelesen – aber ein paar offene Fragen bleiben:

    Mein Setup sieht wie folgt aus:

    Telekom Hybrid Router (IP 192.168.100.1) (degradiert als reiner Zugang zum INET – kein DHCP oder sonstiges -> nur DynDNS ist aktiv
    [ja leider geht da dann nix mit Modem sonst wäre es ja auch einfach]

    >> dahinter sitzt die Fritzbox (192.168.100.2 || IP-Client-Mode ) (diese macht nur VOIP/DECT Telefonanlage)
    [diese Kombination ist konfiguriert nach Anleitung von https://lubensky.de/hybrid/ das heißt der Hybrid leitet die SIP/VOIP Ports an die Fritzbox weiter so das sie das Telefonzeug übernehmen kann]

    >> dahinter kommt dann alles andere (inkl. Unifi APs / PiHole (192.168.100.4) der DHCP Server macht / VPN Server [dafür gibt es eine Portweiterleitung im Hybrid]

    Ich würde jetzt wie folgt vorgehen :

    Fritzbox LAN2 >> USG WAN (192.168.100.3)

    USG LAN (192.168.200.1) >> Switch

    Macht das Sinn oder muss ich´s anders machen ? (double NAT ist hier leider nicht anders Möglich da der Hybrid kein Modem darstellen kann)

    Somit muss ich ja an der Konfigurationskombination Hybrid&Fritzbox nichts ändern – Voip/Dect Zeug sollte somit weiter funktionieren.

    Aber wo muss ich jetzt welche Portweiterleitung einrichten für mein VPN Server der jetzt hinter dem USG hängt ? Und da PiHole seine IP als DNS verteilt welche IP muss er dann als Gateway fürs Inet verteile- steig noch nicht ganz durch

    Oder ist alles murks und ich muss es anders machen oder kann es besser machen ?

    Vielen Dank vorab

    1. Hallo xsas,

      die Hybrid-Installationen sind leider meinst etwas undankbar. In deinem Fall würde ich das USG nicht “hinter” die Fritbox sondern “daneben” setzen. Ich glaube, dass ist auch das, was du beschrieben hast. Das USG steckt zwar in der FritzBox, du nutzt sie in dem Fall aber nur als Switch. Zur Sicherheit: In dem von dir verlinkten Artikel wird die FritzBox im Routermodus konfiguriert. Du hast geschrieben, dass du den Client-Mode verwendest. Wenn ich dich falsch verstanden habe, bitte korrigier mich.

      Vorschlag:

      • Hybrid-Router (DSL&LTE): 192.168.100.1/24 feste IP, kein DHCP, kein DNS, Portweiterleitungen für VoIP zur FritzBox; Statische Route zu den Netzen hinter der USG (192.168.200.0/24, Gästenetz?); Portforwarding VPN Ports auf VPN-Server (192.168.200.y/24, hinter dem USG).
      • FritzBox: 192.168.100.2, feste IP, kein DHCP, kein DNS, kein WLAN, “nur” Telefonanlage
      • USG: WAN<->Hybrid-Router, 192.168.100.3/24, NAT-Regel 5999 aktiv (NAT deaktiviert), “dahinter” PiHole (192.168.200.x/24, UniFi APs und “alles andere”)
      • PiHole: 192.168.200.x/24, DNS-Server, kein DHCP
      • VPN-Server: 192.168.200.y/24, VPN

      Als DHCP Server würde ich das USG für die Netze “hinter” dem USG verwenden, du musst nur als DNS-Server in der DHCP-Konfiguration die IP deines PiHoles verteilen lassen und den DHCP-Server auf dem PiHole deaktivieren. In der USG muss der VPN Port für das Forwarding Hybrid-Router->VPN-Server freigegeben werden. Das Gateway für die Clients in den Netzten “hinter” dem USG ist die jeweilige IP des USG in diesem Netz.

      Ich habe versucht, beim Vorschlag möglichst nahe an deiner Lösung zu bleiben. Hoffe es hilft dir weiter.

      Gruß

      Martin

  26. Lieber Martin,
    vielen Dank für Deine sehr gute Anleitung! Ich habe alles so eingerichtet wie von Dir beschrieben und in den letzten zwei Monaten lief auch alles ohne Probleme…. bis zum Anfang dieser Woche. Seit Montag morgen hat nur noch mein macbook eine Verbindung ins Netz. Zwei Windows 10 PCs, zwei Iphones und weitere Geräte bauen keine Verbindung mehr auf. Mein Macbook hängt am Wlan, von den Verbindungsproblemen betroffen sind aber sowohl Wlan als auch Lan Geräte. So langsam bin ich mit meinem Latein am Ende und wäre Dir wirklich ausgesprochen dankbar, wenn Du mir eine Einschätzung geben könntest damit ich das Problem eingrenzen kann.

    Kurz zu meinem Netzwerk:
    ich habe einen Kabelanschluss bei Vodafone über einen DS-lite-Tunnel, am Zugang hängt eine Fritzbox 6490, die von Vodafone eine IPv6 Adresse zugeteilt bekommt und auch einen DNS im IPv6 Format hinterlegt hat. Dahinter dann die USG, zwei 8er Unifi Switches und 3 Unifi APs. Der Controller läuft bei mir auf einem CloudKey der an einem der Switches hängt.

    Konfiguriert habe ich alles exakt wie von Dir oben beschrieben… und wie gesagt es lief die ganze Zeit ohne Probleme. Montag Nacht wurde mir dann vom Provider das Update 07.12 auf der Fritzbox eingespielt und ich habe die Vermutung, dass meine Probleme dadurch ausgelöst wurden.

    Wie schon geschrieben kommt seitdem, außer meinem Macbook kein anderes Gerät mehr ins Internet. Die statische Route etc. habe ich auf der Fritzbox kontrolliert, hier hat sich nichts geändert. Sowohl die USG, als auch die Fritzbox melden, dass alles OK sei und der Zugang zum Internet bestehe. Eine Traceroute von meinem macbook aus kommt auch zum Ziel und läuft ganz unauffällig über meine USG zur Fritzbox und dann zum Provider.
    Zunächst dachte ich mein Problem hätte etwas mit dem DNS Server zu tun, allerdings bekomme ich auch keine Verbindung über die direkte IP Eingabe.
    Von meinem Iphone aus sehe ich die anderen Geräte im Netzwerk und kann auch alle, bis auf mein macbook (!) anpingen. Ins Internet raus, kann ich von meinem Heimnetz aus mit dem Iphone allerdings nicht pingen.

    Die IPs der einzelnen Geräte sind auch beim alten geblieben und befinden sich im von der USG bereitgestellten (IPv4) Adressraum. Allerdings sehe ich bei einigen Geräten jetzt auch IPv6 Adressen beginnend mit “fe”. Ich weiss jedoch nicht, ob das vorher schon der Fall war.

    Ich hoffe ich habe mein Problem trotz meiner Laienhaftigkeit verständlich geschildert. Weiterhin hoffe ich natürlich, dass Du eine Idee hast, wie ich hier vorgehen kann.

    LG
    Eric

    1. Hallo Eric,

      bei DSL-Lite findet NAT für IPv4 bereits beim Provider statt. Daher gehe ich davon aus, dass du primär mit IPv6 arbeitest, wenn du Anwendungen nutzt, die mit NAT ein Problem haben? Hast du in der USG bei dem Netz “hinter” der USG unter “IPV6-NETZWERK KONFIGURIEREN” die “Präfix-Delegierung” und “IPv6 Router Advertisement (RA) aktivieren” aktiviert? Die fe80-Adressen sind Adressen für das lokale IPv6 Netz (Verbindungslokale IPv6-Adresse). Ich hatte im IPv6 Umfeld (mit Windows 10) teilweise das Problem, dass die IPv6 Adressen nicht richtig aktualisiert wurden (nach dem Aufwachen aus dem Ruhezustand). Um Sicherzugehen, dass alle Geräte neue Adressen bekommen, kannst du alles ausschalten und in der Reihenfolge FritzBox->USG->Rest (warten bis das jeweilige Gerät verfügbar ist und prüfen ob es eine korrekte IPv6 Adresse hat) wieder anschalten. Ist zwar nicht sehr professionell, wenn’s so klappt, erspart es dir aber viel Analysezeit. Wenn nicht, einfach nochmal melden.

      Viel Erfolg

      Martin

      1. Lieber Martin,
        danke für Deine schnelle Antwort. Ich habe die letzten zwei Wochen (auch mit Hilfe Deines Hinweises) versucht mein Problem in den Griff zu bekommen und konnte mich dem Ganzen auch nähern. Heute habe ich allerdings erst mal aufgegeben und die statische Route in der Fritzbox deaktiviert und die USG komplett aus meinem Netzwerk genommen . Jetzt haben zumindest alle Geräte wieder Zugriff auf das Internet.
        Ich bin mir immer noch nicht sicher, ob ich mein Problem exakt lokalisieren konnte. Nach Deinem Hinweis habe ich herausgefunden, dass (fast) alle Geräte die während des Neustarts der Fritzbox bereits mit dem Unifi Netzwerk verbunden sind anschließend ins Internet kommen. Andere Geräte die nicht verbunden sind und sich zu einem späteren Zeitpunkt ins Netzwerk eingewählt haben kommen nicht mehr ins Internet. Bei meinem Macbook, einem WIN 10 PC und meinem Iphone war die Verbindung dann auch so stabil, dass sie nach dem Aufwachen oder nach der erneuten Verbindung mit dem Heimnetz weiterhin ins Internet gekommen sind (so wie es ja auch sein soll). Nachdem ich das festgestellt habe, habe ich mich nat. gefreut und alle meine Geräte mit dem Netzwerk verbunden und die Fritzbox neugestartet. Leider hat es dann doch nicht so stabil funktioniert und vor allem drei Geräte haben weiterhin keinen Zugriff auf das Internet gehabt, ein Amazon Stick, das Iphone meiner Frau und eine TonieBox. Gerade das Iphone meiner Frau und die TonieBox (der Kinder) sind da leider worst-case und vergrößern den Druck auf mich 😉 …. deshalb habe ich jetzt auch erst mal entnervt aufgegeben.
        Ich vermute so ein wenig, dass es in der Tat an IPv6 und der USG liegt. Wie geschrieben wurde meine Verbindung auf DS-Lite umgestellt. Da meine Fritzbox von Vodafone ist, kann ich hier leider nicht alle Einstellungen vornehmen, die sonst so möglich wären. Was ich getestet habe und was für die Geräte funktioniert hat, die im Endeffekt Zugriff auf das Netz hatten waren unter Heimnetz>Netzwerk>Netzwerkeinstellungen>IPv6 Adressen folgende Einstellungen:

        * Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
        *Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung (hoch)
        * DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
        * Präferenz des FRITZ!Box DHCPv6-Servers: 60

        von vodafone bekomme ich eine ipv6 mit /62. Ich habe mir schon überlegt, ob die PD von Vodafone das Problem sein könnte? Die Präferenz des Fritzbox DHCPv6 Servers auf 64 o.ä. zu ändern hat leider nichts gebracht.

        Im Unifi Controller habe ich IPV6 sowohl im WAN als auch in LAN1 aktiviert. So wie oben von dir beschrieben. Im Wan habe ich “using DHCPv6” und PD “64” angegeben. Das hat auch erstmalig dazu geführt, dass mein MAcbook eine IPv6 Adresse erhalten hat, die nicht nur verbindungslokal war (fe…).
        Per SSH auf der USG habe ich mir die DHCPv6 Einstellungen noch mal genauer angeschaut und gesehen, dass hier zunächst nur eth0 eine ipv6 adresse hat und eth1 nur eine ipv4 Adresse. Weiterhin ist “show ipv6 route”fehlgeschlagen und “show ipv6 neighbors” hat (bis auf mein macbook) nur diese verbindungslokalen Adressen angezeigt. Ich habe es dann per “delete” und “renew” versucht zu fixen und erst dann, zusammen mit der oben erwähnten EInstellung im Controller von PD “64”, habe ich auch eine IPv6 Adresse am eth1 interface erhalten.
        Allerdings hat mir das USG weiterhin gemeldet, dass kein DHCPv6 Server läuft und im DHCPv6 log stand folgendes: “add_ifprefix: invalid prefix length 63 + 2 + 64” und “dhcp6_get_options: unknown or unexpected DHCP6 option opt_86, len 16”.

        Das ist der aktuelle Stand. Mein Eindruck ist, dass sich die USG irgendwie an dem vom ISP bereitgestellten IPV6 verschluckt/nicht richtig konfiguriert ist. Was mich allerdings wundert ist, dass es bei manchen Geräten funktioniert… dann kann es ja nicht komplett falsch konfiguriert sein. Ich bin jedenfalls ein wenig ratlos.

        LG
        Eric

        1. Hallo Eric,
          dass alle Geräte wie erwartet funktionieren, wenn sie direkt im Netz der FritzBox hängen, ist ein gutes Zeichen (bzw. es wäre ein schlechtes, wenn sie nicht gingen…). Bekommen Sie jetzt alle “richtige” IPv6 Adressen?

          Die Meldung “DHCP6 option opt_86, len 16” kannst du ignorieren – habe ich auch und es funktioniert trotzdem. Da geht es um die Konfiguration eines “Port Control Protocol (PCP) Server” (https://www.iana.org/assignments/dhcpv6-parameters/dhcpv6-parameters.xhtml).

          Die Meldung “add_ifprefix: invalid prefix length 63 + 2 + 64” sieht vielversprechend aus. Kennst du diesen Beitrag: forum.vodafone.de Hier wurde einem Kunden von Vodafone ein zu kleiner Präfix zugewiesen. Er konnte es dadurch lösen, dass er IPv6 komplett deaktiviert hatte, bis sein Lease abgelaufen war. Danach hat er wieder ein 56 Bit Präfix bekommen.

          Vielleicht war’s bei dir am Tag des Firmwareupdates deiner FritzBox ähnlich?

          Gruß Martin

  27. Guten Abend,

    ich habe z.B. das Problem, dass ich zwar eine IPv6-Adresse bekomme aber die Clients können dann nicht per IPv6 ins Netz. Provider ist die Telekom. IPv6-PD geht ebenfalls.
    Das Aufrufen von Webseiten/ Dienste über IPv4 geht hingegen ohne Probleme.

    Folgender Aufbau bei mir:
    Fritzbox (7530) -> USG -> Switch -> Switch -> Client

    Hat hier ggf. jemand eine Idee woran das liegen kann? Ich kann leider nicht auf IPv6 verzichten.

    Vielen Dank und viele Grüße
    Florian

    1. Hallo Florian,
      ich bin mir nicht sicher ob ich die Frage richtig verstehe.

      • “Bekommst du von der Telekom eine IPv6 Adresse und Prefix Delegation ist vom Provider unterstützt aber deine Clients/USG bekommen keine “korrekten” IPv6-Adressen” oder
      • “Bekommst du von der Telekom eine IPv6-Adresse, dein USG bekommt eine IPv6 Adresse mit dem Prefix des Providers und deine Clients bekommen auch korrekte Adressen aber können trotzdem keine Verbindung zu IPv6-Adressen im Internet aufbauen?”

      Gruß
      Martin

  28. Hallo Martin,

    vielen Dank für deine Nachricht.

    Ich meine die zweite Variante. Soweit ich mich richtig erinnern kann, habe ich sogar das USG anpingen können per IPv6.

    1. Hallo Florian,
      aufgrund der Rückmeldung kann ich leider nicht wirklich Rückschlüsse auf deine Installation ziehen. Ich versuche kurz mein IPv6 Setup aufzuzeigen, vielleicht hilft dir das schon weiter.
      In der FritzBox habe ich unter „Internet -> Zugangsdaten->IPv6“ die Option

      • „IPv6-Unterstützung aktiv“ aktiviert,
      • „IPv6-Anbindung -> Native IPv6-Anbindung verwenden“ ausgewählt,
      • „Verbindungseinstellungen -> Globale Adresse aus dem zugewiesenen Präfix ableiten“ ausgewählt und
      • „Verbindungseinstellungen -> DHCPv6 Rapid Commit verwenden“ aktiviert.

      Die FritzBox zeigt mir im Menüpunkt „Internet -> Online-Monitor“ eine „IPv6-Adresse“ und einen „IPv6-Präfix“ sowie zwei IPv6 Adressen für die DNS Server meines Providers an (neben der IPv4 Konfiguration).

      Auf meinem UniFi Controller habe ich mehrere IP-Netze „hinter“ dem USG konfiguriert. Für eines habe ich IPv6 unter „Einstellungen->Netzwerke->->Bearbeiten“ wie folgt eingestellt:

      • IPV6-NETZWERK KONFIGURIEREN
      • IPv6 Schnittstellentyp: Präfix-Delegierung
      • IPv6 Präfix-Delegierungsschnittstelle: WAN
      • IPv6 RA: aktiv
      • IPv6 RA Priorität: Hoch
      • DHCPv6/RDNSS DNS Steuerung: Automatisch

      Wenn’s nicht klappt, müssten wir Schritt für Schritt deine Komponenten durchgehen. Welche Adressen hat das jeweilige Geräte auf welchem Interface und wie ist es konfiguriert.

      Gruß
      Martin

  29. Hallo Martin,

    wollte einfach mal auch kurz Danke sagen für die tolle Anleitung.

    Ich hatte mir auf Grund anderer Berichte ein Vigor 165 Modem zugelegt und habe es leider nicht zum Laufen bekommen (DSL Synchronisierung klappt nicht). Ich bin daher sehr froh, deinen Artikel gefunden zu haben und kann das Ding wieder zurück schicken 🙂

    Auch die vielen Kommentare und deine Antworten sind super hilfreich.

    VG

  30. Hi,

    erstmal vielen Dank für die Anleitung.
    Leider bin ich noch nicht am Ziel, ggf. könnt Ihr mir helfen.

    Setup
    Fritzbox 6490 -> IP 192.168.10.1
    USG WAN 192.168.10.2 | LAN 192.168.20.1 (dahinter diverse VLANs | QNAP | Pihole | etc.)
    Die Fritzboxen halten VPN Tunnel zu anderen Fritzboxen (192.168.10.x zu …11.x | …10.x zu …12.x | usw). Ich hab das doppelte NAT (die JSON Datei oben) NICHT eingespielt, da es mich nicht stört und ich persönlich keinen enormen Sinn gesehen habe es zu tun; ggf. hab ich es auch nicht verstanden?

    Der Tunnel aus dem neuen Netz (192.168.20.5 = QNAP) zu einem entfernten NAS (192.168.11.5 | NAS Site2) funktioniert aus dem Stand. Zurück geht es nicht. Ich kann auch von einem Client der direkt an der Fritzbox hängt (192.168.10.100) nicht auf das neue Netz (192.168.20.x) pingen/http/etc.
    Also: Firewall oder statische Routen. Alles probiert was mir eingefallen ist oder ich gelesen habe, ging nicht.

    Was hab ich probiert?
    – Statische Route in Fritzbox (192.168.20.0 mit Gateway 192.168.10.2)
    – Exposed host / Auotomatische Portfreigaben akzeptieren in Fritzbox (das USG ist NICHT Exposed Host jetzt)
    – USG: IDP/IPS aktiviert/deaktiviert
    – USG: Firewall Regel wie hier erläutert

    Wo hab ich denn meinen Denkfehler?

    Danke!
    Fire_Croc

    1. Hallo Fire_Croc,
      da hast du ja eine schöne Installation. Unabhängig von deiner VPN-Konfiguration: wenn du NAT im USG nicht deaktivierst (das mach die JSON im Artikel), sind die Netze hinter dem USG für Geräte im Netz der Fritzbox nicht sichtbar, da NAT/Masquerading genau dafür da ist, Netze hinter einer IP “zu verstecken”. In deinem Kommentar liest es sich ein wenig, als würdest du davon ausgehen, dass mit dem JSON “doppeltes NAT” aktiviert würde – zur Sicherheit: es deaktiviert nur NAT auf dem USG.

      Wenn du jetzt auf Geräte hinter dem USG (192.168.20.0/24) aus deinem Netz der FritzBox (192.168.10.0/24) zugreifen willst, kannst du

      • in der Firewall des USG Portforwarding auf die entsprechenden Geräte aktivieren (und diese über die IP des USG mit dem konfigurierten Port ansprechen) oder
      • das NAT im USG deaktivieren, eine statische Route in der FritzBox auf 192.168.20.0/24 konfigurieren und eingehende Anfragen auf Geräte hinter dem USG in der USG Firewall freigeben (dieser Artikel)
      • .

      Hilft dir das weiter?

      Gruß
      Martin

      1. Damit ich es richtig lesen, sind die beiden Bulletpoints von Dir oben zwei Alternativen?
        Also entweder in der FW des USG Portforwarding machen (wenn du kannst, gerne ein Beispiel, ich hab es zig mal probiert und es geht nicht)
        ODER
        NAT im USG deaktivieren

        Hab ich dich korrekt verstanden?

        Alternativ könnte ich den VPN Tunnel direkt auf das USG (wofür ich die Fritzbox Config & die USG Config händisch anpassen muss, soweit hab ich es gelesen). Dazu müsste das USG dann aber in den Exposed Modus, sonst krieg ich es ja vom Internet nicht.

        Seh ich das richtig?
        Danke für die schnelle Antwort.

        1. Hallo Fire_Croc,
          ja, die Bulletpoins sind Alternativen. Es gibt für Alternative “1” in der Konfiguration des Controllers unter “Einstellungen”->”Routing&Firewall”->”Portweiterleitung” einen Menüpunkt, der genau das macht. Du leitest dann zum Beispiel den Port 4434 des USG auf :443 um und sprichst dein NAS aus den entfernten Netzen mit :4434 an. Eine genauere Anleitung für das erste Beispiel kann ich dir auf die Schnelle nicht geben, da ich bei mir Alternative 2 (NAT in USG deaktiviert) am Laufen habe. Die Variante funktioniert und erlaubt dir ein VPN zur FritzBox aufzubauen um anschließend (wenn in der USG Firewall erlaubt) auf deine Geräte hinter dem USG direkt mit deren IP-Adresse zuzugreifen.

          Ein VPN Tunnel direkt auf das USG benötigt das USG nicht zwingend im Exposed Host Modus in der FritzBox sondern nur ein Portforwarding der relevanten Ports von der FritzBox zum USG. Von Exposed Hosts würde ich nach Möglichkeit absehen. Wenn du etwas zu offen konfigurierst, hast du am Ende Besuch, ohne es zu merken. Wenn du deine VPNs zwischen FritzBoxen aufbaust, würde ich das nicht auf das USG verlagern – sonst machst du dir nur eine zusätzliche Baustelle auf.

          Wenn du dich für eine Variante entschieden hast, können wir für diese die Konfiguration gerne gemeinsam durchgehen, damit die verschiedenen Ansätze nicht durcheinander gehen.

          Gruß

          Martin

          1. Hey,

            leider war ich einige Zeit off, daher erstmal DANKE für Deine Erläuterungen.
            Woran ich grad noch knusper… wie krieg ich die config.gateway.json Datei denn auf mein QNAP? Dort läuft Unify im Docker Container und ehrlicherweise hab ich KEINEN Plan wie ich da rankomme. SSH lässt er nicht zu (SSH ist AN in der Weboberfläche) und im QNAP finde ich ehrlich gesagt nicht den Ort, wo die Datei hin muss.
            Hat hier jemand eine Idee?

            Danke,
            Fire_Croc!

            1. Hallo Fire_Croc!,

              ich habe meinen Controller erst auf eine Synology migirert. Nun ist das nicht das Gleiche, ich weiß aber, dass die Dockeranwedung sehr ähnlich ist. Wenn du in deinem Docker bist und den Controller-Container installiert hast, musst du den Container einrichten. Dabei fragt er dich auch nach dem Speicherort unter “Shared Folder”. Hier gibt es einen “Mount Point” und “Volume from host”. Der Pfad der in letzterem Punkt steht gibt an wo die Dateien des Controllers auf deiner Nas landen. Die Ordnerstruktur sieht bei mir dann genau so aus, wie wenn man den Controller auf nem Win 10 Rechner installiert.
              Alternativ kannst du auch einfach mal die Suche deiner QNAP bemühen. Bei mir gabs aber nach \Data keine weiteren Unterordner. Das musste ich selbst anlegen.

              Viele Grüße

              Felix

              1. Felix,

                danke Dir, soweit dachte ich es mir.
                Bei mir sieht es dann so aus:
                Container -> lib ->docker -> volumes -> 96….langer-key -> _data
                Dort hab ich aber nur einen Folder “work”, eine mongodb.sock, eine update.json Datei. Thats it – den ganzen Teil mit sites etc. hab ich da nicht 🙁

                Bei der Suche nach “sites” als Ordner kommt irgendwie auch nix… sehr strange.
                Ich hab den Docker Container “jacobalberty/unifi:latest” – du?

                Fire_Croc

                1. Felix,

                  genauer gesagt hab ich bei mir nur folgende 2 shared folders:
                  /var/run/unifi
                  =====
                  var/
                  /share/CE_CACHEDEV1_DATA/Container/container-station-data/lib/docker/volumes/96c3e8b2b2e5f84fd9c1f25e1bf7296636b30821f069e35196b1ae168703bf32/_data

                  und

                  /unifi
                  =====
                  /share/CE_CACHEDEV1_DATA/Container/container-station-data/lib/docker/volumes/3400e79ec2bb27b1125f9f3f60da0f08d345795b89e44498405c57bb75f98ed9/_data

                  da is gar kein volume from host etc…
                  VERY strange…

                  Fire_Croc!

                  1. Hallo Fire_Croc!,

                    mhm ich bin auch kein Profi, aber es sieht mir so aus als ob das bei dir alles in temporären oder versteckten Ordnern liegt. Wenn ich auf meine Synology mit Putty drauf gehe, sehe ich auch solche von dir beschriebenen Ordner. Aber es gibt zwei Pfade die es einzurichten gilt:

                    https://www.qnap.com/de-de/how-to/tutorial/article/wie-richtet-man-einen-unifi-controller-in-container-station-ein/

                    in dieser Anleitung wird nicht wirklich darauf eingegangen aber man sieht es im Bild 4 von oben. Hier gibt es den Punkt „shared Folder“ (vermutlich unter “advanced Settings” und da muss es wie hier (https://docs.luckycloud.de/de/nas unter und über 8.) die Möglichkeit geben einen Pfad und einen Mountingpfad anzugeben. Letzteren bekommst du nicht zu Gesicht. In ersterem landet Data (bei mir gab es da auch keinen Ordner Sites/default; das habe ich anlegen müssen).

                    “jacobalberty/unifi:latest” dito.

                    Vielleicht hilft dir ja auch diese Anleitung: http://www.bu4.eu/unifi-controller-und-synology-nas-das-docker-dream-team/
                    Das ist Synology, aber auch hier ist zu sehen was ich meine: Datei/Ordner wird extra angelegt -> Docker/unifi und daraus entsteht später dann Docker/unifi/data/sites/default [oder wie auch immer deine site heißt].

                    Ebenfalls gut bei Synology in den Advanced Settings zu sehen: Es gibt Pfade wie var/lib… aber der Pfad data landet auf dem VolumeXY.
                    Hoffe das hilft ein wenig….

                    Gruß
                    Felix

  31. Unifi Probleme

    Hallo Martin,
    vielen Dank für die Tolle Erklärung.
    Versuche jetzt seit 2 Tagen das ganze nachzuvollziehen, klappt aber irgendwie nicht.
    Ich bekomme keinen Internetzugang an LAN1
    Zur Erklärung meines Netzwerkes: Habe eine 7590. Viele Geräte haben eine statische IP im Bereich 192.168.178.xxx. Möchte daher der Fritzbox die Adresse 192.168.0.1 geben und dann im USG den Adressbereich 192.168.178.xxx nutzen. Mein Unifi Controller läuft auf einem QNAP Server.

    Einstellungen: FritzBox 7590:
    IPv4-Adressen (Heimnetz)
    IPv4-Adresse: 192.168.0.1
    Subnetzmaske: 255.255.255.0
    DHCP aktiv
    DHCP von: 192.168.0.2
    DHCP bis: 192.168.254
    Lokaler DNS Server: 192.168.0.1
    IPv4-Routen
    IPv4-Netzwerk: 192.168.178.1
    Subnetzmaske: 255.255.255.0
    Gateway: 192.168.0.250
    IPv4-Route aktiv

    Unifi USG
    USG-WAN1 and FRITZBox LAN1 angeschlossen.
    AM USG-LAN1 hängt ein Testnotebook (Netzwerkeinstellungen auf DHCP)
    Über 192.168.1.1 direkter Zugriff auf USG. Daten eingestellt und gespeichert.
    Danach Zugriff über 192.168.178.1

    Configuration WAN Settings
    Connection Type Static IP
    IP-Adress 192.168.0.250
    Subnetmask 255.255.255.0
    Router 192.168.0.1
    Preferred DNS 192.168.0.1
    Alternate DNS 8.8.8.8
    Configuration LAN Settings
    IP-Adress 192.168.178.1
    Subnetmask 255.255.255.0
    DHCP Server On
    DHCP Range from 192.168.178.200
    DHCP Range to 192.168.178.254

    Mit diesen Einstellungen erhalte ich auf der USG Main Seite (192.168.178.1) die Meldung: „Congratulations! The Gateway is connected tot he internet“

    Testnotebook neu gestartet. Erhalte mit cmd \ ipconfig folgende Informationen:
    IPv4-Adresse 192.168.178.200
    Subnetzmaske 255.255.255.0
    Standardgateway: – kein Eintrag –

    Mit dem Notebook erhalte ich keinen Zugriff auf das Internet.

    Unifi Controller Software lokal installiert. USG kann nicht eingebunden werden.
    Zugriff über die 192.168.178.1 danach nicht mehr möglich (Username / Passwort) falsch.
    Daher konnte ich auch bisher die .json Datei nicht einspielen.

    Irgendwelche Ideen was ich falsch mache?

    1. Hallo Thomas,

      du hast mir zwischenzeitlich gemailt, dass du die Ursache bereits gefunden hast, warum du keinen Zugriff aufs Internet mit der oben beschriebenen Konfiguration hattest. Du hast dir die Konfigurationsempfehlungen aus dem Artikel und den Kommentaren in einem Excel zusammengefasst und festgestellt, dass du in der FritzBox bei der statischen Route als Netzadresse 192.168.178.1 anstelle 192.168.178.0 angegeben hattest. Da dieser Fehler bereits einigen Lesern passiert ist, freue ich mich, dass du mir erlaubt hast, dein Bild aus der Mail in meiner Antwort zu verwenden – so sticht die Antwort vielleicht aus der Menge etwas hervor und hilft dem einen oder anderen Leser.

      Verkabelung und Konfiguration von Thomas

      Erklärung: Bei einer statischen Route geht es darum dem Gerät (in unserem Fall die FritzBox) zu erklären, wie es in IP-Netze kommt, an die es nicht direkt angebunden ist und zu der kein Weg über die Default-Route führt. In deinem Fall geht es um das Netz 192.168.178.0/24, das du hinter deinem USG konfiguriert hast und das über die IP des USG im Netz der FritzBox 192.168.10.3 erreicht werden kann, wenn dort NAT deaktiviert ist. 192.168.178.1/24 ist keine Netzadresse, sondern eine IP-Adresse eines Endgeräts.

      192.168.178.0/24 meint: Das Subnetz 192.168.178.0 mit der Subnetzmaske 255.255.255.0 (24 Bit), der Broadcast Adresse 192.168.178.255 und 254 Adressen für Endgeräte von 192.168.178.1 bis 192.168.178.254.

      Achtung: 192.168.178.0/24 ist eigentlich das Netz, dass die FritzBox defaultmäßig verwendet. Thomas hat es “umgezogen” damit er die bisherigen IP-Adressen seiner Endgeräte beibehalten kann – davon nicht verwirren lassen. Am besten wie Thomas in Ruhe ein Excel erstellen und so die korrekten Werte für die eigene Umgebung dokumentieren.

      Gruß Martin

  32. Lieber Martin,

    erstmal Danke für den fantastischen Artikel. Hat bei mir auf Anhieb funktioniert.
    Gerade für nicht so versierte Leute, die trotzdem eine Unifi Umgebung haben sehr hilfreich!
    Eine Frage hätte ich noch, die du mit vermutlich Stehgreif beantworten kannst.

    In meinem Fall ist eine FritzBox 7530 das Modem und Router (nicht im Bridge Mode), daran hängt die USG und dahinter mein internes Netz mit Unifi Switch und AP.
    Die FritzBox hat sonst keine andere Funktion und es sind auch keine anderen Geräte angeschlossen (WLAN deaktiviert).
    Warum sollte ich in diesem Szenario die USG nicht als Exposed Host definieren? Die USG übernimmt doch die Firewall Funktion und die FritzBox hat außer DSL Verbindung aufbauen und USG eine IP zuordnen keine weiteren Funktionen.
    Bzw. was wären die Vor-/Nachteile das zu machen?

    Danke!

    1. Hallo Bernd,

      wenn du das USG in der FritzBox als Exposed Host konfigurierst, werden alle Anfragen aus dem Internet, die an die IP der FritzBox gehen an das USG weitergeleitet. Kann man machen – ich bin allerdings kein Freund davon. Persönlich möchte ich unerwünschten Traffik so früh wie möglich blockieren und nicht erst ins eigene Netz lassen. Für den Fall, dass das Gerät, das als Exposed Host konfiguriert ist, Sicherheitslücken hat oder versehentlich ein unerwünschter Dienst darauf läuft, bietest du mehr Angriffsfläche als notwendig. Der Vorteil eines Exposed Hosts ist, dass die Umgebung weniger komplex zu konfigurieren ist und weniger beim Aufbauen nachgedacht und aufgepasst werden muss – das kommt dann später, wenn es ein Problem gibt. Wenn du keine Dienste in deinem Netz für den Rest der Welt anbieten willst und nur Verbindungen von “innen nach außen” aufbaust, bringt dir ein Exposed Host jedoch keinen Mehrwert.

      Hilft dir das weiter? Bitte nicht als technische Wahrheit sehen, ist meine persönliche Meinung.

      Gruß Martin

      1. Hi Martin,

        ja das hilft absolut weiter, vielen Dank! In meinem Nutzungsszenario geht es tatsächlich rein um inside-out, umgekehrt mache ich nichts dergleichen.

        In meiner laienhaften Vorstellung dachte ich mir, dass zweimal Firewall sich etwas behindert oder zumindest keinen Vorteil bringt und man sich damit auch die Portfreigaben spart, falls benötigt.
        In der FritzBox gibt es ja auch noch die Option “selbstständige Portfreigabe erlaubt” zu aktivieren. Vermute allerdings das wäre dann genauso wie wenn man die USG als Exposed Host definiert.

        Vielen Dank für deine Geduld und wertvollen Inputs!

        LG Bernd

        1. Hallo Bernd,

          der Unterschied zwischen “selbstständige Portfreigabe erlaubt” und “Exposed Host” ist, dass es bei der zweiten Variante nur ein Endgerät im Netz geben kann, bei dem die Option aktiv ist und alle Anfragen dorthin geleitet werden. Bei der ersten Variante werden nur aktiv von einem oder mehreren Geräten im privaten Netz per UPnP oder PCP angeforderte Ports weitergeleitet. Das kann für Konsolen, Filesharing oder ähnliches nützlich oder notwendig sein. Wenn die Überwachungskamera per UPnP Port 80 (mit Sicherheitslücke im Webserver) auf sich weiterleitet und so “jeder” aus dem Internet in deine Wohnung schauen kann, ist es weniger gut…

          Wenn du auf eine Firewall verzichten wolltest, würde ich nicht die beim Übergang vom öffentlichen zum privaten Netz deaktivieren/pauschal öffnen.

          Gruß

          Martin

  33. Hallo zusammen, ich bekomme meine VPN-Verbindung nicht aufgebaut.

    Ich habe eine Fritz.Box 7590. Dort gibt es keine VPN Verbindungen, kein WLAN. Sie hat die Standard-IP 192.168.178.1. Das einzige Gerät, welches dort an LAN4 hängt ist die USG mit fester IP 192.168.178.20.
    Die USG hat die 192.168.1.1 und baut derzeit 3 Subnetze auf (LAN1 192.168.1.0, LAN2 192.168.2.0 und einen Adressbereich für die VPN Verbindung 192.168.3.0). VPN ist mit RADIUS auf der USG konfiguriert.
    Auf der Fritz.Box gibt es 3 statische Routen für die 3 Subnetze der USG. In der USG gibt es eine neue FW-Regel für WAN-IN wie laut Anleitung hier. Quell-IP ist die 192.168.178.201 und Ziel ist das LAN1.
    Die Fritz.Box hat DynDns mit spdyn konfiguriert (funktioniert).

    Mit dem iPHone bekomme ich nun immer “Authentication failed”.

    Das VPN log direkt auf der USG (per SSH) zeigt folgendes bei Verbindungsversuchen:

    Jan 9 13:22:37 12[IKE] 80.187.105.156 is initiating a Main Mode IKE_SA
    Jan 9 13:22:38 04[IKE] IKE_SA remote-access[5] established between 192.168.178.20[192.168.178.20]…80.187.105.156[10.77.158.246]
    Jan 9 13:22:39 16[IKE] CHILD_SA remote-access{5} established with SPIs cef40e45_i 0a6075e1_o and TS 192.168.178.20/32[udp/l2f] === 80.187.105.156/32[udp/49167]
    Jan 9 13:23:12 16[IKE] closing CHILD_SA remote-access{5} with SPIs cef40e45_i (1466 bytes) 0a6075e1_o (534 bytes) and TS 192.168.178.20/32[udp/l2f] === 80.187.105.156/32[udp/49167]
    Jan 9 13:23:12 14[IKE] deleting IKE_SA remote-access[5] between 192.168.178.20[192.168.178.20]…80.187.105.156[10.77.158.246]
    Jan 9 13:23:18 01[KNL] interface ppp0 deleted

    Jan 9 13:26:58 10[IKE] 80.187.105.156 is initiating a Main Mode IKE_SA
    Jan 9 13:27:00 06[IKE] IKE_SA remote-access[6] established between 192.168.178.20[192.168.178.20]…80.187.105.156[10.77.158.246]
    Jan 9 13:27:00 16[IKE] CHILD_SA remote-access{6} established with SPIs cf12ad46_i 039281bc_o and TS 192.168.178.20/32[udp/l2f] === 80.187.105.156/32[udp/50778]
    Jan 9 13:27:34 16[IKE] closing CHILD_SA remote-access{6} with SPIs cf12ad46_i (1466 bytes) 039281bc_o (534 bytes) and TS 192.168.178.20/32[udp/l2f] === 80.187.105.156/32[udp/50778]
    Jan 9 13:27:34 13[IKE] deleting IKE_SA remote-access[6] between 192.168.178.20[192.168.178.20]…80.187.105.156[10.77.158.246]
    Jan 9 13:27:40 12[KNL] interface ppp0 deleted

    Es kommt immer bis zum Eintrag CHILD_SA, dann dauert es eine Weile und es erscheint automatisch closing CHILD_SA etc..

    Was fehlt bzw. was mache ich noch falsch?

    Wäre sehr dankbar für Unterstützung.

    Grüße,
    Markus

    1. Hallo Markus,

      in dem Artikel bin ich davon ausgegangen, dass die VPN-Funktionalität der FritzBox verwendet wird. Von daher kannst du die Firewallanpassungen im USG nicht 1zu1 auf deinen Fall übertragen. Du musst ein Portforwarding der für das VPN notwendigen Ports von der FritzBox auf das Endgerät in deinem Netz konfigurieren, zu dem der VPN Tunnel aufgebaut werden soll (in deinem Fall das USG).

      Hilft dir das weiter? Die eventuell relevanten Ports findest du, wenn du in Google nach “usg vpn ports” suchst. Ich habe sie nicht in meine Antwort genommen, da ich eine solche Konfiguration nicht am Laufen habe und nicht ungetestet irgendwelche Angaben zu Ports machen möchte.

      Gruß

      Martin

  34. Guten Abend Martin,

    Ich habe es ja erfolgreich hinbekommen die config hochzuladen.
    Nun wollte ich einen Schritt weiter gehen und den Controller auf eine NAS umziehen. Anfangen wollte ich mit einem Backup des alten conteollers. Aber eben das geht nicht mehr. Es werden automatische Backups erstellt. Aber wenn man im Controller sich ein Backup erstellen will (unabhängig von den Einstellungen) dann kommt ein ERROR. Das ist unabhängig vom Browser nur die Fehlermeldung ist eine andere.
    Es gibt von ubiquiti einen Hilfe thread der damit endet, dass es an der config-datei liegen kann. Kennst du das Problem? Ich könnte das natürlich testen in dem ich die Datei für die USG lösche, aber dadurch habe ich nicht wirlich was gewonnen.

    Gruß
    Felix

    1. Hallo Felix,
      den von dir erwähnten Hifethread kenne ich leider nicht. Das Herunterladen einer Backupdatei über “Einstellungen->Backup-> BACKUP / WIEDERHERSTELLEN -> DATEI HERUNTERLADEN” funktioniert bei mir sowohl mit der Option “7 Tage” als auch mit “Keine Begrenzung” ohne Probleme. Mein Controller hat die Version 5.12.35-12979-1, als Browser habe ich Chrome verwendet. Hast du in einer Log-Datei auf dem Controller eine Meldung gefunden, die mehr als nur “ERROR” sagt?

      Wenn es bei dir doch an der Datei liegen sollte, kannst du sie löschen, deinen Controller aufs NAS umziehen und abschließend die Datei wieder erstellen. Auf dem USG werden die Änderungen durch die Datei nur aktiv, wenn du das Provisionieren aktiv startest oder es durch eine andere, für das USG relevante, Konfigurationsänderung anstößt.

      Gruß Martin

      1. Hallo Martin,

        Die Version des Controllers ist bei mir gleich. Und genau der von dir beschriebene Schritt für bei mir in Firefox zu einem Seitenladefehler und in Chrome zu dem besagten Error.
        Aber dann muss ich vielleicht wirklich einfach mal die Datei löschen. Eigentlich sollte ja kein Provisionieren stattfinden, wenn es nicht manuell ausgelöst wird.
        Ich werde mal noch etwas probieren.
        Danke für die schnelle Antwort.

        Gruß
        Felix

  35. Hallo,

    weiß jemand zufällig, wo das richtige Verzeichniss für das config.gateway.json auf der Unifi DreamMachine sich befindet, die ja auch den Controller beinhaltet.

    Die Infos aus dem Artikeln oben passen nich und ich finde auch nichts im Filesystem, was passt.

    Danke und Gruß

    Thomas

  36. Moin Moin Martin,

    vorab vielen Dank für deine tolle Arbeit!

    Ich bin deiner Anleitung gefolgt und meines Erachtens nach habe ich alles auch so ausgeführt, nur komme ich nicht über die FritzBox auf meine gewünschte IP ins USG Netzwerk.

    1. “JSON” Datei (die du oben zum Download zur verfügung gestellt hast) auf dem Controller abgelegt, muss diese irgendwie besonders angepasst werden? (Screenshot Ablage Datei: https://www.bilder-upload.eu/bild-de7605-1579047193.jpg.html)

    2. Dann habe ich die Statische IPv4 Route in meiner FritzBox eingepflegt. (Screenshot: https://www.bilder-upload.eu/bild-9de00f-1579047427.jpg.html)

    3. Dann habe ich das Gateway Provisioniert (Welches nicht mit einem Neustart verbunden war und dementsprechend auch nicht allzu lange gedauert hat?)

    4. Dann habe ich die Regel für eine VPN Verbindung auf eine bestimmte IP erstellt. (Screenshot: https://www.bilder-upload.eu/bild-a92109-1579047894.jpg.html) Warum auf Intern? Das wäre beispielsweise eine NAS oder ein Drucker auf welchen ich zugreifen möchte.
    Ebenfalls kann ich dort aber auch das Netzwerk: LAN (192.168.1.0) auswählen komme aber auch nur auf die 192.168.1.3 welches der CloudKey wäre aber auf kein weiteres Gerät in dieser Reichweite, wie z.B. den Controller auf der 192.168.1.1

    Netzwerkadressen:
    FritzBox Netzwerk: 192.168.178.0
    USG Gateway WAN: 192.168.178.10
    USG Gateway LAN: 192.168.1.0
    USG Gateway: 192.168.1.1
    Unifi Switch: 192.168.1.2
    Unifi CloudKeyGen2: 192.168.1.3
    NAS: 192.168.10.18
    Drucker: 192.168.10.19

    Vielen dank vorab für deine Unterstützung
    Gruß Max

    1. Hallo Max,

      Punkte 1-3: Wenn du testen möchtest, ob dein USG kein NAT mehr durchführt, kannst du wie folgt vorgehen:
      Greife von einem Gerät aus einem Netz hinter dem USG – bei dir zum Beispiel 192.168.10.0 oder 192.168.1.0 – auf das Internet zu. Wenn das klappt, deaktiviere die statische Route für dieses Netz in der Fritz!Box. Wenn der Zugriff nicht mehr funktioniert, ist NAT auf dem USG deaktiviert und du kannst die statische Route wieder aktivieren. Wenn der Zugriff trotz deaktivierter statischer Route in der Fritz!Box noch funktionieren sollte, macht das USG noch NAT und du solltest die Konfiguration prüfen.
      Im “Gutfall” funktioniert bei deaktiviertem NAT der Zugriff durch die Firewall des USG, da es eine Regel gib, die Pakete aus dem Netz am WAN-Port des USG akzeptieren, wenn sie zu Verbindungen gehören, die initial aus einem Netz am LAN-Port des USG aufgebaut wurden. Verbindungen, die initial aus einem Netz am WAN-Port des USG aufgebaut werden (bei dir 192.168.178.0), werden verworfen.

      Punkt 4: Leider bin ich mir nicht ganz sicher, was du mit “VPN Verbindung” meinst. Im Screenshot ist eine Firewallregel, bei der ich leider nicht erkennen kann, ob sie unter “WAN eingehend” angelegt ist. Ich vermute, du willst entweder Endgeräten aus dem Netz der Fritz!Box oder VPN-Verbindungen, die du zur Fritz!Box aufbaust, erlauben auf deine Netze oder einzelne Geräte “hinter” deinem USG zuzugreifen. In deinem Fall sollte das Endgerät 192.168.178.234 auf alle Geräte im Subnetz “intern” (192.168.10.0?) zugreifen können. Du schreibst, dass du auf deinen CloudKey 192.168.1.3 zugreifen kannst (wenn du anstelle “intern” das Subnetz 192.168.1.0 als Ziel konfigurierst). Du bezeichnest 192.168.1.1 als “Controller”, der läuft jedoch auf deinem CloudKey – ich vermute du meinst das USG?

      Bei Punkt vier bin ich mir wie gesagt nicht sicher, ob ich dich, bzw. dein Problem, richtig verstanden habe. Wenn du korrigierst oder ergänzt, was ich falsch verstanden habe, kann ich dir vielleicht noch einen Tipp geben.

      Gruß
      Martin

  37. Hallo,

    ich habe mittlerweile die Infos aus dem Unifi-Forum, das es auf der DreamMaschine nicht möglich ist, das NAT über ein JSON-File auszuschalten und es aktuell auch keine Möglichkeit gibt.

    1. Hallo Thomas,

      vielen Dank für die Info zur UniFi Dream Machine. Habe auch ein wenig im Netz gesucht – schade, dass man auf das Problem mit dem nicht deaktivierbaren NAT erst stößt, wenn man gezielt danach sucht…

      Gruß

      Martin

  38. Hey Martin, ich stehe vor der gleichen Aufgabe. Habe ein Unifi Switch mit Unifi WiFi APs und einen Cloud Key. Alles top. Jetzt habe ich mir noch das USG geholt und habe auch die “doppeltes Nat”-Problem. Bevor ich den ganzen Weg von dir gehe: was ist denn der wirkliche Vorteil des USG gegenüber der Fritz Box? Was kann es besser als die Fritzbox, wenn ich diese doch eh als Modem und DECT-Anlage weiter nutzen möchte?

    1. Hallo Micha,

      wenn du bereits das USG in dein Netz integriert hast und – mal abgesehen vom doppelten NAT – alles funktioniert wie du möchtest, hast du nur noch einen kleinen Schritt vor dir.

      Zu deiner Frage des Vorteils des UniFi Security Gateways gegenüber einer Fritz!Box: In deiner Installation ist es, nach meinem Verständnis, weniger ein “entweder oder” sondern eher ein “was bringt mir das USG zusätzlich an Mehrwert”. Das USG ist die Komponente im UniFi “Ökosystem”, die es dir erlaubt VLANs zu definieren und den Verkehr zwischen deinen Netzen über eine Firewall zu regulieren. Zusätzlich hat sie noch einen Radiusserver (z.B. für WPA2-Enterprise) und ein paar andere nette Features wie Intrusion-Detection und -Prevention (IDS/IPS). All das kannst du auch ohne das USG (mit anderer Hardware) erreichen. Meist jedoch mit mehr Zeit, Geld oder weniger einfach. Kurz: Wenn du das “software defined network”, das du über den UniFi Controller konfigurieren kannst, möglichst vollumfänglich wie von Ubiquiti vorgesehen, nutzen willst, brauchst du das UniFi Security Gateway.

      Passt die Antwort zu deiner Frage?

      Gruß
      Martin

  39. Hallo Martin, vielen Dank für den Blog Eintrag. Ich habe eine Frage bezüglich Newbies zum Ubiquiti, wie ich 🙂

    Ich habe ein ganz einfaches Netzwerk, möchte ich gern es über den nächsten Monate aufbauen. Zurzeit habe ich nur die FB 7490 und ein Unifi Switch 24, darauf hangt auch ein Fritz Repeater (der ich später mit ein Ubiquiti AP ersetzen will). Ich habe mir ein USG gekauft aber ich bin zuerst nicht sicher, wie und wo fange ich an ihn zu integrieren… Ich habe schon probiert aber er könnte überhaupt nicht adopiert. Ich habe gelesen das vielleicht muss ich etwas manuell mit ihm konfigurien:
    https://help.ubnt.com/hc/en-us/articles/236281367-UniFi-USG-How-to-Adopt-a-USG-into-an-Existing-Network

    Ich dachte vielliecht haben sie einen Hinweis für mich, damit ich zwei Tage ohne Internet Zugang vermeiden kann 😉

    Danach, ist es möglich der USG sofort einzustellen, damit er ohne NAT funkioniert, wie Sie beschrieben haben, oder ist es einfacher zuerst ihn “normal” zu installerien – mit doppel NAT – und danach weiter konfiguerien?

    Danke für die Hilfe und sorry für mein Deustch ha ha!

    Cheers.

    1. Hallo Matt,

      dein Ansatz, das USG erst mal “normal” einzubinden – also wie vom Hersteller vorgesehen, mit aktivem NAT – ist der sichere Weg. Internet hast du auch mit dem USG weiterhin, wenn du deine Geräte direkt an deine FritzBox hängst. Wie du dein USG am besten in dein Netz integrierst, hängt davon ab, wie deine Netzinfrastruktur danach aussehen soll.

      Einfach ausprobieren – solange, du deine FritzBox hast, die dir den Internetzugang herstellt, solltest du keine internetfreien Tage zu befürchten haben.

      Gruß

      Martin

  40. Hallo zusammen,
    ich bin dank Google auf die Seite aufmerksam geworden und muss einmal um Hilfe fragen. Das Thema ist etwas ausführlicher – daher ein kurzer Link in die Historie: https://community.ui.com/questions/GER-CloudKey-Kommunikation-uber-VLAN-ENG-CloudKey-communication-over-VLAN/78dae421-300e-4b30-bb2e-87d84d8cef8a?page=1

    Ich möchte letztendlich eine Portfreigabe von der FritzBox 192.168.5.1 -> zum USG 192.168.5.2 -> zu einem anderen Netzwerk / Client was dem USG gehört 192.168.15.150 betreiben. Die WAN Schnittstellen können nicht genutzt werden, da hier zwei LTE Funkstrecken hinterlegt sind. der USG, die APs, Switch und das Büro-Netzwerk liegen auf einer ausgelagerten FritzBox mit einem DSL AS (Warum steht in dem Thread oben). Nun bekomme ich es aber nicht hin dem USG zu sagen, dass ich extern auf das 15er Netz zugreifen möchte. Gibts da vielleicht einen Rat?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.