Frage, UniFi Security Gateway und FritzBox

Domi83

Rear Admiral
Registriert
Feb. 2010
Beiträge
5.307
Hallo Leute, vor etwas längerer Zeit habe ich eigentlich für einen Kunden den UniFi Security Gateway gekauft, der dann aber abgesprungen war. Da ich selbst einige UniFi Geräte im Netzwerk habe (APs, Switche) und schon öfters mit dem Gedanken gespielt hatte mir solch ein Teil zuzulegen, hab ich die Gunst der Stunde genutzt und das Teil mal bei mir in Betrieb genommen. Muss ja auch nicht verschlossen im Schrank herum liegen und verstauben :D

Nun ist meine Konstellation aktuell wie folgt: Erste TAE -> FritzBox 7490 -> USG -> Switch (Heimisches LAN) :)

Die 7490 baut aktuell die PPPoE Verbindung am VDSL Anschluss auf und beinhaltet die Rufnummern (2x Privat, Büro, Fax) inkl. DECT Station. Da in den nächsten Monaten Super Vectoring geschaltet werden soll, wäre der Kauf des Vigor 130 jetzt etwas doof, da dieser kein VDSL 35b (glaube so hieß das Protokoll) kann und es einen Vigor 160 geben soll.

Das Teil tut was es soll und das sogar sehr gut, mein Nachbar ist nun über mit einer weiteren WLAN SSID in einem separaten VLAN drin und kann nur in das Internet (hier vorweg, keine Diskussionen über DSL Sharing!), fertig ist.

Die Konstellation sieht also aktuell wie folgt aus...
- FritzBox 7490 (IP: 192.168.1.254/28)
- USG (WAN: 192.168.1.251/28, LAN1: 10.10.0.254/24, 10.11.0.1/26)

Das 24er Netz ist mein eigenes heimisches Netz, das 26er Netz ist das worin sich meine Kumpels oder auch der Nachbar einloggen können, wenn sie WLAN haben möchten. Das klappt auch alles ohne Probleme, vom 26er Netz kommt man auch nicht mehr in das 24er Netz hinein.

Jetzt sind allerdings folgende Punkte für mich noch etwas problematisch und vielleicht kann man diese lösen, bevor ich im Herbst ein neues Modem kaufe, aufgrund der Aufrüstung :)

Die Topologie wollte ich aktuell so bestehen lassen und in meinem 24er Netz gibt es einen kleinen HP ProLiant Server mit OpenVPN, so das ich von Unterwegs in mein Netz komme. In der FritzBox habe ich einfach eine statische Router hinterlegt, habe gesagt das alle Anfragen aus 10.8.0.0/24 vom Server 10.10.0.1 kommen. Somit konnte ich über den OpenVPN Tunnel alle Geräte ansprechen, allerdings möchte die statische Route im UniFi Security Gateway nicht so ganz funktionieren...

Andere alternative wäre, den im UniFi Security Gateway vorhanden L2TP VPN Dienst nutzen, aber laut Recherchen aus dem Internet, lässt die FritzBox (trotz eingestelltem exposed host) die Verbindung nicht durch.

Daher wären nun folgende zwei Fragen, kann man den L2TP irgendwie an den USG weiter leiten um dort ein VPN Tunnel aufzubauen, oder kann mir einer sagen wie die statische Route im USG aussehen muss, damit ich vom vorhandenen OpenVPN wieder alle Geräte erreichen kann?! Ich würde auch gerne (wenn möglich) über den VPN Tunnel wieder auf die FritzBox zugreifen um mit Zoiper von Unterwegs telefonieren zu können :)

Ich hoffe, mit meinem langen Text konnte ich viele Fragen beantworten, zumal ja immer als erstes vermutet wird das man Google gar nicht gefragt hat, aber dies habe ich schon getan. Daher weiß ich, dass die FritzBox wohl die VPN Verbindung nicht zu USG weiter leitet oder das es später einen Vigor 160 geben soll (aber kein genaueres Datum existiert) etc.

Über Tipps und Kniffe wäre ich Dankbar, vielleicht habe ich auch nur irgendwo einen haken übersehen.

Gruß, Domi
 
Und die Fritzbox durch ein Modem ersetzen oder machst Du das später mit dem Modem aus dem Vigor?
 
Doppel NAT ist nie eine gute Idee, denke mal darüber nach den Draytek 130 früher zu erwerben.
 
DaChicken schrieb:
Und die Fritzbox durch ein Modem ersetzen oder machst Du das später mit dem Modem aus dem Vigor?
Genau das ist der spätere Plan :)

Da hier im Dorf ab Herbst Super Vectoring geschaltet wird, habe ich gehofft das Draytek den (auf der CeBit vorgestellten) 160er bald auf den Markt wirft. Dann soll dieser als Modem dort hin, der USG macht PPPoE Einwahl und ich muss (wie schon erwähnt) kein doppeltes NAT mehr machen. Ich denke mal, dass ist auch eines der Probleme, obwohl ich der FritzBox gesagt habe das der USG "exposed host" ist und eigentlich alles abbekommen soll :D

Natürlich könnte ich mir auch schon den 130er kaufen, aber dann würde ich doppelt Geld ausgeben da dieser kein Super Vectoring können soll.

Nachtrag: Ich habe heute eine Rückmeldung von Draytek erhalten, dass der Vigor 160 wohl erst im Februar 2019 auf den Markt kommen soll und nach einer Rücksprache mit jemandem von der Telekom, wird erst einmal Vectoring bei uns geschaltet. Ende des Jahres oder Anfang kommendes Jahr könnte dann Super Vectoring kommen. Da ich mit den momentanen 50 Mbit gut hin komme und dann auf 100 Mbit gehen kann, dürfte dieses erst einmal ausreichend sein.

Fazit für mich, ich habe heute den Vigor 130 bestellt. Diesen schließe ich die Tage als Modem vor den USG und die 7490 wird dann nur noch "Telefonanlage" machen, fertig ist. Vielleicht besorge ich mir dann später mal eine ganz kleine FritzBox die mit DECT ausgestattet ist und als "Telefonanlage" dienen kann. Aber erst einmal sollte das so passen.
 
Zuletzt bearbeitet:
Doppel-NAT ist im übrigen eine Frage der Konfiguration. Ich habe zwar kein USG, aber ich meine mal im Ubiquiti Forum gelesen zu haben, dass ab UniFi Controller v5.irgendwas das NAT am WAN Port des USG abgeschaltet werden kann. Bei einem EdgeRouter wäre das kein Thema, weil der einfach nur x LAN Ports hat, die nach Belieben als WAN oder LAN konfiguriert werden können. Beim USG sind die Ports aber bereits vorbelegt und somit muss der Controller das auch zulassen. Man kann zwar immer in der Kommandozeile das NAT abschalten, aber das wird dann mit ziemlicher Sicherheit durch ein Update am/vom Controller überschrieben - das ist ja das Prinzip von UniFi, alles kommt vom Controller.
 
In meinem Fall habe ich ja das erste NAT (an der 7490) durch das einstellen des "exposed Host" zum USG schon erledigt. Denn laut Beschreibung soll ja der "exposed host" einfach alles abbekommen, was aus dem Netz kommt.

Meine OpenVPN Verbindung zum Beispiel klappt sogar problemlos. FritzBox schickt alles an den USG weiter, im USG habe ich eine "Portforwarding" Regel für OpenVPN zu meinem Server hinterlegt und fertig ist. Von unterwegs kann ich sogar eine OpenVPN Verbindung aufbauen, aber ich hänge noch ein wenig bei den statischen Routen fest, diese scheinen nicht so zu laufen wie ich das wollte.

Ich kann ja sogar meinen OpenVPN Server über seien VPN und LAN IP via 'ping' ansprechen, aber die anderen Geräte nicht aufgrund der fehlenden statischen Route. Aber ich denke und hoffe mal, dass das Thema in den nächsten Tagen auch erledigt wäre, wenn der USG die PPPoE Einwahl macht und einen L2TP VPN Tunnel anbietet.
 
Domi83 schrieb:
Die Topologie wollte ich aktuell so bestehen lassen und in meinem 24er Netz gibt es einen kleinen HP ProLiant Server mit OpenVPN, so das ich von Unterwegs in mein Netz komme. In der FritzBox habe ich einfach eine statische Router hinterlegt, habe gesagt das alle Anfragen aus 10.8.0.0/24 vom Server 10.10.0.1 kommen. Somit konnte ich über den OpenVPN Tunnel alle Geräte ansprechen, allerdings möchte die statische Route im UniFi Security Gateway nicht so ganz funktionieren...

Vorweg: Es ist immer schwierig, sowas zu debuggen, wenn das Setup nur erklärt wurde. Besser ist immer eine Zeichnung, die das Netzwerk darstellt, inkl. aller IPs.

Grundsätzlich muss das Gateway einer Route im lokalen Subnetz sein, da das Gateway ja gerade die Grenze zwischen loalem und entferntem Subnetz darstellt. Die Route in der Fritzbox müsste daher richtigerweise auf 192.168.1.251 verweisen, die "Fritz"-IP des USG und nicht die LAN-IP dahinter. Routen verweisen immer nur auf den nächsten Hop, weil sie den Weg nach diesem Hop eh nicht beeinflussen können.

Fritzbox (192.168.1.254) --- (192.168.1.251) USG (10.10.0.254) --- (10.10.0.1) Server (10.8.0.1) ---VPN

Folgende Routen werden benötigt:

Fritzbox: Ziel 10.10.0.0/24 + 10.8.0.0/24 via 192.168.1.251
USG: Ziel 10.8.0.0/24 via 10.10.0.1
Server: Ziel 192.168.1.0/24 via 10.10.0.254
VPN-Clients: Ziel 192.168.1.0/24 + 10.10.0.0/24 via 10.8.0.1

Ich habe bewusst 192.168.1.0/24 geschrieben und nicht wie von dir angegeben /28. Das liegt daran, dass ich diese Subnetzmaske anzweifle und/oder nicht genau weiß warum und wieso du das gemacht hast. Grundsätzlich sollten alle beteiligten bzw. gerouteten Subnetze, die mit einem VPN zu tun haben, explizit von der Norm abweichen. 192.168.1.0/24 ist das wohl am weitesten verbreitete Subnetz überhaupt, gleich auf mit denen davor/danach und zB auch dem AVM-Standard 192.168.178.0/24 bzw. 192.168.179.0/24. Du solltest daher auch im Fritz-LAN ein eindeutiges Subnetz verwenden, wenn du etwaigen Routing-Problemen via VPN aus dem Weg gehen willst.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Hier kannst du dich austoben. Ich persönlich lehne Subnetze gerne an Geburtstage an, um sie mir besser merken zu können (zB 17.23.4.0/24 für den 23.4.). Natürlich kann man die Subnetzmaske des Netzwerks auch soweit schrumpfen, dass es gerade für die verbundenen Geräte reicht, aber auch das würde ich nur machen, wenn ich dafür einen handfesten Grund habe. Ein /24 Subnetz tut privat nicht weh und wenn man eni /28er verwendet, ist der /24er Bereich wo das /28er drin ist eh "verseucht". Heißt: Auch das 192.168.1.0/28er Subnetz an der Fritzbox hilft dir wenig, wenn du bei nem Kumpel via VPN nach Hause telefonierst und er ein 192.168.1.0/24er Subnetz nutzt, weil dein /28er in seinem /24 steckt.
 
Alles klar, vielen Dank schon mal für deinen ausführlichen Text. Um das ganze für dich (oder auch andere Leute) hier einfacher zu gestallten, mit welchem Programm / Tool kann man denn ganz simple und einfach die Topologien aufbauen um diese als Grafik hier zur Verfügung zu stellen?

In der Ausbildung zum IT-System-Kaufmann hatte ich in der Schule mal ein Tool gesehen, dass zum Office Paket gehört, dass habe ich allerdings nicht griffbereit, es war auch nicht schnell erledigt und eine Lizenz müsste ich mir ebenfalls noch organisieren. Daher wäre ein Tipp ganz toll :)

Was die Netze angeht, natürlich könnte ich überall ein /24 Subnetz benutzen, da wollte ich aber noch mal kurz herum spielen. Um das ganze nachher mal einfacher zu gestallten (wenn ich zu Hause bin), mache ich aus allen Netzen ein 24er Netz.

- FritzBox <-> USG (WAN: 192.168.x.x/24)
- USG (LAN: 10.10.0.0/24, VLAN: 10.11.0.0/24)
- VPN (10.8.0.0/24)

Um es einfacher zu gestallten. Was die Subnetze angeht, ich orientiere mich da immer an der PLZ des Standortes. Beispiel wäre dann (10.30.0.0/24 oder 10.30.1.0/24), für einen Kunden aus 30159 Hannover. Wobei man das dritte Oktett (je nach Größe der Netze) in die Postleitzahl einfließen kann, oder eben nicht. Da meine Kunden aber primär Kleinunternehmen sind, füttere ich aktuell das zweite und dritte Oktett mit der PLZ und alle sind glücklich da sie von zu Hause über ihre heimischen Router via VPN in das Firmennetz kommen :)

Gruß, Domi
 
Domi83 schrieb:
Fazit für mich, ich habe heute den Vigor 130 bestellt.

Ein 35b fähiger Speedport Smart2 (auch Broadcom Modem) wäre hier die bessere Wahl gewesen. Der erlaubt auch die Umschaltung auf dummes Modem.
 
Domi83 schrieb:
mit welchem Programm / Tool kann man denn ganz simple und einfach die Topologien aufbauen um diese als Grafik hier zur Verfügung zu stellen?
[..]
hatte ich in der Schule mal ein Tool gesehen, dass zum Office Paket gehört
Du meinst Visio. Das ist der Quasi-Standard für Grafiken/Zeichnungen jedweder Art wie zB Grundrisse oder eben auch Netzwerke. Ich selbst nutze seit einiger Zeit ein Online-Tool dazu, Lucidchart. Wirklich warm bin ich aber bisher mit keinem dieser Tools geworden. Daher bin ich nach wie vor auf der Suche nach dem Tool zum Zeichnen von Netzwerken...

*edit
Postleitzahlen für Subnetze sind auch eine nette Idee ;)
 
@h00bi, meinst du damit das Speedport Teil welches man von der Telekom bekommen kann? Das könnte eine Option sein. Der Vigor ist ja noch nicht da und vielleicht braucht ja ein Kunde von mir einen, sollte ich in nicht auspacken.

@Raijin, Lucidchart habe ich mir mal angeschaut, wusste zwar nicht welche Symbole ich nutzen sollte, aber habe mal eine grobe Struktur aufgebaut. Mit grob meine ich, dass sie nicht maßstabsgetreu ist :) Der einzig gravierende unterschied ist noch, dass ich dort /24 Subnetze aufgeschrieben habe (werde das heute Abend zu Hause umsetzen), obwohl ich halt wie oben erwähnt noch die Netze unterteilt habe. Aber vielleicht bekommt man damit einen etwas besseren Einblick.

Was die Subnetze anhand der Geburtstage splitten ist auch eine gute Idee, ich glaube aber die Kunden wollen mir nicht alle die Daten nennen :D Daher fand ich die Postleitzahl ganz gut und diese kann ich dann gut zuordnen. Das VPN Problem kennt ja vermutlich auch jeder, wenn zu Hause und im Büro die gleichen Subnetze laufen, daher fand ich diese Idee ganz gut und bis jetzt(!!) hab ich noch keine Probleme damit gehabt :)

Gruß, Domi

Nachtrag: Bevor ich es vergesse, du hast recht... MS Visio war das was ich meinte. Im Office Paket ist (glaube ich) nur der Visio Viewer dabei, wenn man eine der größeren Versionen gekauft hat.
 

Anhänge

  • diagramm01.jpeg
    diagramm01.jpeg
    52 KB · Aufrufe: 2.186
So wie das Netzwerk aussieht, müssten meine Routen von oben stimmen. Das VLAN habe ich nicht auf dem Zettel gehabt, aber die Routen sehen dann ähnlich aus.

Wie gesagt, Routing funktioniert immer bis zum nächsten Hop. Ganz ähnlich wie bei einer Telefonkette:

Max (Internet)
Peter (Fritzbox)
Susanne (USG)
Heidi (Server)
Maria (VPN)

Wenn Maria eine Nachricht bekommen soll, muss Susanne nur wissen, dass sie Heidi anrufen muss. So funktioniert auch das Routing, nur eben in beide Richtungen. Man muss nur wissen "wo es weitergeht", das Gateway. Also würde die Route zu Maria für jedes Mitglied der Gruppe immer nur bis zum jeweils nächsten Namen gehen, dem Gateway sozusagen. Das USG muss also nur wissen, dass das VPN-Netzwerk "irgendwo" hinter dem Server sitzt.
 
Moin moin, nachdem ich gestern versehentlich meinen Unifi Controller auf dem Linux System kaputt gemacht hatte und gar kein Backup zur Hand hatte, habe ich den Spaß neu eingerichtet, überall ein 24er Subnetz erstellt und mein Diagramm angepasst.

Das VLAN ist aktuell vernachlässigbar, da dieses nur für die "Gäste" gedacht ist :) Aber, das Routing funktioniert nun so wie es soll. Gestern hatte ich es ebenfalls so hinterlegt, wollte aber nicht. Vielleicht gab es da Probleme mit den 28er Netzen (war ja eine Vermutung von dir) die ich ja nun alle in 24er Netze umgebaut habe.

Im Diagramm kann man zumindest die IPs sehen und was mit wem verbunden ist. Im USG habe ich dann die statische Route hinterlegt, so wie ich es auch aus der FritzBox kenne und im OpenVPN Server habe ich noch die zweite 'push route' gegeben, da er ja sowohl in das 10.12.0.0/24 als auch in das 192.168.31.0/24 routen soll.

Das interessante ist, in der FritzBox musste ich gar keine Routen hinterlegen. Denke mal, dass liegt aber daran da die Box mit dem USG im gleichen Netz ist.

Zumindest klappt jetzt wieder alles... von unterwegs kann ich via OpenVPN eine Verbindung aufbauen, alle Geräte im 10.12.0.0/24 Netz erreichen und mit Zoiper sogar die VoIP Rufnummern aus der FritzBox abgreifen und damit telefonieren :)

@h00bi, vielen Dank für den Tipp und den Link. Vielleicht wäre das auch eine Option, wichtig ist dann nur dass das Gerät stabil läuft und gute Dienste tut. Ich selbst halte ja sonst nicht viel von den Telekom Geräten da irgend eines der Bauteile gerne ärger macht. Modem schmierte mal ab, DSL Sync ist schwächer als mit anderen Geräten etc. allerdings weiß ich nicht, ob die mir für den heimischen Anschluss den Speed Port anbieten würden da ich dort einen Business Anschluss habe. Dort wollen sie immer gerne die Lancom Geräte unterbringen :D

Gruß, Domi
 

Anhänge

  • diagramm02.png
    diagramm02.png
    25,2 KB · Aufrufe: 5.421
  • unifi_routing.png
    unifi_routing.png
    17,8 KB · Aufrufe: 1.185
Ich halte vom Speedport Smart2 als Router auch nicht wahnsinnig viel (brauchbar, aber nichts besonderes), aber das Modem ist eben mit das Beste was es für Vectoring Anschlüsse gibt und es ist auch 35b fähig.

Du kannst da aber nicht alle Geräte eines Brands über einen Kamm scheren. Es kommt da mehr auf die verbaute Hardware an. Das vermutlich schlechteste Gerät für Vectoring ist eine Fritzbox 7390. Der verbaute Ikanos Fusiv Vx180 kann eigentlich gar kein Vectoring, das wurde (von AVM?!?) per Software drumrum gebaut und funktioniert einfach seit Jahren ehr schlecht als recht. Wobei die ganz neue Labor FW wohl endlich halbwegs brauchbar sein soll.
 
Domi83 schrieb:
Das interessante ist, in der FritzBox musste ich gar keine Routen hinterlegen. Denke mal, dass liegt aber daran da die Box mit dem USG im gleichen Netz ist.
Ich vermute eher, dass das USG WAN-seitig - also in Richtung Fritzbox - NAT betreibt. Heißt: Die Fritzbox bekommt gar nichts davon mit, dass eine Verbindung von 10.irgendwas reinkommt, sondern das USG ersetzt die Quell-IP mit 192.168.31.251. In dem Falle kann man aber nur von hinter dem USG auf die Fritzbox bzw. Geräte an der Fritzbox zugreifen, nicht jedoch andersherum (vom Verbindungsaufbau her gesehen). Dazu müsste man nämlich explizit Portweiterleitungen einrichten, um die NAT-Grenze am WAN-Port des USG zu überwinden.

Deswegen ist es in solchen Setups in der Regel besser, NAT innerhalb des Netzwerks auszuschalten. Stand jetzt hast du nämlich Doppel-NAT. Dass die Fritzbox das USG als exposed host nutzt, hat damit nur am Rande etwas zu tun. Das heißt nämlich unterm Strich nur, dass die Fritzbox einfach jeden Port an das USG weiterleitet. Das USG tut dann im Prinzip das gleiche, nur dass es eben nicht alle Ports stur durchreicht, sondern nur die eingestellten Portweiterleitungen.

Da ich selbst kein USG habe, kann ich nur grob beschreiben was zu tun ist. Soweit ich informiert bin kann man im aktuellen UniFi-Controller das NAT am WAN-Port abschalten, das ging in älteren Versionen noch nicht. Schau dir mal die GUI genau an und sieh nach ob du etwas zum NAT findest. Wenn das NAT abgeschaltet ist und in der Fritzbox die korrekten Routen eingetragen wurden, kann man von der Fritzbox aus auch direkt einen Port an zB 10.10.0.x weiterleiten obwohl das Ziel hinterm USG sitzt. Muss man aber nicht unbedingt machen und kann das USG als exposed host belassen. Die Route bzw. das abgeschaltete NAT ist dennoch wichtig, wenn man Geräte im Fritz-Netzwerk (192.168.31.0/24) hat, die ihrerseits eine Verbindung ins 10.xer Netzwerk aufbauen sollen. Wenn das Fritz-Netzwerk nur aus Fritzbox und USG besteht, sind die Routen und das USG-NAT hingegen vernachlässigbar.
 
Zurück
Oben