UCG Ultra - Ersatz für USG3p

**Xplosion** · 11. Juni 2024

Hallo zusammen,

ich bin am Überlegen, meine USG3p gegen die UCG Ultra zu tauschen.

Aktuell sieht es bei mir wie folgt aus:

APs / Switch -> USG3P -> Draytek Vigor2865 -> DSL

folgende Funktionen sind mir wichtig:

json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?
mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Videos schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)
VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)
VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

Meine Beweggründe:

Draytek-Router wird nur noch im Bridge-Modus benutzt. Derzeit recht komplexe Konfiguration. (DMZ-Port, VPN, Routing zwischen Draytek und USG VLANs, DHCP-Weiterleitung für VPNs an Draytek usw.)
Mini-PC für Unifi-Controller entfällt
Verwaltung findet nur noch an einem Gerät statt.

**defcon** · 12. Juni 2024

Zitat von Xplosion

1. json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?

json gibts bei den neuen Gateways mit UnifiOS nicht mehr, sollte aber über iptables machbar sein.

Bash

#!/bin/sh
 
### Add iptables rules to redirect port 53 traffic (tcp+udp)
### IPv4 DNS traffic is redirected to $IPV4_IP on port $IPV4_PORT
### IPv6 DNS traffic is redirected to $IPV6_IP on port $IPV6_PORT
 
## DNS redirect configuration variables:
IPV4_IP="10.10.100.50"
IPV4_PORT=53
# Leave this blank if you don't use IPv6
IPV6_IP=
IPV6_PORT=53
 
# Set this to the interfaces you want to force through the DNS IP.
# Separate interfaces with spaces.
# e.g. "br0" or "br0 br1" etc.
FORCED_INTFC="br0 br10 br20 br30 br40 br50 br60 br70"
 
# Enable this if your pihole is on the same subnet as the devices/interfaces
# you are forwarding. This will allow the return traffic to work on the same
# subnet, but will make the pihole think the requests are coming from the router.
# You will lose client information in the pihole dashboard if you enable this.
# It is preferable to put the pihole on a different subnet and disable this.
ENABLE_MASQUERADE=0
 
# IPv4 force DNS (TCP/UDP 53) through DNS container
for intfc in ${FORCED_INTFC}; do
  if [ -d "/sys/class/net/${intfc}" ]; then
    for proto in udp tcp; do
      prerouting_rule="PREROUTING -i ${intfc} -p ${proto} ! -s ${IPV4_IP} ! -d ${IPV4_IP} --dport 53 -j DNAT --to ${IPV4_IP}:${IPV4_PORT}"
      iptables -t nat -C ${prerouting_rule} || iptables -t nat -A ${prerouting_rule}
 
      # IPv6 force DNS (TCP/UDP 53) through DNS container
      if [ -n "${IPV6_IP}" ]; then
        prerouting_rule="PREROUTING -i ${intfc} -p ${proto} ! -s ${IPV6_IP} ! -d ${IPV6_IP} --dport 53 -j DNAT --to ${IPV6_IP}:${IPV6_PORT}"
        ip6tables -t nat -C ${prerouting_rule} || ip6tables -t nat -A ${prerouting_rule}
      fi
    done
  fi
done
 
if [ "$ENABLE_MASQUERADE" = "1" ]; then
  for proto in udp tcp; do
    postrouting_rule="POSTROUTING ! -s ${IPV4_IP} -d ${IPV4_IP} -p ${proto} --dport 53 -j MASQUERADE"
    iptables -t nat -C ${postrouting_rule} || iptables -t nat -A ${postrouting_rule}
  done
fi

Alles anzeigen

Zitat von Xplosion

2. mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Video´s schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)

geht

Zitat von Xplosion

3. VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)

ist kein Problem, kannst OVPN, Wiregaurd oder L2TP benutzen.

Zitat von Xplosion

4. VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

usecase 1 ist kein problem, ob du aber "über eine der 4 VPN-Client Verbindungen" fahren kannst, da bin ich mir ehrlich gesagt nicht sicher ob das über traffic rules geht. Falls das nicht geht, kannst du ja immernoch im Client selbst diese Verbindungen aufbauen.

**Xplosion** · 12. Juni 2024

Vielen Dank für die Informationen.

Zu 1: Meine aktuelle .json sieht wie folgt aus, wie lässt sich das anhand eines Beispiels übersetzen?

Code

{
    "service": {
        "nat": {
            "rule": {
                "1": {
                    "description": "DNS Anfragen aus VLAN 10 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.10",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "2": {
                    "description": "DNS Anfragen aus VLAN 20 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.20",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "3": {
                    "description": "DNS Anfragen aus VLAN 30 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.30",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "4": {
                    "description": "DNS Anfragen aus VLAN 40 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.40",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "6": {
                    "description": "DNS Anfragen aus VLAN 60 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.60",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "7": {
                    "description": "DNS Anfragen aus VLAN 70 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.70",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "8": {
                    "description": "DNS Anfragen aus VLAN 80 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.80",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "9": {
                    "description": "DNS Anfragen aus ManagementLAN umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                }
            }
        }
    }
}

Alles anzeigen

Zu 4: Bei meinen Draytek-Router kann ich auswählen, welche IP-Adresse ich über die VPN-Verbindungen leiten will. Der VPN-Client, der sich von extern einwählt, muss doch auch bei Unifi eine IP-Adresse zugewiesen bekommen. Diese IP müsste dann bei den VPN-Verbindungen angegeben werden, damit der externe VPN-Client über Zuhause auf die VPN-Verbindung weitergeleitet wird.

Aber für den Notfall kann ich auch die VPN-Software vom Anbieter verwenden.

**DKeppi** · 12. Juni 2024

Zitat von Xplosion

json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?

Ich hab das bei mir mit dem UXG-Lite folgendermaßen gelöst.
Habe aber auch 2 redundante PiHoles, wo man dann mit IPGroup arbeiten muss

Beitrag

RE: 2 pi-holes als DNS mit UXG-Lite

Ich fasse nochmal zusammen was ich gemacht habe:

1.) Beide PiHole IP's als DNS Server in den beiden VLANs HEIM & VPN hinterlegt, damit sie per DHCP verteilt werden.
GAST lasse ich bei mir offen und ohne AdBlocker.
Die WAN seitigen DNS Server sind auf Standard, habe aber zusätzlich unter Settings - Security den DNS Shield mit Manuell & Cloudflare aktiviert! Gehe auch in den PiHoles über Cloudflare mit DoT

2.) Group mit meinen beiden PiHole IPs angelegt (von Vorteil wenn die IP's angrenzend sind, da…

DKeppi

11. April 2024

**Xplosion** · 26. Juni 2024

Habt ihr schon gesehen, dass es die Controller-Software 8.3.20 gibt? (Beta)

Bedeutet das, dass wir zukünftig unsere Umleitungen im Webinterface setzen können?

**Xplosion** · Dienstag, 04:00

Zitat von Xplosion

Habt ihr schon gesehen, dass es die Controller-Software 8.3.20 gibt? (Beta)
Bedeutet das, dass wir zukünftig unsere Umleitungen im Webinterface setzen können?

Ich beantworte die Frage mal selbst. Hab inzwischen die UCG-Ultra Gateway und bin noch am Testen der Funktionen bevor sie dann endgültig meine USG3P ersetzt.

Die NAT-Regeln lassen sich jetzt relativ einfach über das Webinterface eintragen. Schöne Sache!

Zitat von Xplosion

Hallo zusammen,

ich bin am Überlegen, meine USG3p gegen die UCG Ultra zu tauschen.
Aktuell sieht es bei mir wie folgt aus:

APs / Switch -> USG3P -> Draytek Vigor2865 -> DSL

folgende Funktionen sind mir wichtig:
json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?
mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Videos schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)
VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)
VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)
Meine Beweggründe:
Draytek-Router wird nur noch im Bridge-Modus benutzt. Derzeit recht komplexe Konfiguration. (DMZ-Port, VPN, Routing zwischen Draytek und USG VLANs, DHCP-Weiterleitung für VPNs an Draytek usw.)
Mini-PC für Unifi-Controller entfällt
Verwaltung findet nur noch an einem Gerät statt.

Alles anzeigen

Punkt 1 ist somit erledigt

Punkt 2 funktioniert auch soweit. Mir ist aber aufgefallen, dass beim Pausieren einer VPN-Regel trotz deaktivierten Failover die normale öffentliche IP angezeigt wird. Ich hoffe, dass zwischen Pausieren und echten Ausfall der VPN-Verbindung unterschieden wird. Hat das schonmal jemand geprüft und kann das bestätigen?

Punkt 3: Konnte ich noch nicht testen, da der Dyn-DNS-Dienst noch nicht funktioniert. Hat schon jemand SPDYN im Unifi-Controller verwendet?

Punkt 4: Kann ich erst testen, wenn DYN-DNS-Dienst geht

Punkt 3 und 4 könnten auch zu Problemen führen, weil derzeit die UCG-Ultra keine öffentliche IP hat. (sitzt hinter meinen vorhandenen System)

Willkommen! Melden Sie sich an oder registrieren Sie sich.

UCG Ultra - Ersatz für USG3p

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 80

Wer war online 186