UCG-Ultra als Ersatz für USG3p

**Xplosion** · 11. Juni 2024

Hallo zusammen,

ich bin am Überlegen, meine USG3p gegen die UCG Ultra zu tauschen.

Aktuell sieht es bei mir wie folgt aus:

APs / Switch -> USG3P -> Draytek Vigor2865 -> DSL

folgende Funktionen sind mir wichtig:

json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?
mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Videos schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)
VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)
VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

Meine Beweggründe:

Draytek-Router wird nur noch im Bridge-Modus benutzt. Derzeit recht komplexe Konfiguration. (DMZ-Port, VPN, Routing zwischen Draytek und USG VLANs, DHCP-Weiterleitung für VPNs an Draytek usw.)
Mini-PC für Unifi-Controller entfällt
Verwaltung findet nur noch an einem Gerät statt.

**defcon** · 12. Juni 2024

Zitat von Xplosion

1. json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?

json gibts bei den neuen Gateways mit UnifiOS nicht mehr, sollte aber über iptables machbar sein.

Bash

#!/bin/sh
 
### Add iptables rules to redirect port 53 traffic (tcp+udp)
### IPv4 DNS traffic is redirected to $IPV4_IP on port $IPV4_PORT
### IPv6 DNS traffic is redirected to $IPV6_IP on port $IPV6_PORT
 
## DNS redirect configuration variables:
IPV4_IP="10.10.100.50"
IPV4_PORT=53
# Leave this blank if you don't use IPv6
IPV6_IP=
IPV6_PORT=53
 
# Set this to the interfaces you want to force through the DNS IP.
# Separate interfaces with spaces.
# e.g. "br0" or "br0 br1" etc.
FORCED_INTFC="br0 br10 br20 br30 br40 br50 br60 br70"
 
# Enable this if your pihole is on the same subnet as the devices/interfaces
# you are forwarding. This will allow the return traffic to work on the same
# subnet, but will make the pihole think the requests are coming from the router.
# You will lose client information in the pihole dashboard if you enable this.
# It is preferable to put the pihole on a different subnet and disable this.
ENABLE_MASQUERADE=0
 
# IPv4 force DNS (TCP/UDP 53) through DNS container
for intfc in ${FORCED_INTFC}; do
  if [ -d "/sys/class/net/${intfc}" ]; then
    for proto in udp tcp; do
      prerouting_rule="PREROUTING -i ${intfc} -p ${proto} ! -s ${IPV4_IP} ! -d ${IPV4_IP} --dport 53 -j DNAT --to ${IPV4_IP}:${IPV4_PORT}"
      iptables -t nat -C ${prerouting_rule} || iptables -t nat -A ${prerouting_rule}
 
      # IPv6 force DNS (TCP/UDP 53) through DNS container
      if [ -n "${IPV6_IP}" ]; then
        prerouting_rule="PREROUTING -i ${intfc} -p ${proto} ! -s ${IPV6_IP} ! -d ${IPV6_IP} --dport 53 -j DNAT --to ${IPV6_IP}:${IPV6_PORT}"
        ip6tables -t nat -C ${prerouting_rule} || ip6tables -t nat -A ${prerouting_rule}
      fi
    done
  fi
done
 
if [ "$ENABLE_MASQUERADE" = "1" ]; then
  for proto in udp tcp; do
    postrouting_rule="POSTROUTING ! -s ${IPV4_IP} -d ${IPV4_IP} -p ${proto} --dport 53 -j MASQUERADE"
    iptables -t nat -C ${postrouting_rule} || iptables -t nat -A ${postrouting_rule}
  done
fi

Alles anzeigen

Zitat von Xplosion

2. mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Video´s schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)

geht

Zitat von Xplosion

3. VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)

ist kein Problem, kannst OVPN, Wiregaurd oder L2TP benutzen.

Zitat von Xplosion

4. VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

usecase 1 ist kein problem, ob du aber "über eine der 4 VPN-Client Verbindungen" fahren kannst, da bin ich mir ehrlich gesagt nicht sicher ob das über traffic rules geht. Falls das nicht geht, kannst du ja immernoch im Client selbst diese Verbindungen aufbauen.

**Xplosion** · 12. Juni 2024

Vielen Dank für die Informationen.

Zu 1: Meine aktuelle .json sieht wie folgt aus, wie lässt sich das anhand eines Beispiels übersetzen?

Code

{
    "service": {
        "nat": {
            "rule": {
                "1": {
                    "description": "DNS Anfragen aus VLAN 10 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.10",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "2": {
                    "description": "DNS Anfragen aus VLAN 20 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.20",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "3": {
                    "description": "DNS Anfragen aus VLAN 30 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.30",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "4": {
                    "description": "DNS Anfragen aus VLAN 40 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.40",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "6": {
                    "description": "DNS Anfragen aus VLAN 60 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.60",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "7": {
                    "description": "DNS Anfragen aus VLAN 70 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.70",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "8": {
                    "description": "DNS Anfragen aus VLAN 80 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.80",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "9": {
                    "description": "DNS Anfragen aus ManagementLAN umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                }
            }
        }
    }
}

Alles anzeigen

Zu 4: Bei meinen Draytek-Router kann ich auswählen, welche IP-Adresse ich über die VPN-Verbindungen leiten will. Der VPN-Client, der sich von extern einwählt, muss doch auch bei Unifi eine IP-Adresse zugewiesen bekommen. Diese IP müsste dann bei den VPN-Verbindungen angegeben werden, damit der externe VPN-Client über Zuhause auf die VPN-Verbindung weitergeleitet wird.

Aber für den Notfall kann ich auch die VPN-Software vom Anbieter verwenden.

**DKeppi** · 12. Juni 2024

Zitat von Xplosion

json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?

Ich hab das bei mir mit dem UXG-Lite folgendermaßen gelöst.
Habe aber auch 2 redundante PiHoles, wo man dann mit IPGroup arbeiten muss

Beitrag

RE: 2 pi-holes als DNS mit UXG-Lite

Ich fasse nochmal zusammen was ich gemacht habe:

1.) Beide PiHole IP's als DNS Server in den beiden VLANs HEIM & VPN hinterlegt, damit sie per DHCP verteilt werden.
GAST lasse ich bei mir offen und ohne AdBlocker.
Die WAN seitigen DNS Server sind auf Standard, habe aber zusätzlich unter Settings - Security den DNS Shield mit Manuell & Cloudflare aktiviert! Gehe auch in den PiHoles über Cloudflare mit DoT

2.) Group mit meinen beiden PiHole IPs angelegt (von Vorteil wenn die IP's angrenzend sind, da…

DKeppi

11. April 2024

**Xplosion** · 26. Juni 2024

Habt ihr schon gesehen, dass es die Controller-Software 8.3.20 gibt? (Beta)

Bedeutet das, dass wir zukünftig unsere Umleitungen im Webinterface setzen können?

**Xplosion** · 23. Juli 2024

Zitat von Xplosion

Habt ihr schon gesehen, dass es die Controller-Software 8.3.20 gibt? (Beta)
Bedeutet das, dass wir zukünftig unsere Umleitungen im Webinterface setzen können?

Ich beantworte die Frage mal selbst. Hab inzwischen die UCG-Ultra Gateway und bin noch am Testen der Funktionen bevor sie dann endgültig meine USG3P ersetzt.

Die NAT-Regeln lassen sich jetzt relativ einfach über das Webinterface eintragen. Schöne Sache!

Zitat von Xplosion

Hallo zusammen,

ich bin am Überlegen, meine USG3p gegen die UCG Ultra zu tauschen.
Aktuell sieht es bei mir wie folgt aus:

APs / Switch -> USG3P -> Draytek Vigor2865 -> DSL

folgende Funktionen sind mir wichtig:
json-Config für die Weiterleitung aller DNS-Anfragen an PIhole mit Unbound. -> ist das weiterhin mit der UCG Ultra über die json-Config oder eventuell über das Interface möglich?
mehrere VPN-Client-Verbindungen in verschiedene Länder -> Derzeit nutze ich den Draytek-Router dafür. Der UCG-Router scheint aber jetzt Client-Verbindungen zu unterstützen und die Konfiguration laut Videos schaut auch ganz komfortabel aus (ca. 4 Client-Verbindungen)
VPN-Server Verbindung für Fernwartung (Zugriff auf Unifi Controller)
VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)
Meine Beweggründe:
Draytek-Router wird nur noch im Bridge-Modus benutzt. Derzeit recht komplexe Konfiguration. (DMZ-Port, VPN, Routing zwischen Draytek und USG VLANs, DHCP-Weiterleitung für VPNs an Draytek usw.)
Mini-PC für Unifi-Controller entfällt
Verwaltung findet nur noch an einem Gerät statt.

Alles anzeigen

Punkt 1 ist somit erledigt

Punkt 2 funktioniert auch soweit. Mir ist aber aufgefallen, dass beim Pausieren einer VPN-Regel trotz deaktivierten Failover die normale öffentliche IP angezeigt wird. Ich hoffe, dass zwischen Pausieren und echten Ausfall der VPN-Verbindung unterschieden wird. Hat das schonmal jemand geprüft und kann das bestätigen?

Punkt 3: Konnte ich noch nicht testen, da der Dyn-DNS-Dienst noch nicht funktioniert. Hat schon jemand SPDYN im Unifi-Controller verwendet?

Punkt 4: Kann ich erst testen, wenn DYN-DNS-Dienst geht

Punkt 3 und 4 könnten auch zu Problemen führen, weil derzeit die UCG-Ultra keine öffentliche IP hat. (sitzt hinter meinen vorhandenen System)

**Xplosion** · 27. August 2024

Kurzes Update:

UCG-Ultra hat inzwischen USG3p ersetzt.

Was funktioniert:

DNS-Weiterleitung (NAT) an PIhole über Webinterface einstellbar
mehrere VPN-Client Verbindungen in verschiedene Länder (es können ganze Netze durch die VPN geleitet werden oder auch einzelne IP´s oder Anwendung)
VPN-Server Verbindung für Fernzugriff ins Heimnetz ( PC: integrierte VPN-Funktion von Windows 10 über L2TP / Handy: über Wireguard App)

Was noch nicht funktioniert:

dynamische DNS über spdns.de -> Hab das jetzt vorübergehend über Pihole gelöst, dieser läuft eh 24h und aktualisiert meine IP bei spdns.de
und dieser Punkt funktioniert nur teilweise:

VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)

Ich kann nur über die normale Internetverbindung surfen, aber nicht über die VPN-Client-Verbindungen.

**DoPe** · 27. August 2024

Zitat von Xplosion

- und dieser Punkt funktioniert nur teilweise:

VPN-Server Verbindung, damit ich von überall aus über meine eigene Internetverbindung surfen kann (entweder direkt oder über eine der 4 VPN-Client Verbindungen)
Ich kann nur über die normale Internetverbindung surfen, aber nicht über die VPN-Client-Verbindungen.

Da die ausgehenden VPNs über policy based routing verwendbar gemacht werden und das für bestimmte auszuwählende Clients und Netzwerke, wird das nicht funktionieren, denn die VPN Clients sind dort nicht auswählbar und somit gelten für diese die mit policy based routing erstellten routing tabellen nicht.

Möglicherweise würden statische routen noch greifen (tun sie zumindest für das Gateway selbst) aber damit bist Du in keinster weise flexibel.

Da musst Du dann wohl die VPNs von Unterwegs direkt zu den VPN Diensten benutzen.

**Xplosion** · 27. August 2024

Ich muss nicht flexibel sein bzw. kann mir die statische Route ja im Webinterface aktivieren und deaktivieren.

statische Route müsste dann so aussehen oder? (zugewiesene IP: 192.168.2.6)

Destination Network: 192.168.2.0/24

Type: Interface

Interface: meine gewünschte VPN-Verbindung

**DoPe** · 27. August 2024

192.168.2.6 ist die IP des Clients?!? der die Tunnel mitbenutzen soll?

Wenn ja, dann genau so nicht. Destination heisst Ziel. Du gibst also die IP oder das Netz irgeneines Ziels (Dienstes) an, für dass die Pakete dann entsprechend geroutet werden. Ob das mit einem eingewählten Client überhaupt greift weiß ich nicht, da ich diese Konstellation versuche zu meiden. Man belastet den Internetanschluss damit doppelt und dreifach, was ins Gewicht fällt wenn man nicht gerade mehrere 100Mbit symetrisch hat.

Und wie Du siehst, hat diese Art von routing nicht annähernd die Möglichkeiten die policy based routing bietet.

**Xplosion** · 9. September 2024

Zitat von DoPe

Da die ausgehenden VPNs über policy based routing verwendbar gemacht werden und das für bestimmte auszuwählende Clients und Netzwerke, wird das nicht funktionieren, denn die VPN Clients sind dort nicht auswählbar und somit gelten für diese die mit policy based routing erstellten routing tabellen nicht.

Möglicherweise würden statische routen noch greifen (tun sie zumindest für das Gateway selbst) aber damit bist Du in keinster weise flexibel.

Da musst Du dann wohl die VPNs von Unterwegs direkt zu den VPN Diensten benutzen.

Ich hab inzwischen alles erreicht, was ich wollte, außer dass ich bei der Einwahl ins eigene Netz nicht über die VPN-Verbindungen routen kann.

Wenn noch jemand eine Idee dazu hat, bitte melden...

Willkommen! Melden Sie sich an oder registrieren Sie sich.

UCG-Ultra als Ersatz für USG3p

razor 28. August 2024

4 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 90

Wer war online 171