UniFi & Fritte ohne doppeltes NAT - Probleme mit Fritte und Cloud Gateway Ultra

Zitat von DarkVolli

Nur die Einstellungen, die Logs brauche ich nicht - kann bei dir natürlich anders aussehen.

Ich habe folgendes Setup:

Fritzbox 7590(192.168.178.1) -> UCG(WAN 192.168.178.2, 192.168.1.1) -> diverse Unifi Switche und AP's

Es braucht drei einfache Schritte:

1. Auf dem UCG die Early Access Netz App 8.3.28 installieren und NAT ausschalten.
2. Auf der Fritzbox eine statische Route in das Unifi Default Netz (192.168.1.0) mit Gateway WAN IP UCG (192.168.178.2) anlegen. Dies für jedes LAN was du verwendest.
3. Für Fritzbox VPN Loch in die UCG Firewall bohren (Accept, Internet In, All, Source ist interne virtuelle VPN IP der Fritzbox - bei mir 192.168.178.10, Destination ist z.B. das Default Netz der UCG oder eine IP im Default Netz auf die über VPN zugriffen werden soll).

Alles anzeigen

Ich habe mal versucht, gemäß Punkt 3. ein "Für Fritzbox VPN Loch in die UCG Firewall bohren" Ausprobieren konnte ich es noch nicht. Wäre das von den Einstellungen erstmal korrekt? Meine virtuelle VPN IP ist die, die ich z. B. auf dem Mobiltelefon verwende (IPSEC) um von außerhalb auf die Fritte zuzugreifen (vom iPhone aus):

Zitat von DoPe

Das Zielnetz dieser statischen Route entspricht nicht den o.g. Netzwerken. Wenn Du alle 10.10.x.x Netze abdecken willst, dann 10.10.0.0 mit Subnetmask 255.255.0.0 ( /16)

Stimmt, das hatte ich eigentlich auch so gehabt, aber wieder mal Cut&Paste J

Wenn ich jetzt das erste Subnetz einrichte, ist es so korrekt (s. unten)? Ich habe „Allow Internet Access“ erstmal gelassen, muss ich später mal sehen ob ich das wirklich brauche, ich denke fast nicht, da ich meine Shellies und Tamota-Geräte eigentlich immer manuell update, ebenso wie mDNS, falls ein paar Teile in einem anderen Netz sind (z. B. Smart Home) und mit einem IoT-Gerät kommunizieren müssen. Ich denke, das es so passen müsste? Wenn ja, kann ich die anderen Subnetze analog einrichten und die entsprechenden WLANs aufsetzen.

Zitat von Naichbindas

Hallo, eine Frage gibt es einen Grund warum das so sein muss? Meinst du mit Managment nur ein VLAN wo du deine irgendwas wie Server rein bringen willst?

Zitat:

10.10.1.0/24 mit DHCP-Range 10.10.1.100 bis 10.10.1.254 für IoT --> VLAN ID 1 = VLAN 1

10.10.2.0/24 mit DHCP-Range 10.10.2.100 bis 10.10.2.254 für Smart Home --> VLAN ID 2 = VLAN 2

10.10.3.0/24 mit DHCP-Range 10.10.3.100 bis 10.10.3.254 für Camaras --> VLAN ID 3 = VLAN 3

10.10.4.0/24 mit DHCP-Range 10.10.4.100 bis 10.10.4.254 für Guest --> VLAN ID 4 = VLAN 4

10.10.5.0/24 mit DHCP-Range 10.10.5.100 bis 10.10.5.254 für Management --> VLAN ID 5 = VLAN 5

Wenn du aber mit Management das Unifi Netzwerk meinst, also das erste LAN Netzwerk deines Gateway´s dann würde ich das anders machen.

Denn das erste Netzwerk auf einem Unifi Gateway ist ein physisches Netzwerk und ist eigentlich das wichtigste. Daruf basieren dann die VLAN´s die dann virtuell sind. Ist auch wichtig zum erstellen der Firewall-Regeln und so weiter.

Beispiel:

10.10.1.0/24 mit DHCP-Range 10.10.1.100 bis 10.10.1.254 für Management ohne VLAN ID die ist automatisch die eins, = VLAN 1.

10.10.10.0/24 mit DHCP-Range 10.10.10.100 bis 10.10.10.254 für Smart Home --> VLAN ID 10 = VLAN 2

10.10.12.0/24 mit DHCP-Range 10.10.12.100 bis 10.10.12.254 für Camaras --> VLAN ID 12 = VLAN 3

10.10.14.0/24 mit DHCP-Range 10.10.14.100 bis 10.10.14.254 für IoT --> VLAN ID 14 = VLAN 4

10.10.16.0/24 mit DHCP-Range 10.10.16.100 bis 10.10.16.254 für Guest --> VLAN ID 16 = VLAN 5

Dann noch zu beachten, wenn du mit VPN arbeiten willst, dann würde ich eigene VLAN´s schonmal garnicht mit Netzen arbeiten die im xxx.xxx.1.1 oder xxx.xxx.1.2. oder xxx.xxx.1.78 liegen, weil das gänge Netzwerke sind anderer Router die dort ihre Netze auf gespannt haben. Da auf beiden Seiten des VPN Tunnels jeweils andere Netzwerke sein müssen.

mfg

Alles anzeigen

Guter Hinweis, Danke. Deswegen hat DoPe genau wie du vorgeschlagen, die 2-Stellig zu machen. Ich werde es dann so umsetzen, wie in deinem Beispiel oben, also z. B.

10.10.14.0/24 mit DHCP-Range 10.10.14.100 bis 10.10.14.254 für IoT --> VLAN ID 14 = VLAN 14

Korrektur:  DoPe hatte nur vorgeschlagen die VLAN IDs 2-stellig zu machen.

Zitat von DoPe

qqolli das kannst Du machen wie Du das gut findest. Die VLAN IDs müssen nicht irgendwie zwingend ein Teil der IP sein. Machts aber einfacher ohne ständig nachgucken zu müssen.

Jo, alles klar. Werde das mal angehen und berichten

Zitat von DoPe

qqolli

Die statische Route stimmt scheinbar nicht. die .188.2 ist lt. Fritzbox ja Olli, also wohl der PC ...

1. UCG WAN von Fritte trennen

2.

Stelle bitte mal beim DHCP der Fritzbox den DHCP Bereich um von mir auf 192.168.188.20 bis 192.168.188.199 (das wäre glaube ich das, was AVM da default hat) und die Leasetime von 10 Tagen ist auch etwas hoch .. da reicht eine Woche oder ein Tag locker. Dann Fritte und Olli mal neu starten (in der Reihenfolge) und prüfen ob Olli jetzt zwischen 20 und 199 liegt mit seiner IP.

3. Gehe bitte mal in der UCG in die Interneteinstellungen stelle bitte mal den IPv4 Configuration Bereich wie folgt ein.

Die Route stimmt dann auch wie auf deinem letzten Bild. Jetzt UCG WAN an Fritte und Internet sollte da sein.

Alles anzeigen

Hallo,

eine Sache beschäftigt mich noch und die habe ich (noch) nicht ganz verstanden. Im Bereich Settings à Internet haben wir mit den Einstellungen unten den Internetzugang ermöglicht. Jetzt habe ich mal mit dem DNS-Server „rumgespielt“, der ja neu dazugekommen ist und wie ich finde, super interessant ist. Ich habe unter Einstellungen à Routing à DNS z. B. folgenden Eintrag eingerichtet: octopi.lan à 192.168.178.40. Und jetzt kommt mein Problem, bzw. Frage: Im internen Netz, sowohl auch dem Win PC als auch auf dem MAC wird der Eintrag aufgelöst, z. B. ergibt auf dem PC nslookup octopi.lan:

Und da habe ich die erste Frage: Wie man sieht steht da under Server „unifi.fritz.box“ was man dann auch unter Einstellungen à Networks à Default à DHCP à Domain Name findet:

Müsste das jetzt nicht das UCG Ultra sein, also sowas wie unifi.local? Und die zweite Frage ist, zwar werden die statischen DNS-Einträge im Netzt korrekt aufgelöst, aber: Wenn ich in einem Web-Browser z. B. octopi.lan eingebe, funktioniert das leider nicht. Irgenwas mit dem DNS habe ich nicht verstanden und vielleicht muss ja noch irgendwo irgendeine IP als DNS-Server IP eingetragen werden? J

Zitat von DoPe

Du kannst das fritz.box da gegen eine andere Domain ersetzen bei den DHCP Server Optionen. Aber bitte keine echte Top Level Domain wie .de oder .com (ausser Du hast die Domain wirklich registriert und weißt was Du tust) und auch nicht .local am Ende ... Da kommt dann auch ein Hinweis zwecks für mDNS reservierter Name. Eine Domain besteht zudem im Normalfall aus Domäne und Top Level Domäne also zwei mit Punkt getrennte Teile.

Wenn Du dann PCs und co. neustartest, sollten die diese Domain als verbindungsspezifisches DNS-Suchsuffix nutzen und an unvöllständige Hostnamen anhängen. so wird aus hans dann hans.domäne.top Level Domäne abgefragt.

Das Problem?

Beitrag

RE: DNS Routing über UDM

(Zitat von NetNovice)

ein "Drucker.lan/" (mit slash) sollte es auch tun. Bedanken kannst du dich bei den Bowserherstellern die
seit Jahren das URL auch als Trigger für Suchmaschinen benutzen. ne URL ohne HTTP ist dann halt
nen such Befehl es sei den der Browser ist der Meinung das das doch ne URL ist.
Das ist bei ".lan" nicht gegeben.

Beispiel: meien UDM hört auch "Lisa/". "Lisa" (ohne slash) führt regelmäßig die Google Suche aus.

gierig

10. Juli 2024

Hm, Punkt 1 habe ich noch nicht so ganz verstanden. Bei den DHCP Server Optionen steht "Enter a Domain Name that can be used to access your network in the browser". Und wenn ich fritz.box, ohne http:// oder / am Ende eingebe, werde ich direkt zur Weboberfläche der Fritte (192.168.188.1) geleitet. Sollte da nicht etwas stehen, das mich zur Weboberfläche des UCG Ultra führt, das unter 192.168.178.1 zu erreichen ist? Ich hab noch nicht verstanden, warum der Eintrag da steht und was passiert, wenn ich den in irgendetwas anderes ändere, bzw. wozu der gut ist

Punkt 2 funktioniert, d. h. wenn ich http://octopi.lan oder octopi.lan/ eingebe, wird das auch richtig aufgelöst. Wie bereits gesagt, warum fritz.box ohne alles geht, ist mir noch nicht ganz klar.

Zitat von DoPe

Weil fritz.box von der Fritzbox aufgelöst wird auf die IP die die Fritzbox jetzt hat. Das war bei der Firzbox schon immer so. Dein PC fragt das UCG (als DNS) und der leitet seine Anfragen zur Fritzbox weiter (DNS auf der WAN Seite (Internetverbindung)).

https://unifi.fritz.box müsste auf das UCG zeigen. Die Einträge sind in den Kisten fest verdrahtet.

Und wie immer hast du natürlich Recht gehabt. Der Eintrag https://unifi.fritz.box ruft auch direkt die Weboberfläche des UCG auf.

Heißt das, wenn ich z. B. den Eintrag im DNS von fritz.box zu ugc.ultra ändern würde, würde nicht viel passieren, außer das dann der Eintrag https://unifi.ugc.ultra hoffnungsfroherweise wieder auf das UGC zeigt, richtig?

Zitat von DoPe

Ja sollte so sein. Aber Rechner nach Änderung neu starten!

Rechner neu starten würde ja dann alle an die UCG angeschlossenen Rechner und Komponenten betreffen, die ich dann auch neu starten müsste? oder meintest du, das das UCG einmal neu gestartet werden muss?

Zitat von DoPe

Wenn Du in der DHCP Einstellung eines Netzwerks die Domäne änderst, dann solltest Du alle Geräte die in dem Netzwerk sind und IP dynamisch beziehen neu starten. Die ihre LAN Einstellungen fest konfiguriert haben (im Gerät) musst man natürlich händisch anpassen.

Hallo nochmal,

soweit läuft alles rund und ich habe einige Custom DNS Einträge erstellt, die super laufen.

Aber leider kann ich meine Synology NAS nicht mehr über den ddns aufrufen, also in meinem Fall: https://xxx.ddns.net:xxxx. Ein "ping qqolli.ddns.net" im Terminal funktioniert.

Hab ich noch etwas vergessen, oder muss ich noch etwas umstellen? Leider komme ich damit nicht so recht weiter ...