UniFi & Fritte ohne doppeltes NAT - Probleme mit Fritte und Cloud Gateway Ultra

Es gibt 82 Antworten in diesem Thema, welches 9.358 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

  • informhost und gateway sind verschiedene Dinge auch wenn hier die ip und das gerät das gleiche ist.


    Vorher war das gateway die fritzbox und der controller auf dem nas also 2 verschiedene Adressen. Esshlb hab ich ja geschrieben wo der informhost ggf. Verbogen sein kann und was da dann rein muss.

  • informhost und gateway sind verschiedene Dinge auch wenn hier die ip und das gerät das gleiche ist.


    Vorher war das gateway die fritzbox und der controller auf dem nas also 2 verschiedene Adressen. Esshlb hab ich ja geschrieben wo der informhost ggf. Verbogen sein kann und was da dann rein muss.

    Ach so, ich glaube das habe ich verstanden. D. h. also in meinem Fall:


    Für Punkt 8 sollte ich save sein, da Inform Host nicht angekreuzt ist und da auch nichts anderes steht, richtig?

    Für Punkt 9 sollte es auch stimmen (s. Bild), richtig?


    Wenn die Punkte 8 und 9 stimmen, kann ich endlich zu Punkt 9 gehen :smiling_face:


    "Dein DHCP Server war vorher die Fritzbox, deshalb DHCP Server der UCG aktivieren und so einstellen wie auf der Fritzbox."

    Den habe ich so eingestellt:

    weil es aktuell in der Fritte ebenso steht:

    Sollte auch passen, richtig? Wenn es bis hier stimmt, kann ich die beiden letzten Punkte umsetzen ...


    • Auf der UCG NAT ausschalten. Standardmäßig bekommt die UCG ihre WAN IP über DHCP.
    • Docker Container des Network Controller auf der Synology deaktivieren (WICHTIG).

    Und schauen, ob das Netzt nach dem Umklemmen der Ports von der Fritte auf den USG jetzt läuft (natürlich noch ohne Internet).


    Ach ja, muss ich die vorher vergebene statische Route auf dem PC wieder umstellen auf automatisch? Die hatte ich ja vergeben, um über die 192.168.178.1 den UCG zu erreichen?


    Sorry nochmal für die vielen Fragen.

  • Wenn Du den DHCP im UCG aktiviert hast, kannst Du die IP des PCs wieder auf automatisch zurück stellen.


    Die IP von der Fritzbox hast Du schon verändert? Die kann ja nicht im 192.168.178.0/24 Netz bleiben wenn Du das UCG mit dem WAN da anklemmst.

  • Hi, danke. Heißt also, bis jetzt stimmt alles so, wie ich es eingestellt habe? :smiling_face: Nein, die IP der FB habe ich noch nicht verändert, wollte erstmal sehen, ob es bis hierhin funktioniert, d. h. ob das Netzt soweit geht, ohne Internet natürlich. Wenn das geht, dann geht es weiter.


    Das probiere ich aber morgen aus, muss wieder um 4 Uhr raus.


    Vielen lieben Dank! Melde mich morgen wieder, wenn es keine Umstände macht. Ich denke, es ist bald geschafft :smiling_face:

    Wenn Du den DHCP im UCG aktiviert hast, kannst Du die IP des PCs wieder auf automatisch zurück stellen.


    Die IP von der Fritzbox hast Du schon verändert? Die kann ja nicht im 192.168.178.0/24 Netz bleiben wenn Du das UCG mit dem WAN da anklemmst.

  • So, ich bin soooo kurz davor, aber eine Kleinigkeit stimmt noch nicht.


    Netz geht super, halt ohne Internet


    Dann habe ich die Fritzbox umgestellt auf eine neue IP (wie vorgeschlagen auf die 192.168.188.1):


    Dann, nur den PC dran an die Fritte und den UGC um zu schauen, welche IP der von der Fritte bekommt und diese dann statisch einstellen und für die statische Route nutzen.


    Aber, die Fritte sagt UGC an 192.168.178.2, also so übernommen. Aber der UGC sagt, trotz mehrmaligen Neustart:



    Wie kann das sein? Das kein Internet da ist, ist klar. Route in der Fritte auf 2, UGC auf 3. Obwohl er den UGC unter 2 anzeigt und ich der Fritte gesagt habe, immer die selbe IP vergeben.


    Muss ich die Fritte auch nochmal neu starten und dann nochmal den UGC?

  • Fritte und UCG neu starten ist immer eine gute Idee...

    ...trotzdem ist es sehr merkwürdig das Fritte und UCG unterschiedliche IP Addressen anzeigen - im Zweifelsfall trägst du in die statische Route immer die IP als Gateway ein, die dir die UCG für WAN1 anzeigt (also in deinem Fall 192.168.188.3).


    Was zeigt dir denn die Fritte unter Netzwerkverbindungen an? Bei mir sieht das so aus (bin über VPN aus dem Büro auf meiner Fritte).

  • So, alles mal neu gestartet, bleibt aber gleich:

    Fritte:


    Aber im UCG kommt auch


    Hmm, habe ich vielleicht die statische Route in der Fritte nicht korrekt eingestellt?


    Das kann eigentlich nicht sein, da das UCG die 192.168.178.2 hat, sollte die nicht im 192.168.188.x liegen? Bin maximal verwirrt :smiling_face:


    DoPe Hättest du evtl. eine Idee, was ich da verbockt habe? :smiling_face:


    Bin eigentlich deiner super Anleitung gefolgt:

    Wenn alles funktioniert (bis auf Internet), geht’s so auf der Fritzbox weiter:


    • Die Fritzbox per LAN alleine an einen PC/Notebook hängen. Dieser bekommt seine IP Adresse vom DHCP Server der Fritzbox.
    • IP Adresse der Fritzbox auf z.B. 192.168.188.1 ändern. DHCP Server der Fritzbox auf z.B. 192.168.188.2 bis 192.168.188.9 einstellen.
    • Kabel aus dem LAN der Fritzbox in den WAN1 Port stecken. Sonst darf nichts mehr (bis auf den PC den du gerade benutzt) an der Fritzbox hängen!!!
    • Auf der Fritzbox die IP, die vom DHCP Server der Fritzbox für den WAN1 Port der UCG vergeben wurde (z.B. 192.168.188.2), fest einstellen.
    • Statische Route auf der Fritzbox anlegen (192.168.178.0, 255.255.255.0, 192.168.188.2).

    Einmal editiert, zuletzt von qqolli () aus folgendem Grund: Ergänzung

  • qqolli

    Die statische Route stimmt scheinbar nicht. die .188.2 ist lt. Fritzbox ja Olli, also wohl der PC ...


    1. UCG WAN von Fritte trennen


    2.

    Stelle bitte mal beim DHCP der Fritzbox den DHCP Bereich um von mir auf 192.168.188.20 bis 192.168.188.199 (das wäre glaube ich das, was AVM da default hat) und die Leasetime von 10 Tagen ist auch etwas hoch .. da reicht eine Woche oder ein Tag locker. Dann Fritte und Olli mal neu starten (in der Reihenfolge) und prüfen ob Olli jetzt zwischen 20 und 199 liegt mit seiner IP.



    3. Gehe bitte mal in der UCG in die Interneteinstellungen stelle bitte mal den IPv4 Configuration Bereich wie folgt ein.



    Die Route stimmt dann auch wie auf deinem letzten Bild. Jetzt UCG WAN an Fritte und Internet sollte da sein.

  • Ja, was soll ich sagen? Einfach der Hammer, dem geht!!! Musste erstmal noch einige Teile neu starten, vor allem iobroker und Co. :smiling_face:


    Aber jetzt geht alles, wie es soll auch Internet. Super super super. War ein langer Weg, aber ich hab auch ne Menge gelernt.


    Nochmals vielen lieben Dank an Euch alle: DoPe , DarkVolli , Naichbindas und Wombert

  • Ich würde es beizeiten trotzdem alles mal neu aufsetzen. Und zwar so, dass die FB wieder in ihrem Default-Bereich liegt, und du im eigentlichen Netz einen Class B Block aus 172.{16-31} oder 10.{0-255} nutzt. Dann machst du eine einzige Route in der FB auf 172.18.0.0 oder 10.25.0.0 oder was du halt nutzt, fertig.


    Danach kannst du beliebige Class A Netze in der UCG anlegen, um VLANs zu isolieren etc (du hast ja von IoT-Geräten gesprochen), und musst nie wieder was anfassen an der FB. Wenn der Provider die mal tauscht, musst du nur die eine Route wieder anlegen, sowie die eine statische Zuweisung der UCG WAN MAC auf die bekannte 192.168.178.irgendwas.


    Im Ergebnis ist dann z.B. 10.25.0.0 "dein" Netz, mit 10.25.10.x für IoT, 10.25.20.x für Gäste, und so weiter, und du kannst die ganzen Features von einem System wie UniFi erst sinnvoll nutzen (aktuell, mit alles in einem Netz, kannst du ja die ganzen Features für Firewall, QoS, Routing etc nicht so richtig ausreizen, da würde auch die FB reichen).

  • Wombert ich denke der Olli sollte jetzt erstmal alles verstehen was er so die letzten Tage gemacht hat und wieso und warum das so jetzt funktioniert. Du hast zwar recht mit den technischen Möglichkeiten, aber jetzt mit Superneting rumwerfen und alles wieder über den Haufen zu werfen wird wohl eher Schaden als zu nützen.


    Erstmal das benutzte verstehen lernen und dann weiter Schritt für Schritt.

  • Ich würde es beizeiten trotzdem alles mal neu aufsetzen. Und zwar so, dass die FB wieder in ihrem Default-Bereich liegt, und du im eigentlichen Netz einen Class B Block aus 172.{16-31} oder 10.{0-255} nutzt. Dann machst du eine einzige Route in der FB auf 172.18.0.0 oder 10.25.0.0 oder was du halt nutzt, fertig.


    Danach kannst du beliebige Class A Netze in der UCG anlegen, um VLANs zu isolieren etc (du hast ja von IoT-Geräten gesprochen), und musst nie wieder was anfassen an der FB. Wenn der Provider die mal tauscht, musst du nur die eine Route wieder anlegen, sowie die eine statische Zuweisung der UCG WAN MAC auf die bekannte 192.168.178.irgendwas.


    Im Ergebnis ist dann z.B. 10.25.0.0 "dein" Netz, mit 10.25.10.x für IoT, 10.25.20.x für Gäste, und so weiter, und du kannst die ganzen Features von einem System wie UniFi erst sinnvoll nutzen (aktuell, mit alles in einem Netz, kannst du ja die ganzen Features für Firewall, QoS, Routing etc nicht so richtig ausreizen, da würde auch die FB reichen).

    Na, ich bin erstmal echt froh, das ich das hier überhaupt als quasi nicht ITler und mit über 60 hinbekommen habe :smiling_face: Ich musste erstmal nachlesen, was klassenbasierte Adressierungssysteme (Class A, B, C) überhaupt sind *grins* Und das die durch CDIR ersetzt worden sind, etc. Wie gesagt, für mich erstmal böhmische Dörfer. Aber definitiv bin ich lernwillig! Mal sehen, wie weit ich komme. Keep you informed, wie man so schön sagt.


    Wäre es im jetzigen Stand ein großer Aufwand, die von dir erwähnten Änderungen umzusetzen?

  • Wombert ich denke der Olli sollte jetzt erstmal alles verstehen was er so die letzten Tage gemacht hat und wieso und warum das so jetzt funktioniert. Du hast zwar recht mit den technischen Möglichkeiten, aber jetzt mit Superneting rumwerfen und alles wieder über den Haufen zu werfen wird wohl eher Schaden als zu nützen.

    Ich glaube aber, dass der Prozess dahin unnötig beschwerlich war, weil es eben keinen "sauberen Cut" gab.


    Und gerade, weil er aktuell frisch im Thema ist, könnte es sich lohnen, an einem kommenden regnerischen Tag das Setup nochmal sauber aufzuziehen.


    Denn im aktuellen Zustand z.B. VLANs zu nutzen ist ein totaler Krampf (Adressbereiche alle in 192.168, also braucht es für jedes VLAN neue Routen in der FB).


    Noch sollte ja, da bisher offenbar nur APs im Einsatz waren, nicht viel Arbeit anfallen. Ich würde da auch gar nicht über ein Backup von UniFi Network gehen, das ganze geht als frisches Setup im Zweifelsfall schneller. Wenn man die SSIDs und Passwörter der WLAN(s) weiterverwendet, buchen sich ja hinterher alle Geräte easy wieder ein.


    Oder hast du ein paar dutzend IoT-Geräte, die alle irgendwie händisch auf eine 192.168.178.irgendwas-Adresse konfiguriert sind?

  • "Oder hast du ein paar dutzend IoT-Geräte, die alle irgendwie händisch auf eine 192.168.178.irgendwas-Adresse konfiguriert sind?" Na ja, sind in der Tat schon etwas über 50 Stück, Shellies, Tasmota, Xiaomi, Aqara, ESP32, ESP8266, etc. :smiling_face:


    Ich habe gerade in einem Video gesehen, das man "auch so" neue Virtuelle Netzwerke (VLANS) erstellen kann, die dann auch unterschiedliche Adressbereiche haben und durch Traffic-Regeln auch voneinander isoliert werden können. Sah für mich erstmal nicht so kompliziert aus. Aber wie gesagt, mein Netzwerk ist auch nicht so riesig. Ich habe 2 x UAP NanoHD, 2 x UAP AC Mesh und 3 x USW Flex Mini und jetzt natürlich noch das UCG dazu, das war es aber dann auch an Unifi-Komponenten.

  • Ich sehe es wie DoPe, erst mal das reflektieren was passiert ist (sozusagen die Pflicht - die Kür kommt später). Und für jedes Vlan eine einzelne statische Route anzulegen ist nicht so der Aufwand...

    Ja, da habt ihr auf jeden Fall recht. Werde erstmal ein paar Tage über den Weg bis zum jetzigen Stand kontemplieren, um zu verstehen was das alles im Einzelnen bedeutet hat und wozu es gut war. Aber dann melde ich mich wieder, mit neuen Fragen und DAU-Ideen :smiling_face:

  • Ich sehe es wie DoPe, erst mal das reflektieren was passiert ist (sozusagen die Pflicht - die Kür kommt später). Und für jedes Vlan eine einzelne statische Route anzulegen ist nicht so der Aufwand...

    So, wie angekündigt, bin ich DoPe gefolgt und habe versucht die ganze Thematik zu verinnerlichen :smiling_face:


    Angefangen hat ja eigentlich alles mit dem doppelten NAT. Also habe ich mich erstmal schlau gemacht, was das eigentlich bedeutet. Habe ich auch verstanden und bin dann, da NAT ja ein Verfahren ist, bei dem private IP-Adressen in eine öffentliche IP-Adresse umgewandelt werden, zu den öffentlichen und privaten IP-Adressen gekommen. War auch super interessant. Besonders, gerade weil ihr das ja auch hier angesprochen hattet, die privaten IP-Adressbereiche, als da die Klassen A, B und C sind, inklusive ihrer Adressbereiche und der Anzahl der Adressen. Im Umfeld des NAT habe ich mich auch über statische Routen, ihre Bedeutung und die Implementierung in die Fritte (hatten wir ja gemacht) schlau gemacht. Soweit auch verstanden.


    Ihr hatte ja vorgeschlagen Wombert , trotzdem alles mal neu aufzusetzen, weil ja zur Zeit alles in einem Netz liegt, z. B. auch mein IoT, SmartHome, etc.


    Also habe ich mir die verschiedenen Netzwerke (A, B und C) noch mal genauer angesehen mit Hinblick auf die Anzahl der statischen Routen in die Fritte. Bei Verwendung eines Class B oder C Netzwerkes ist es notwendig, für jedes Subnetz (IoT, Gast, Büro, etc.) eine separate statische Route in der Fritte anzulegen.


    Dies ist bei Verwendung eines Class A Netzwerkes nicht notwendig, denn durch die Verwendung eines Class A Netzwerks im UCG Ultra und die Konfiguration einer einzigen statischen Route in der Fritte kann man die Verwaltung und Konfiguration des Netzwerks erheblich vereinfachen.


    Also würde ich mich für die Wahl eines Class A Netzwerkes entscheiden, d.h. für das Hauptnetz z. B. 10.0.0.0 mit Subnetzmaske 255.0.0.0. Für die einzelnen Subnetze würde ich dann z. B. IoT 10.25.0.0, Gast 10.50.0.0 beide mit Subnetzmaske 255.255.0.0 nehmen.


    Ich denke, die Hauptarbeit ist der Transfer aller Komponenten in das neue Netz, bei meinen vielen IoT-Komponenten etc. schon ganz schön viel Arbeit und um es mit Wombert zu sagen: "Und gerade, weil er aktuell frisch im Thema ist, könnte es sich lohnen, an einem kommenden regnerischen Tag das Setup nochmal sauber aufzuziehen." Ich glaube, da reicht ein regnerischer Tag nicht aus :smiling_face:


    Um es nicht an einem Tag zu machen, würde ich in meinem UCG Ultra neben dem bestehenden Netzwerk und der bestehenden statischen Route in die Fritte ein zweites Class A Netzwerk installieren und ebenfalls eine statische Route in der Fritte einrichten. Dies würde es mir ermöglichen, die bestehenden Geräte nach und nach in das Class A Netzwerk zu transferieren. Nachdem alle Geräte transferiert wurden, könnte ich dann das alte Netzwerk löschen, sodass nur noch das Class A Netzwerk bleibt.


    Was denkt ihr, wäre das eine gute Vorgehensweise?

  • Also würde ich mich für die Wahl eines Class A Netzwerkes entscheiden, d.h. für das Hauptnetz z. B. 10.0.0.0 mit Subnetzmaske 255.0.0.0. Für die einzelnen Subnetze würde ich dann z. B. IoT 10.25.0.0, Gast 10.50.0.0 beide mit Subnetzmaske 255.255.0.0 nehmen.

    Zum NAT: Da geht es nicht ausschließlich um das "umwandeln privater Adressen in eine Öffentliche Adresse". Im Prinzip werden die Pakete die über eine Schnittstelle wie z.B. WAN modifiziert in der Art, dass die Absender (Source) IP durch die Adresse der Schnittstelle also in dem Fall von WAN ersetzt. Das kann prinzipiell auch sein, das WAN eine private IP ist. Dies ist zum Beispiel bei doppeltem NAT mit Fritte und UDG der Fall. Die UCG hat eine WAN IP aus dem privatem Bereich der Fritte. Und NAT ist nur ein Oberbegriff. Man kann auch die Ziel IP oder Quell- und Ziel- Ports verbiegen damit.


    Zu den IP Adressbereichen. Das Word Klasse kannst Du schonmal aus dem Kopf streichen. Das ist alt. Du müsstest dir beim Thema IP nochmal die genaue Bedeutung der Subnetzmaske (Subnet = Unternetz) anschauen. Bei deinem obigen Beispiel hast Du dich entweder eigenartig ausgedrückt oder es falsch verstanden.


    IP Netz 10.0.0.0 mit Subnetzmaske 255.0.0.0 auch 10.0.0.0/8 enthält alle IP Adressen die mit 10 beginnen. Wenn Du diese jetzt als Default LAN verwenden würdest, könntest Du die beiden anderen IP Netze aus deinem Beispiel nicht für die anderen beiden VLANs nehmen, da sie ein Teil des Default LAN IP Bereichs wären. Die Subnetzmaske ist genau dafür da, aus einem großen IP Bereich ein kleineres Teilnetz zu definieren.


    Die Größe der definierten IP Bereiche sollten auch etwas an die Anzahl der Netzwerkgeräte angepasst werden. Macht ja keinen Sinn 65k IP Adressen für ein VLAN zu verbraten, in dem maximal. 20 Netzwerkgeräte existent sein werden. Eigentlich machen 65k IP Adressen nie wirklich Sinn ... dann wird vermutlich das Netz aufgrund massiven Broadcasts nicht mehr richtig funktionieren.


    Für die meisten Netzwerke reichen IP Bereiche für die einzelnen VLANs aus die eine Subnetmaske 255.255.255.0 also /24 haben. Von den 256 Adressen, können 254 IP Adressen benutzt werden ( .0 ist die Netzadresse (immer die erste Adresse eines Subnetzes) und .255 die Broadcastadresse die nicht für Geräte verwendet werden können (immer die letzte Adresse eines Subnetzes)). Damit kannst Du dann reichlich Netze bilden.


    IP Netz 10.0.0.0 mit Subnetzmaske 255.0.0.0 auch 10.0.0.0/8 wäre also gut geeignet um hierfür in der Fritte eine statische Route anzulegen. Mit diesem einen Eintrag hättest Du dann alle UCG Netze erledigt wenn dort nur 10.x.x.x IPs in den VLANs verwendet werden.

  • Hmm, ich kann immer noch nicht verstehen warum drei statische Routen (default-, iot-, und gastnetz) so schlecht sein sollen? Aber gut, dann habe ich einen anderen Vorschlag:

    Die statische Route geht dann in das 192.168.0.0 Netz. Ich denke das 256 Subnetze reichen sollten...

    ...die Fritte kommt dann in das 172.16.0.0 Netz.


    Das hätte den Vorteil das bei laufenden System die Komponenten aus dem 192.168.178.0 Netz, nach und nach in andere Netze umziehen können und das System produktiv bleiben kann.


    Btw. wenn schon alles umgestrickt wird, gehört noch ein Management Netz dazu! :face_with_tongue:

  • DoPe Vielen Dank für deine Anmerkungen und Korrekturen! Die waren, wie immer, sehr verständlich und hilfreich.

    DarkVolli Ja, ich hätte auch kein Problem mit mehreren statischen Routen, aber einen Einzige hat auch seinen Reiz :smiling_face:


    So, habe mir jetzt folgendes überlegt (damit ihr was habe um es mir um die Ohren zu hauen *lol*):


    Mein aktuelles Default Netzwerk:


    192.168.178.0/24 mit DHCP-Range 192.168.178.20 bis 192.168.178.200

    Statische Route in die Fritte: IPv4-Netzwerk: 192.168.178.0, Subnetzmaske: 255.255.255.0 und Gateway: 192.168.188.2


    Ich würde jetzt im UCG Ultra parallel zum bestehenden Default-Netzwerk die folgenden Subnetzwerke anlegen:


    10.10.1.0/24 mit DHCP-Range 10.10.1.100 bis 10.10.1.254 für IoT --> VLAN ID 1 = VLAN 1

    10.10.2.0/24 mit DHCP-Range 10.10.2.100 bis 10.10.2.254 für Smart Home --> VLAN ID 2 = VLAN 2

    10.10.3.0/24 mit DHCP-Range 10.10.3.100 bis 10.10.3.254 für Camaras --> VLAN ID 3 = VLAN 3

    10.10.4.0/24 mit DHCP-Range 10.10.4.100 bis 10.10.4.254 für Guest --> VLAN ID 4 = VLAN 4

    10.10.5.0/24 mit DHCP-Range 10.10.5.100 bis 10.10.5.254 für Management --> VLAN ID 5 = VLAN 5


    Für alle Subnetze 10.10.x.0/24 einen DHCP-Range 10.10.x.100 bis 10.10.x.254.


    Alles, was im DHCP dann kleiner als 100 ist, sind statische IPs und der Rest DHCP-Adressen.


    Dann eine zweite statische Route für die o. g. Subnetzwerke in die Fritte: IPv4-Netzwerk: 10.10.0.0, Subnetzmaske: 255.255.255.0 und Gateway: 192.168.188.2


    Eventuell noch eine eigene statische Route für das Management Netzwerk --> extra für DarkVolli:smiling_face:


    Das hätte den Vorteil, das ich nahtlos von meinem bestehenden Default Netzwerk auf die neuen Subnetze umsteigen und schließlich das neue Default Netzwerk einrichten kann, ohne die Konnektivität zu unterbrechen.


    Nachdem ich dann irgendwann hoffnungsfroherweise alles übertragen habe, kann ich das alte Default Netzwerk (192.168.178.0/24) löschen und durch das neue ersetzen: 10.10.0.0/24.


    Die alte statische Route in der Fritte wird natürlich ebenfalls entfernt.


    Frage: Bevor ich weitermache, wäre das bis hierhin soweit in Ordnung?