Dual NAT: UDM Pro hinter Fritzbox 6591 (Kabel) ist von außen nicht erreichbar

Es gibt 99 Antworten in diesem Thema, welches 43.089 mal aufgerufen wurde. Der letzte Beitrag () ist von matijaF.

    Zitat von TVT73

    Du wirst einen DS Light haben. Damit geht das nicht.

    Was hätte DS Lite mit seinem Problem zu tun? Hat er im Übrigen nicht, da der Tunnel zwischen den Fritzboxen ja funktioniert. Er kommt nur von zu Hause nicht in das Netz hinter der UDM.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    TVT73

    Zitat von TVT73

    Hi,

    Gut darauf kann man aufbauen. Zuerst musst du eine statische IP beauftragen. Du wirst einen DS Light haben. Damit geht das nicht.
    Das dürfte auch so auf der Status Seite Internetverbindung / Netzwerk zu sehen sein.
    das hat nichts mit der Box selbst zu tun. den „Bridge Mode“ gibt es anschließend nur für statische öffentliche IPv4 Adressen. Wobei das wie gesagt kein klassischer Bridge Mode ist.
    Aber das doppelte Nat bekommt man weg. Exposed Host ist nicht erforderlich. Und sich nicht viel besser, weil damit die Box immer noch Nattet.

    Ich verstehe das nicht ganz. Soll ich Vodafone anrufen und eine statische IP-Adresse für meine FritzBox (Büro) anfordern? Glaubst du, die UI in FB würde sich danach ändern? Wären die Einstellungen für den Bridge-Modus verfügbar?


    Ich bin mir nicht sicher, ob das etwas ändern würde. Ich habe mehrmals mit der Vodafone-Hotline gesprochen und sie sagten, dass der FB6591 (Kabel 1000) nicht über die Bridge-Modus-Option verfügt und für dieses Gerät nicht verfügbar ist.


    VG, Matija

    Zitat von gr00ve

    Was hätte DS Lite mit seinem Problem zu tun? Hat er im Übrigen nicht, da der Tunnel zwischen den Fritzboxen ja funktioniert. Er kommt nur von zu Hause nicht in das Netz hinter der UDM.


    Gruß,

    gr00ve

    Ein DS Lite hat keine echte IPV4 Adresse. Die erforderlichen Pakete bleiben beim NAT des ISP hängen und können nicht in das Netz des Clients adressiert werden.


    Hat er etwa vor einen Lan2Lan über Fritzbox und noch zusätzlich VPN IPSEC der UDM zu nutzen? Wie ich schrieb, ich habe nicht alle Antworten gelesen und nur einen Teil überflogen. Das eine schließt das andere für mich aus.


    Beim aktivieren der statischen IP fällt der NAT in der Fritzbox weg. Exposed Host wird trotzdem benötigt. richtig eingerichtet vorausgesetzt. Und da UNitymedia respektive Vodafone die Autoprovisionierungsprofile gerne falsch hat, kann das ein Abenteuer sein. Und auch gerne nach einem WerksReset wieder von vorne beginnen. Es gibt inzwischen sogar eine Doku von Vodafone dazu.


    VPN ohne Statische IP im Business ist eine schlechte Idee. War es schon immer. Auch wenn man es bei dynamischen IPV4 Adressen auch hinbekommen kann, dazu gibt es dyndns, Jeder Profi würde aber davon abraten. Die 5? Euro im Monat wiegen den Mehraufwand und die Pflege nicht auf.


    Eigentlich ist das eher ein Thema für einen bezahlten Profi vor Ort. Hier geht es ja anscheinend um einen Business Anschluss. Das Thema ist zu hoch für einen Laien. Ist nicht böse gemeint, aber das ist halt kein Plug and Play. Ich bin zufälligerweise IT und Telekommunikationstechniker und verdiene mein Geld bei Kunden damit. Und ein paar Jahre mittlerweile auch bei Ui dabei.

    Deshalb habe ich ja gefragt, was Du für einen Verbindung hast.

    Bei mir erscheint korrekterweise nichts mehr von DS Lite. Die externe IP ist nur nach an LAN2 in meinem Fall zu sehen. Die 6491 verhält sich etwas anders. Aber kann das auch. Nur nennt sich das nicht mehr bridge mode.

    Es geht ja nur darum, dass ein angeschlossenes Gerät aus deinem LAN eine externe öffentliche IPV4 benötigt. Das ist für Kabelkunden eine statische Adresse. Die gibt es nur als Zubuchoption für Business Anschlüsse bei Vodafone. Aber den hast Du ja.

    Torsten


    ***********************

    Es gibt kein Problem ohne Lösung. Es ist immer eine Frage des Aufwandes und Know Hows :smiling_face:

    2 Mal editiert, zuletzt von TVT73 ()

    Hallo TVT73

    Zitat von TVT73

    Eigentlich ist das eher ein Thema für einen bezahlten Profi vor Ort. Hier geht es ja anscheinend um einen Business Anschluss. Das Thema ist zu hoch für einen Laien. Ist nicht böse gemeint, aber das ist halt kein Plug and Play. Ich bin zufälligerweise IT und Telekommunikationstechniker und verdiene mein Geld bei Kunden damit. Und ein paar Jahre mittlerweile auch bei Ui dabei.


    Was empfehlen Sie mir in diesem Fall? Ich habe lange mit diesem Problem zu kämpfen und kann es nicht lösen ...
    Hast du irgendeinen Ratschlag? Was soll ich zuerst tun?


    Zitat von TVT73

    Es geht ja nur darum, dass ein angeschlossenes Gerät aus deinem LAN eine externe öffentliche IPV4 benötigt. Das ist für Kabelkunden eine statische Adresse. Die gibt es nur als Zubuchoption für Business Anschlüsse bei Vodafone. Aber den hast Du ja.

    Bei mich auf FB sieht es so aus:


    Für mich ist die öffentliche IP-Adresse in diesen Einstellungen sichtbar. Diese IP-Adresse ist jedoch nicht statisch, da sie sich beim Importieren der CFG-Datei bereits mehrmals geändert hat (für VPN erforderlich).



    VG, Matija



    Zitat von TVT73

    Hat er etwa vor einen Lan2Lan über Fritzbox und noch zusätzlich VPN IPSEC der UDM zu nutzen?

    Nein, es geht nur darum, durch den Lan2Lan Tunnel ins Office Netz hinter der UDM zu kommen. Der Tunnel selbst funktioniert.


    Zitat von TVT73

    Wie ich schrieb, ich habe nicht alle Antworten gelesen...

    Hättest du vielleicht mal machen sollen. :winking_face:


    Zitat von TVT73

    Exposed Host wird trotzdem benötigt

    Nein, bei mir funktioniert es mit statischen Routen. Allerdings ist bei mir das NAT der USG deaktiviert. Das könnte bei ihm das Problem sein.


    Zitat von TVT73

    Und da UNitymedia respektive Vodafone die Autoprovisionierungsprofile gerne falsch hat, kann das ein Abenteuer sein.

    Ich habe auf einer Seite Vodafone Kabel, das ganz alte Vodafone Modem gebridged und eine FB 4020 dahinter und auf der anderen 1und1 DSL mit einer FB7490. Der Tunnel funktioniert 1A in beide Richtungen und ich kann von Remote auf mein Netz hinter dem USG zugreifen.


    Zitat von TVT73

    VPN ohne Statische IP im Business ist eine schlechte Idee. War es schon immer. Auch wenn man es bei dynamischen IPV4 Adressen auch hinbekommen kann, dazu gibt es dyndns, Jeder Profi würde aber davon abraten

    Mag sein, aber bei mir läuft es stabil. Daher kann es daran nicht liegen.


    Zitat von TVT73

    Eigentlich ist das eher ein Thema für einen bezahlten Profi vor Ort. Hier geht es ja anscheinend um einen Business Anschluss. Das Thema ist zu hoch für einen Laien. Ist nicht böse gemeint, aber das ist halt kein Plug and Play.

    Nichts gegen dich, aber Profi ist nicht gleich Profi. Die sogenannten "Profis" von AVM haben mir auf meine detaillierte und spezifische Anfrage bezüglich der Konfig Datei der Fritz Box eine völlig unbrauchbare Standardantwort geschickt, obwohl das Problem, wenn man es weiß, völlig trivial zu lösen ist. Das habe ich dann mit ein wenig eigener Recherche selbst hinbekommen und oftmals können in solchen Fällen, die nicht in die Standardschablone des Support Callcenters passen, Communities hilfreicher sein als irgendwelche "Profis". Das ist bis zu einem gewissen Grad auch verständlich, da die für das, was sie sagen, auch grade stehen müssen. Da sich aber heutzutage keiner mehr auf irgendeiner Art und Weise aus dem Fenster lehnt, wird man im Zweifel eher mit seinem Problem alleine gelassen, als das es gelöst wird.


    matijaF

    Hast Du versucht, das NAT auf der UDM vorübergehend zu deaktivieren?


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Moin Moin,

    ich sehe auch eine IP in der Fritz Box, so wie bei Dir. Aber eben nur die eine.

    Vodafone hat mir telefonsich mitgeteilt ich soll die IP am eine mit einer Zahl höher eingeben ( xx.xx.xx.77 die sehe ich angezeit in der Fritzbox 6591 ) also mit xx.xx.xx.78 wäre dann meine public IP die im /30 Subnetz liegt. Also 255.255.255.252

    Ist es dann so, das ich die USG auf statische IP stelle die xx.xx.xx.78 eintrage und als subnet die 255.255.255.252 ? Als Bridgemode habe ich LAN 2 ausgewählt. Die USG steckt also an LAN 2.Die USG lasse ich in dem 192.168.1.1 Netz.

    Den Rest habe ich an LAN 1 eingesteckt (alte Switch mit allen Entgeräten).

    DHCP an der Box ist noch eingeschaltet für die restlichen Geräte die im 192.168.0.1 Netz Betrieben werden.

    Ich bekomme einfach keinen Connect mit der USG hin.

    VG,Walter

    So sieht die EInstellung für die WAN am USG aus, wenn man eine statische IP hat. Ich habe nur eine.



    Die Vodafone / Unitymedia Gateway Adresse ist die Router Adresse. Das was Juppi geschrieben hat liest sich richtig.

    Torsten


    ***********************

    Es gibt kein Problem ohne Lösung. Es ist immer eine Frage des Aufwandes und Know Hows :smiling_face:


    Zitat von TVT73

    So sieht die EInstellung für die WAN am USG aus, wenn man eine statische IP hat. Ich habe nur eine.



    Die Vodafone / Unitymedia Gateway Adresse ist die Router Adresse. Das was Juppi geschrieben hat liest sich richtig.

    wenn da nichts von DSL Lite steht bzw nur die IPV4 Adresse, dann sollte das gehen. der 77.er Adressraum ist öffentlich. Somit benötigst Du nicht zwingend eine statische Adresse um Geräte in deinem Netz per Port Forwarding zu erreichen. Allerdings bekommst Du trotzdem das NAT in der Fritzbox nicht aus. Dazu ist eine statische Adresse erforderlich.


    Im Grunde würde es schneller gehen, wenn wir eine Teamviewer Sitzung machen. Allerdings ist meine Zeit sehr knapp. Keine Ahnung wann wir das hinbekommen.


    Mit deiner IPV4 sollte machbar sein.

    Torsten


    ***********************

    Es gibt kein Problem ohne Lösung. Es ist immer eine Frage des Aufwandes und Know Hows :smiling_face:

    Hallo Torsten,


    also verstehe ich das richtig, das ich noch das Gateway in die USG eintragen muss? Also die private Gateway Adresse des Routers die ich lokal vergeben habe? in meinem Fall wäre die im 192.168.0.x Netz .
    Vodafone hat mir telefonisch mitgeteilt, das nur die feste IP und das subnet eingetragen wird. Bei Router soll nichts eingetragen sein.
    Ich hoffe das funktioniert. Ich werde berichten!
    VG Walter

    Bei Router nichts?!? Wo sollen den sonst die Anfragen hin? Auch DNS muss sein!

    Das sind doch alles Vollpfosten an den Hotlines manchmal.... Wenn die nicht in Ihrer Datenbank die Antwort auf dem Präsentierteller haben sind die meisten überfordert.

    Bei AVM muss ich zum Glück nicht den Endkundensupport kontaktieren. Allerdings brauche ich den auch nur sehr selten. Beim Premium Partner Support sieht die Welt etwas besser aus.


    Ich muss aber auch die Hotlines etwas in Schutz nehmen. Wenn mich ein Kunde anruft sprechen wir naturgemäß immer eine Fremdsprache. Da kommt es gerne zu Missverständnissen. Und solange man sich dessen bewusst ist, geht es auch mit der Hotline, wenn die andere Seite Ahnung hat. Ja "wenn". Um das zu erkennen ist ein Endverbraucher schlichtweg überfordert.

    Torsten


    ***********************

    Es gibt kein Problem ohne Lösung. Es ist immer eine Frage des Aufwandes und Know Hows :smiling_face:

    Hallo und guten Abend,


    ja in der Tat. Durch das Bild von TVT73 ( Herzlichen Dank an dieser Stelle an Torsten ).

    Vodafone hat mir durch mehrere Personen bestätigt. Das ich nur die neue Ip u d die Subnetzmaske aus dem 30er Netz (255.255.255.252) in die USG eintragen soll.

    Das ist völliger Quatsch!!! Ohne das Gateway kann das und funktionierte das nicht und hätte auch nie geklappt.

    Als Gateway muss die Router IP dort eingetragen werden. Das steht auch nicht in der Anleitung die auf Nachfrage von Vodafone zugemailt wird.

    Ich habe 3 Tage immer wieder an der USG dran gesessen und rumprobiert. Und nun läuft es,bzw. Ich bin schon mal online.

    Bis das Teil schlussendlich in meinen Schrank verbaut wird, werden noch einige Tage auf dem Teststand vergehen.

    Jetzt muss ich mich erst mal mit den VLans und der VPN auseinandersetzen .

    Hat jemand Erfahrung wie ich die VPN dauerhaft auf einem IPhone anschalten kann. Mit dem Apple IPhone hält die zur USG nur eine Stunde und deaktiviert sich automatisch.

    Beste Grüße

    Jupi333

    Ok, danke für die Info. Schön, daß Du weitergekommen bist. Aber wenn ich das richtig verstehe, war Dein Problem nicht das Gleiche wie das des Threaderstellers, oder? Denn hier geht es eigentlich um den Zugriff auf ein Netz hinter einer UDM durch einen LAN2LAN Tunnel zwischen zwei Fritzboxen.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Zitat von gr00ve

    matijaF

    Hast Du versucht, das NAT auf der UDM vorübergehend zu deaktivieren?

    Hallo gr00ve,


    Heute habe ich NAT auf UDM PRO mit dem auf diesem Link beschriebenen Command deaktiviert: disable NAT in UDM pro | Ubiquiti Community
    Ich habe es getestet, kann aber immer noch nicht zum gewünschten Netzwerk gelangen.
    Hast du noch andere Ideen?




    Zitat von TVT73

    wenn da nichts von DSL Lite steht bzw nur die IPV4 Adresse, dann sollte das gehen. der 77.er Adressraum ist öffentlich. Somit benötigst Du nicht zwingend eine statische Adresse um Geräte in deinem Netz per Port Forwarding zu erreichen. Allerdings bekommst Du trotzdem das NAT in der Fritzbox nicht aus. Dazu ist eine statische Adresse erforderlich.


    Im Grunde würde es schneller gehen, wenn wir eine Teamviewer Sitzung machen. Allerdings ist meine Zeit sehr knapp. Keine Ahnung wann wir das hinbekommen.

    Ich verstehe nicht alles. Was sollte ich tun? Ich habe einen Vodafone Cable 1000-Anschluss (Red Business Internet & Phone 1000-Kabel).


    VG, Matija

    matijaF

    Wenn das NAT der UDM deaktiviert ist, brauchst Du in der Fritzbox statische Routen für jedes Subnetz hinter der UDM. Hast Du die? Passen die Firewallregeln noch? in Post Nr 21 hattest Du sie, hast Du daran was geändert? Hast Du getestet, ob das NAT tatsächlich deaktiviert ist? Dazu deaktivierst Du die statische Route in der FB und versuchst danach, aus dem 10.1.1.0 Netz ins Internet zu kommen. Wenn das nicht mehr geht, ist das NAT deaktiviert.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    gr00ve

    Nein, ich habe nicht für jedes Subnetz hinter UDM PRO die statische Route festgelegt. Wo soll ich es platzieren und wie?
    Die Firewall-Regeln sind gleich geblieben, nichts hat sich geändert, alles ist wie zuvor. Ich habe die statische Route in UDM PRO gelöscht, weil wir festgestellt haben, dass dies nicht erforderlich ist.


    Wenn ich die statische Route in FB deaktiviere, habe ich weiterhin Zugriff auf das Internet aus 10.1.1.0, kann jedoch nicht mehr über das FB B-Netzwerk (192.168.178.0/24) auf das UDM PRO-Netzwerk (10.1.1.0/24) zugreifen.


    SSH Bild:


    Bevor ich den Command # xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2 eingegeben habe, unter --> Chain UBIOS_POSTROUTING_USER_HOOK unter der Ordnungszahl (num) 2 gab es die Regel num2 (eth 9 --> Da ist FB per Kabel mit UDM PRO verbunden --> WAN) , die nach Eingabe des Command nicht mehr und nicht sichtbar ist.

    Ich bin durch die Regel unter num1 verwirrt. Muss ich sie mit demselben Befehl löschen?


    VG, Matija


    Einmal editiert, zuletzt von matijaF ()