Cloud Gateway Fiber + statischer /28 IPv4‑Block – keine Verbindung nach außen

    Hallo zusammen,

    ich richte aktuell mein UniFi Cloud Gateway Fiber ein und möchte diesem eine öffentliche statische IPv4-Adresse aus einem vom Provider zugewiesenen /28-Block zuweisen.

    Ausgangslage:

    Provider: A1 Telekom Austria
    Öffentlicher IPv4-Block: /28 (16 IPs), z. B. X.X.X.160/28
    Gateway-Adresse vermutlich X.X.X.161
    Ubiquiti-Gerät: UniFi Cloud Gateway Fiber
    Ziel: Statische IP-Zuweisung an das Gateway, Clients sollen ebenfalls öffentliche IPs erhalten

    Zusatz: Das Gateway funktioniert grundsätzlich und kommt mit der vom Provider per DHCP zugewiesenen IP (93.X.X.X) ins Internet – also grundsätzlich kein Verbindungsproblem über den A1-Anschluss.

    Problem:
    Ich habe in UniFi folgendes konfiguriert (WAN1 manuell):

    IP-Adresse: z. B. X.X.X.162
    Subnetzmaske: 255.255.255.240 (/28)
    Gateway: X.X.X.161
    DNS: 1.1.1.1

    Das Gateway meldet „Connected“, aber es ist keine Verbindung ins Internet möglich, wenn ich auf eine IP aus dem /28-Block umstelle – weder Ping noch DNS funktioniert.
    Ein Linux-Server hinter dem Gateway, dem ich ebenfalls eine öffentliche IP aus dem Block zugewiesen habe, hat ebenfalls weder eine Verbindung nach außen noch nach innen an das Gateway selbst.
    NAT ist im Gateway deaktiviert.

    Symptome:

    • ping 1.1.1.1 → keine Antwort
    • ping X.X.X.161 (vermutetes Gateway) → keine Antwort
    • DNS schlägt fehl
    • Routing scheint korrekt
    • Gateway antwortet nicht auf ICMP

    Fragen:

    • Muss das Gateway bei A1 auch als DNS verwendet werden?
    • Was muss ich im Cloud Gateway alles einstellen, damit der statische /28-Block korrekt funktioniert?
    • Muss ich zusätzliche statische Routen oder Upstream-Konfigurationen im Cloud Gateway setzen?
    • Muss ich auf dem Linux-Server speziell etwas beachten, wenn er direkt eine öffentliche IP hat?
    • Gibt es A1-spezifische Besonderheiten bei statischen IP-Blöcken?

    Was ich gemacht habe:

    • Auf dem Linux-Server: ip addr flush, ifdown, ifup für enp5s0
    • enp5s0 auf die .162 eingestellt mit Gateway .161
    • systemd-networkd deaktiviert, NetworkManager inaktiv
    • ifupdown installiert
    • testweise iptables/ufw komplett deaktiviert
    • neueste UniFi Firmware installiert

    Ich freue mich über Hinweise, Erfahrungen oder konkrete Beispiele, wie ihr eure IP-Blocks mit dem UniFi Cloud Gateway erfolgreich eingebunden habt.
    Vielen Dank!

    Das ist etwas wirr ... wieso kommt die UDM via DHCP ins Internet?!? Dann hast Du auf dem WAN was statisch konfiguriert ... Was hast Du denn LAN seitig im Gateway konfiguriert ... wo ist der Linuxserver angeschlossen?

    Mal bitte mal einen Plan und mache Screenshot von der Konfig. Die IPs kannst Du gerne zum Großteil unkenntlich machen ... Es muss halt nur klar sein dass die XXX.XXX.XXX Teile identisch sind und ob die dynamisch zugewiesene Adresse irgendwas mit dem statischen IP Bereich gemein hat.


    Ansonsten mal meine ersten Gedanken dazu: Wenn Du im Netz öffentliche IPs verteilen möchtest, dann kann das gleiche /28er Netz natürlich nicht auf dem WAN Port konfiguriert werden (hast Du scheinbar gemacht). Aus DE kenne ich es so, dass der Provider einen Router stellt. Dieser hat WAN Seitig irgendeine öffentliche IP und auf diese wird das 28er Netz aus dem Internet kommend geroutet. Sprich dieser Router hat LAN seitig dann eine IP aus dem /28er Netz, im allgemeinen die erste Nutzbare IP des Blocks. An das LAN dieses Routers kann man dann seinen eigenen Router oder auch direkt Server anschließen, welche ebenfalls eine IP aus dem /28er Netz bekommen (auf den WAN bei Routern). Im Netzwerk können diese Router dann aber auch nur private IPs nutzen.

    Was theoretisch auch geht, hab ich aber noch nie gesehen ... Dein eigener Router ersetzt den Router des Providers aus obiger Konstruktion. Dann müsstest Du aber auch für die WAN Seite vorgaben erhalten haben. Gesehen habe ich das vermutlich noch nicht, da der Provider natürlich keinen potentiellen Störenfried in seiner Infrastruktur haben möchte.

    Und dann gibts ja noch die Möglichkeit alle IPs auif dem WAN zu nutzen und mit entsprechenden Regeln zu nutzen.

    Du müsstest vom Provider alle Angaben erhalten haben, die notwendig sind!

    Zu den Fragen:

    Welcher DNS verwendet wird ist im Prinzip erstmal egal. Das ist persönlicher Geschmack. Da bei Dir das Routing schon nicht klappt, ist es aktuell auch egal was dort eingetragen ist, denn kein externer DNS ist abfragbar.

    Was Du jetzt konkret einstellen musst, hängt davon ab was Du bestellt hast und was der Provider an Infos gegeben hat. Das kann dir hier so ganz genau niemand sagen, so lange das eigentliche Konstrukt unklar ist.

    Statische Routen und Upstream-Konfigurationen (was soll das sein?) eher nicht.

    Für den Server mit einer öffentlichen IP gilt natürlich, sicher machen! Ansonsten müsstest Du vermutlich die Firewall im Unifi konfigurieren und sinniger Weise das NAT ausschalten, wenn denn die öffentlichen IPs tatsächlich im LAN des Unifi sind.

    Warum fragst Du nicht deinen Provider mal? Das Produkt ist ziemlich speziell - unwahrscheinlich, dass hier jemand beim gleichen Provider dieses Produkt hat, schon gar nicht privat.

    wir haben 3 IP-Adressblöcke bekommen:


    Angaben vom Provider:
    Zugewiesene IP-Adressen
    1. IP-Adresse / Subnet Mask: 93.82.208.91/32 / 255.255.255.255
    2. IP-Adresse / Subnet Mask: 88.117.255.160/28 / 255.255.255.240
    3. IP-Adresse / Subnet Mask: 80.121.215.120/30 / 255.255.255.252


    über die 93.82.208.91 kommen wir regulär ins Internet und diese ist im Gateway auch eingetragen (WAN 1).
    Wir haben noch einen 16er Block IPs uns geholt für diverse Geräte die wir extern erreichbar haben wollen, in unserer DMZ gerouted.
    Egal ob wir im Gateway die IPs hinzufügen oder in unserem VLAN einstellen keiner unserer Server kann ins Netz oder ist extern erreichbar.
    Firewall für die DMZ ist auf allow all in and out.

    WAN1 war Testweise so konfiguriert:


    Firewall war so:


    Und Virtuelles Netzwerk so konfiguriert:


    VLAN ID haben wir dann auch auf den Port 3 des Routers/Switch festgelegt um untagged VLAN zu nutzen:


    Weiterhin konnte keines unserer Geräte weder der Server noch ein Windows 11 Laptop mit folgenden Einstellungen ins Internet bzw. war nicht von außen erreichbar:

    IP: 88.117.255.162
    Subnet: 255.255.255.240
    Gateway: 88.117.255.161
    DNS: 1.1.1.1

    Wenn da irgendwelche Settings falsch sind/waren würden wir uns freuen wenn da eventuell eine Lösung gefunden werden könnte.

    Als Info, die Box zeigt uns seit dem wir die Einstellungen vorgenommen haben auch folgenden Fehler an:

    SystemNetzwerkGateway-Konfigurationsänderung fehlgeschlagenGateway configuration changes could not be applied.


    Mit freundlichem Gruß

    Jens Humke

    Bitte immer die kompletten Konfigseiten abbilden. Bei WAN1 fehlt ja alles ... Bitte nachreichen wie es dort jetzt genau aussieht. Zusätzliche IPs kann man nur bei static IP oder PPPoE eintragen. Oben steht aber dass ihr mit DHCP (also dynamic IP) Online kommt ?!?

    Du hast jetzt auf jeden Fall mal die gleichen IPs auf dem WAN und im LAN ... sowas ist generell FALSCH. Die können nur auf einem Interface sein, ansonsten geht das Routing nicht mehr.


    Dröseln wir erstmal die IP Netze auf:

    1. IP-Adresse / Subnet Mask: 93.82.208.91/32 / 255.255.255.255 -> keine nutzbaren IPs

    2. IP-Adresse / Subnet Mask: 88.117.255.160/28 / 255.255.255.240 -> 16 IPs, nutzbar 14 -> 88.117.255.161 bis 174

    3. IP-Adresse / Subnet Mask: 80.121.215.120/30 / 255.255.255.252 -> 4 IPs, nutzbar 2 -> 80.121.215.121 und 122

    Was 1. und 3. genau sein soll erschließt sich mir noch nicht. Da wird doch sicher mehr im Brief/Msil gestanden haben als einfach nur die IPs?!?

    An was genau ist der WAN Port des Unifis angeschlossen?!? Foto?

    Sofern das so möglich ist, sieht das VLAN "Public /28 A1" gut aus. Ich vermute mal da ist auch DHCP an und Gateway und DNS auf Auto?!?


    Zur Firewall... dies gezeigte Regel erlaubt ausgehenden Traffic für die Zone DMZ ... die ist überflüssig, da es der Default Zustand ist. Eingehend ist per Default aber nur Antworten erlaubt ... Von außen kann man also keine Sitzung auf einen Server starten. Das ignorieren wir jetzt, erstmal muss das Internet an sich laufen. Also nicht verwunderlich wenn nichts von Außen erreichbar sein sollte.

    Zum Port 3. Was hängt da dran?!?


    Habt ihr aktuell ein VLAN, das mit privaten IPs läuft z.B. für das Windows Notebook, dass Internet hat - es sollen ja sicherlich nicht alle existierenden Geräte eine öffentliche IP nutzen???

    Sollten die öffentlichen IPs im LAN nutzbar sein, muss vermutlich auch das NAT noch angepasst werden. Der Server soll ja seine öffentliche IP nutzen und nicht via NAT auf eine andere öffentliche IP umgesetzt werden. Da wird einfaches Routing gewünscht ohne jegliches NAT.

    Hier einmal WAN komplett nein es ist PPPOE und nicht DHCP:


    Es gab keine Brief im klassischen Sinne, sondern diese IPs stehen so im Portal bei A1. Wir wurden auch nicht über die Zuweisung so informiert, sondern mussten es selber rausfinden. 1. Ist die IP des Internetvertrages, 2. Ist der zusätzliche 16er Block und 3. gab es ein Gratis IP zum Businesstarif dazu.

    Der WAN-Port ist an ein Glasfaser-ONT von A1 via RJ-45 angeschlossen. Habe leider gerade kein Foto (später eigenes SFP ONT geplant).

    Im den Netzwerkeinstellungen ist kein DHCP aktiv und als DNS 1.1.1.1 und 1.0.0.1. Am Port 3 hängt aktuell nur ein Linux Server dem wir eine IP gegeben haben aus dem 88.117.255.160er Bereich.

    Der Plan ist alles was eine IP aus dem 88.117.255.160er Bereich bekommt von außen direkt erreichbar ist. Alle Geräte im 93er sind hinter NAT.

    88er = routing
    80er = routing
    93er = NAT

    Wenn noch weitere Fragen sind bitte stellen.

    Hey, ein kleines Update zum ganzen hier.

    Das Gateway ist jetzt erreichbar (vom Server können auch Pings nach außen wie 8.8.8.8 abgesetzt werden)

    Jedoch ist jetzt das aktuelle Problem nur noch, dass wir nicht extern auf die Server in der DMZ connecten können.

    icart4l  Jens Humke Was habt ihr jetzt noch verändert?

    Bitte sicherstellen, dass keine Geräte im 88.117.255.160/28 Netz aktiv sind, die in irgendeiner Weise offen oder angreifbar sind, bevor ihr die folgenden Schritte umsetzt. Gerne hätte ich auch eine Rückmeldung was bei den Tests und einzelnen Schritten dann jeweils Stand der Dinge ist. Also fangen wir mal an.

    So wie ich das sehe, wird jetzt ausgehend alles vom 88.117.255.160/28 Netz auf die öffentliche IP 93.82.208.91 genatet, so wie auch bei dem "normalen" Netz. Kannst Du das mal abprüfen auf einer Webseite die dir deine IP anzeigt? z.B. heise.de oder besser falls ihr auch IPv6 habt ipv64.net

    So wie es ausschaut wird euch bei der PPPoE Einwahl die 93.82.208.91 zugewiesen. Auf diese Adresse werden offenbar vom Provider die beiden anderen Netze geroutet.

    Also bauen wir mal etwas um. Zuerst bitte mal bei den WAN Einstellungen die zusätzlichen IPs löschen. Die 93.82.208.91 braucht da nicht rein weil sie ja sowieso auf dem PPPoE zugewiesen ist. Die beiden anderen Einträge sind vermutlich nicht korrekt. Das sind keine IP Adressen sondern ganze Netzwerke und ich würde die IPs als Range mit von/bis angeben oder die einzeln hinzufügen in CIDR Notation. Aber die brauchen da gar nicht hin wenn meine Annahme stimmt. (Sollte die Annahme falsch sein und die public IPs liegen auf dem WAN, dann muss grundlegend das Design geändert werden, da dann NAT ins Spiel kommt). Also erstmal alle zusätzlichen löschen.

    Jetzt bauen wir uns mal eine Regel für das ausgehende NAT (Masquerade). Wir wollen für das Netz 88.117.255.160/28 alias "Public A1 /28" ausgehend kein NAT, sondern schlichtes Routing.

    Settings - Policy Engine - NAT: Bei Interface das WAN auswählen mit dem PPPoE, Wichtig ganz unten "Exclude" anhaken. Dei Source kannst Du auch das "Public A1 /28" Network auswählen oder ein Firewall Objekt erstellen.

    Wenn meine Annahme stimmt, dann müsste Internet im "Public A1 /28" noch immer verfügbar sein und bei den IP Webseiten taucht dann hoffentlich die IP aus dem 88.117.255.160/28 Netz des Gerätes von dem getestet wird auf.

    Für den Zugriff von außen und bessere Diagnose von außen braucht es jetzt noch Firewallregeln:

    Nummer 1 bei External - Gateway. Hier erlauben wir mal ICMP aus dem Internet auf das Gateway zu Diagnosezwecken (kann später auch wieder weg, wenn unerwünscht):

    Wenn das klappt, sollte man jetzt aus dem Internet die öffentlichen IPs des Unifi Gateways anpingen können. Also die 93.82.208.91 und die 88.117.255.161


    Jetzt noch eine Firewallregel für Den Zugriff in das Netzwerk mit den öffentlichen IPs selbst. Ich mache eine Regel die alles vollständig erlaubt inkl. Ping. Bitte nur zum Testen so lassen und unbedingt einschränken im Nachgang.

    Alle Regeln sollten möglichst weit oben stehen, falls es bereits andere Firewallregeln gibt. Wenn jetzt auf den Geräten im 88.117.255.160/28 Netz nicht noch lokale Firewalls aktiv sind (Windows Firewall z.B. reagiert oft nicht auf Anfragen aus anderen IP Bereichen z.B. beim pingen - muss angepasst werden), sollte man die einzelnen IPs anpingen und auf die Dienste zugreifen können z.B. Webserver.

    Dann wären wir soweit fertig wenn es klappt ... ich bin gespannt und drücke die Daumen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login