Frage an die Profis doppeltes NAT und FRITZ!Box

Es gibt 23 Antworten in diesem Thema, welches 2.239 mal aufgerufen wurde. Der letzte Beitrag () ist von sebcodes.

    Hallo, im Titel steht ja schon einiges


    FRITZ!Box exposed Host > udmpro > UniFi Switch > UniFi AP


    Nun meine Frage, da ich mit der udm pro nicht so richtig weiter komme eine andere Überlegung von mir.

    Die FRITZ!Box hat ja ihr eigenes Netz , kann ich an den FRITZ!Box Port noch eine weitere Installation anschließen mit einer opnsense und dahinter eine docker Installation um über die FRITZ!Box und opensense portweiterleitung zu machen.. was mein udm pro Netzwerk garnicht beeinflusst aber sie z.b. mit einer statischen Route trotzdem erreichen kann? Also das wäre dann auch ein exposed Host zur opnsense wo dann ein docker hängt und darauf ein nginx Port Manager läuft und valtwarden… aber durch ein routing auf die updmpro trotzdem verfügbar ist für das udmpro Netzwerk?

    Ich weiß ich könnte die udmpro auch durch opnsense ersetzen aber,ich möchte die udmpro trotzdem nicht mehr missen obwohl sie hinter der FRITZ!Box einige Nachteile hat


    Oder liege ich da komplett daneben?

    Also könnte ich die 2 unterschiedlichen Netze unabhängig von ein anderes nutzen und trotzdem mit einer statischen Route von dem einen auf das andere zugreifen und umgekehrt? Die statische Route müsste ich aber dann auf der udmpro einrichten ?

    Zitat von reiter

    Also könnte ich die 2 unterschiedlichen Netze unabhängig von ein anderes nutzen und trotzdem mit einer statischen Route von dem einen auf das andere zugreifen und umgekehrt? Die statische Route müsste ich aber dann auf der udmpro einrichten ?

    JA dies ist richtig.
    Die UDM muss ja wissen, dass ein privates Netz, was sie selber nicht verwaltet, wo zu finden ist. Umgekehrt natürlich auch.

    Wenn ich das richtig lese was der TE schreibt, ist der Plan die opnsense parallel zum UDM Netzwerk an die Fritzbox anzuschliessen. Also schonmal nicht das, was freaque als Vergleich ranzieht (da sind ja nichtmal 3 Router).


    Eine Kleinigkeit ist da noch zu bedenken.

    War es nicht mit der UDM Problematisch vom WAN ins LAN zu kommen wegen dem nicht abschaltbaren NAT? Dann würde das Konstrukt nur in eine Richtung funktionieren, vom UDM LAN zum Netz hinter den opnsense. Ein Zugriff vom opnSense Netz auf ein Gerät hinter der UDM funktioniert dann nicht, egal wie die Routen gesetzt werden. Also drüber nachdenken ob das in beide Richtungen funktionieren muss.


    Falls es in beide Richtungen arbeiten muss, dann könnte man aber eine NIC der opnSense in das UDM Netz hängen und dann darüber routen.

    Hallo ja wie DoPe schreibt geht es darum auf den einem Port der FRITZ!Box ist die udm pro… mit der komm ich leider nicht so nach außen wie ich das will. Darum war/ist der Plan noch eine opnsense an einen anderen Port der FRITZ!Box zu hängen und da hinter eine docker Installation…wo ich gut und unkompliziert nach außen komme.

    Oder ich lass die opnsense weg und die docker Installation mit nginx portmanager und vaultwarden nur einfach an die FRITZ!Box..

    Würde aber schon gern untereinander drauf zugreifen wollen… also udm pro und was auf dem anderen Port von der FRITZ!Box hängt

    Ich könnte die udm pro auch ganz weg lassen.. und alles über die opnsense laufen lassen…

    Ich will aber nicht die udm pro ungenutzt lassen weil sie auch ihre Vorzüge hat ..


    Andere frage : eine opnsense hinter der FRITZ!Box hat kein doppeltes NAT mit den Switches hinter der opnsense richtig?

    Zitat von reiter

    Andere frage : eine opnsense hinter der FRITZ!Box hat kein doppeltes NAT mit den Switches hinter der opnsense richtig?

    NAT ob einfach oder mehrfach hat nie was mit Switchen zu tun. NAT entsteht durch einen Router der NAT macht. Du hast also mit der Fritzbox immer das erste mal NAT (außer die ist im Bridge Mode, dann gehen dahinter aber ohnehin keine 2 Router). Die UDM macht auch zwangsweise NAT (daher doppeltes NAT). Die opnSense kann vermutlich mit und ohne NAT auf deren WAN Port betrieben werden.


    Worum geht es denn eigentlich bei dem "gut und unkompliziert nach außen kommen"? Weil Portforwarding und nginx klingt ja eher nach einem Problem mit von außen ankommend.

    Also mein Problem ist das ich keine portweiterleitung von der,udm pro auf ein 443 machen kann weil keine öffentliche ip auf der udm pro und komm von der FRITZ!Box nicht auf die udm pro , ich wollte ein https Server von der FRITZ!Box durchleiten an einen Server hinter der udm pro und proxmox was hinter der udm Pro hängt, nun war die Idee eine docker Installation an die FRITZ!Box zu hängen .. wo ich auch ein https Server (443) durchreichen kann . Um das doppelte Nat zu umgehen auf der udm pro . Aber irgendwie trotzdem aus dem Netzwerk der udm pro drauf zugreifen zu können wie valtwarden z.b.

    Eigentlich sollte die Port Weiterleitung funktionieren, fb 443 -> udm 443 und eine zweite auf der udm 443 -> auf dem pm lxc. Der muss dann nochmal auf den docker mappen. (Solange die Ports immer frei sind) es kann helfen das schritt für Schritt zu testen. Ggf. auch wenn der pm funktioniert ihn mal an die fb hängen. Das doppelte nat macht es nur aufwändiger da ggf 2 forwards benötigt werden aber zu mindestens bei http sollte das kein Problem sein.


    Open sense und udm-p hinter einer FRITZ!Box geht auch. Hab ich auch so. Das doppelte nat stört mich nicht. Ok der Lobby Modus im Grand Tourismo auf der Playstation wird nicht unterstützt. Heul :winking_face: Ich nutze für den Transfer zwischen den udm und os ein transfernetz intern ! (traffic rules) jeweils /20 Netze hinter den Routern und eine Regel die dann das andere /20 als next Hop auf das Interface ans Transfer Netzwerk schickt. Die OS braucht einige firewall rules da bei default alles zu ist. Doppeltes nat nach außen aber kein nat zwischen der udm und der OS


    P.S.

    Wenn man die Verbindung von proxmox zur os auch über einen unifi sticht gehen lässt erscheinen die Container auch auf der udm Übersicht :smiling_face:


    P.P.S

    Ich hab einen aggregation Switch hinter der udm und einen Port mirrow zur OS. Darüber sammle ich auch die Traffic Informationen der udm auf der OS ein.

    Noch ein Nachtrag. Falls Du in der OS - UDM Kombination auf die Idee kommst auch Container in einen vlan der UDM auf den PM einzurichten, ja das geht auch, kann es Dir passieren das der Antwort Traffic auf eine ip der OS dann direkt über das lan zurück geht und die OS die Verbindung nach dem timeout abbricht. Ich versuche es mal zu verdeutlichen. OS 192.168.16.1/20 DMP 192.168.32.1/20 ein proxmox mit einer IP 192.168.20.2 und 192.168.32.100. Ein Rechner mit der ip 192.168.32.40 greift über die OS auf 192.168.20.2 zu. Der Container nutzt aber wegen 192.168.32.40 source ip dann das 192.168.32 Netzwerk über die nic ‘mit der ip 191.168.32.100. Die ist sieht diese Pakete nicht und verwirft die Verbindung nach ein paar minuten. Naja ist eventuell ein Edge case viel mir nur noch gerade ein.

    Zitat von reiter

    Also mein Problem ist das ich keine portweiterleitung von der,udm pro auf ein 443 machen kann weil keine öffentliche ip auf der udm pro und komm von der FRITZ!Box nicht auf die udm pro ...

    Die öffentliche IP ist auf dem WAN der Fritzbox. Diese musst Du natürlich für den Zugriff auf deinen Webserver benutzen. Dazu die beiden Portweiterleitungen (und das Containerzeug)wie von swag ausgeführt und dann geht das.

    Ich habe mal eine grundsätzliche Frage an reiter

    Solltest du nicht einmal dein Netzwerk komplett überdenken?

    Also drei Router einzusetzen in einem Heimnetzwerk erscheint mir nicht sehr zielführend.

    Ein DSL-Modem im Bridge-Modus und dahinter die UDM und dahinter der Switch. Da hättest du klare Wege und kannst per VLANS auch unterteilen. Dies wäre ein sauberes Netz. Falls die FB als Telefonzentrale benötigt wird, kommt sie hinter die UDM.

    Wenn du eine Vigor 165 als DSL-Modem nutzt, kann dir dieser auch 2 Ports zur Verfügung stellen. Eine an die UDM und eine an OpenSense (die aber per Hardware).

    Für ein Heimnetzwerk Switche oder Router zu virtualisieren ist nicht sehr zielführend, wenn sie nicht auf die dafür geeignete Hardware laufen.

    Also die FRITZ!Box ist nicht im Bridge Modus.. (Glasfaser) brauch diese aber für das Telefon.. was hinter der udm nicht geht.. wegen 2 verschiedener vlan seitens Provider einem Telefon , einmal Internet , was die udm nicht kann.also die FRITZ!Box vor der udm.. im exposed host.. . im Grunde habe ich ein komplettes UniFi Netzwerk mit Switches und Ap..


    Mein Problem ist das ich keinen https Dienst von außen nach innen bekomme

    Darum war die Idee eine OS zusätzlich an die Fritte zu stecken um so einfacher mein portforwarding zu machen..

    Ja theoretisch kann ich die udm auch weg lassen, was ich aber nicht möchte weil sie auch einige Vorzüge hat, aber auch Nachteile hinter einer FRITZ!Box

    Ich sag ja.. etwas kompliziert… ich bräuchte blos den nginx Port Manager (https) für die letsencrypt Zertifikate wo das ganze Netzwerk Zugriff drauf hat.. die anderen portweiterleitung könnte ich dann darüber machen

    Zitat von phino

    Das geht aber auch mit der UDM, ist nur etwas von hinten durch die Nase ins Auge geschossen. :winking_face:

    Hier für IPTV, aber gilt sicher auch für Telefonie.

    Double VLAN on WAN (IPTV support)

    Aber zugegebener Maßen sollte es endlich auch ganz einfach eingebaut werden. In einer der letzten Releases wurde es auch von UI-Glenn für PPPoE in Aussicht gestellt.

    Den link kannte ich noch nicht.. das heißt man könnte so die 2 Vlans nutzen eins für inet und das andere für Telefon= dann bräuchte ich die FRITZ!Box nicht mehr was mir sehr lieb wäre





    Wenn das jemand zum laufen bekäme wäre mir auch schon geholfen…


    Ubiquiti UniFi Dream Machine Pro (UDM-PRO) – NAT deaktivieren – Antary

    Einmal editiert, zuletzt von reiter ()

    Kann mit dem link niemand was anfangen? Das man das eventuell mit der 3.0.16 ans laufen bekommt?

    Noch ein Update.. ich weiß noch nicht woran es liegt.

    Also per Port 80 ist nginx erreichbar, auch über dyndns

    Aber sobald er die Zertifikate von letsencrypt holen soll kommt


    Internal error


    Ich wüsste aber auch nicht wo da noch ein Port 80 laufen sollte? Zumal über die reine dyn ohne Posteingang nginx erreichbar ist

    Das würde ja nicht gehen wenn der Port vergeben wäre

    nginx ProxyManager Dashboard läuft über Port 81

    Habe mir da eine Umleitung gebaut, damit ich nicht immer den Port angeben muss:


    Für die Zertifikate von letsencrypt: die laufen über den http/https request, also würde ich noch 443 freischalten dafür.