USG doppeltes NAT config.gateway.json

Kommentare 12

• 

  Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 

  Absenden Vorschau
• 

  Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 
  • 

  Absenden Vorschau
• 

  Phoenix 4. März 2021

  Hallo Blackspy,

  
  

  die Lösung klingt sehr gut, meine Frage wäre jetzt noch folgende. Ich habe zweimal die Fritzbox vor dem USG und nutze die Lastverteilung. Wenn ich jetzt das NAT ausschalte funktioniert das dann noch? Die zweite Frage, auch wenn das jetzt nicht ganz zum Thema passt. Ich habe eine Diskstation, damit hier der DNS-Dienst funktioniert hängt diese im Moment mit einem LAN-Port direkt an der FB, mit dem anderen LAN-Port hinter dem USG. Das möchte eigentlich ändern, nur kommt die Diskstation scheinbar mit dem DUAL-WAN nicht klar. Hat da jemand eine Idee, wäre echt super hier eine sauber Lösung zu bekommen.

  • 

    BlackSpy 4. März 2021

    Sollte eigentlich kein Problem sein, musst nur die Datei anpassen das NAT an beiden WAN deaktiviert wird.

    Die Diskstation kannst du direkt hinter dem USG Betreiben, DNS auf dein Netzwerk hinter dem USG setzen, habe ich auch so. Habe zB beide Netzwerk Kabel der Diskstation angeschlossen und jedes in einem eigenen VLAN angemeldet.

  • 

    Phoenix 4. März 2021

    Also verstehe ich es richtig? Die Portweiterleitungen stelle ich dann in den beiden FB ein. NAT der USG deaktiviere ich. Die Diskstation hänge ich ins LAN hinter der USG und das DYNDNS könnte ich dann z.B. von Synology nutzen, da ich ja sowieso nur auf die DS möchte. Bzw. dann einen anderen DYNDNs-Anbieter und den in der USG eintragen.

  • 

    Phoenix 4. März 2021

    Und dann stellt sich für mich noch die Frage mit der config.gateway.json... eth0 = WAN, eth1 = LAN, eth2 = WAN2/LAN2? Wie müsste dann der Code aussehen?

  • 

    BlackSpy 4. März 2021

    Wenn du nur die Syno brauchst dann mache Quickconect von Synology, ist das einfachste.

    Mit dem 2ten WAN muss ich selbst ein wenig nachsehen, habe ich persönlich noch nicht gemacht.

  • 

    Phoenix 4. März 2021

    Du wirst Dir sicher gleich deinen Teil denken... aber Quickconect führt zu einem Performance-Problem bei den Live-Stream der Surveillance-Station

    
    

    Ich verstehe auch noch nicht, wie es funktioniert.... wenn ich das NAT deaktiviere, wie spielen dann die IP-Bereiche der FB und die des USG zusammen?

• 

  StephanABV 28. Januar 2021

  Hey Blackspy,

  
  

  verstehe ich das richtig, dass hinterher das USG die Quell IP nicht mehr austauscht, vor und hinter dem USG Quelle und Ziel also gleich sind, und das USG dann (endlich) nur noch wie eine einfache Stateful Inspection Firewall agiert?

  • 

    BlackSpy 28. Januar 2021

    Nein, es geht darum das NAT im USG abzustellen.

    Das NAT dient ja dazu öffentliche und private IP Adressen zu trennen, das NAT übernimmt die .... ich sag mal Übersetzung.

    Jetzt verhält es sich bei vielen Anschlüssen aber so das es immer einen Router/Modem gibt, in Deutschland ist das meistens ein AVM Produkt.

    Grade dort gibt es die Problematik das man bei AVM das NAT nicht abschalten kann und in vielen Fällen auch keinen Bridge Mode einstellen kann, folglich hat man in der Fritzbox ein NAT und in der USG. Diese doppelte Übersetzung kann zu einigen Problemen führen, das geringste ist die verlängerte Ping Zeit (bei mir waren es 100-200ms, nach Abschaltung 9-15ms), bis hin zu Sachen die gar nicht gehen wollen zB Spielekonsolen oder bestimmte Streaming Angebote.

    Jetzt muss man ja irgendwo ein NAT abschalten können, alternativ Bridge Mode (daher nehmen viele ein Draytek Modem). Bei der Fritzbox geht es nicht und in der Oberfläche (Controller) von UI gibt es bisher auch keine Möglichkeit.

    Man kann nun per SSH direkt am USG das NAT abschalten, dies wäre aber nicht Speicherresistent und nach einem neu Start wieder verloren.

    Daher gibt es den Trick mit der Datei config.gateway.json (mit der kann man viel mehr als nur NAT abschalten), diese wird an einem bestimmten Speicherort des Controllers abgelegt und sobald das USG wieder hochfährt schaut es ob diese Datei vorhanden ist und führt diese aus.

    Das löschen der Datei und Reboot des USG reicht um es rückgängig zu machen.

    Bei der UDM und UDM Pro wird diese variante leider nicht mehr unterstützt.

    Mit Firewall hat es aber nix zu tun.

    1
  • 

    StephanABV 2. Februar 2021

    Ok, das war vielleicht etwas zu einfach ausgedrückt.
    Das USG ist viel mehr als eine Firewall, aber eben AUCH eine Firewall.

    Wenn man nun das NAT raus nimmt, bleibt aber auch nicht mehr viel Funktionalität übrig.

    Eine L2 Firewall nimmt Pakete an einem Port an, checkt sie gegen ein Regelwerk und gibt sie dann an einem anderen Port aus. Mehr macht das USG dann auch nicht mehr. Und das war die Frage.

  • 

    BlackSpy 2. Februar 2021

    Das macht sie immer noch. FW Regeln und Threat Management IDS/IPS gehen auch ohne NAT in der USG

    1