Ubiquiti UniFi Dream Machine Pro (UDM-PRO) – NAT deaktivieren
Die Ubiquiti UniFi Dream Machine Pro (UDM-PRO) bietet ein gutes Preis-Leistungs-Verhältnis, weshalb sie oft im Privatgebrauch oder in kleinen Firmen zum Einsatz kommt. Idealerweise wird das Gerät direkt oder über ein Modem mit dem Internet verbunden. Hierfür stehen an der UDM-Pro die beiden WAN-Ports 9 (RJ45) und 10 (SFP) zur Verfügung. Auf beiden Ports ist die Network Address Translation (NAT) standardmäßig aktiviert. Innerhalb der Konfigurationsoberfläche besteht keine Möglichkeit NAT zu deaktivieren.
Falls die UDM-PRO unter bestimmten Voraussetzungen hinter einem Router, z.B. einer FRITZ!Box betrieben werden muss, dann hat man zwangsweise den Nachteil von doppeltem NAT. In vielen Fällen kann dieses Setup ohne weitere Einschränkungen genutzt werden. Doppeltes NAT führt aber oftmals bei Onlinespielen, Xbox, PlayStation und Co zu Problemen. Diese Probleme können jedoch behoben werden, indem die UDM-PRO in der FRITZ!Box als „Exposed Host“ konfiguriert wird. Das doppelte NAT ist dann aber trotzdem noch vorhanden.
Lange Rede kurzer Sinn: In diesem Artikel möchte ich euch zeigen, wie ihr NAT auf den WAN-Ports der UDM-Pro deaktivieren könnt.
SSH aktivieren und verbinden
Zunächst müsst ihr den SSH-Zugang aktivieren und ein Passwort setzen. Dies erfolgt über die Einstellungen der UDM-PRO unter dem Punkt „Adcanced“.
Anschließend könnt ihr euch z.B. mit PuTTY via SSH auf die UDM-PRO verbinden. Der Username ist „root“.
Mit folgendem Befehl können wir die aktuelle NAT-Konfiguration einsehen:
xtables-multi iptables -t nat -L -v --line-numberIn der Chain „UBIOS_POSTROUTING_USER_HOOK“ stehen die relevanten Infos:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- any eth8 anywhere anywhere /* 00000001095327760591 */
2 0 0 MASQUERADE all -- any eth9 anywhere anywhere /* 00000001095327760592 */Hier ist ersichtlich, dass auf Port 9 (eth8) und Port 10 (eth9) NAT aktiviert ist.
„UDM / UDMPro Boot Script“ installieren
Voraussetzung für das Deaktivieren von NAT ist das „UDM / UDMPro Boot Script„, welches auch nach einem Neustart oder Firmwareupdate bestehen bleibt.
Für die Installation muss zunächst mit folgendem Befehl in die UnifiOS Shell gewechselt werden.
unifi-os shellAnschließend wird das Boot Script heruntergeladen und installiert. Am Schluss muss die UnifiOS Shell verlassen werden.
curl -L https://udm-boot.boostchicken.dev -o udm-boot_1.0.4_all.deb
dpkg -i udm-boot_1.0.4_all.deb
exitNAT deaktivieren
Jetzt könnt ihr eigene Shell Scripte in „/mnt/data/on_boot.d“ hinterlegen, die bei jedem UDM-PRO Start bzw. Reboot ausgeführt werden.
cd /mnt/data/on_boot.dDort erstellt ihr euer Skript zur Deaktivierung von NAT:
echo "#!/bin/sh
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1" > ./delete-nat.shDieses muss noch ausführbar gemacht werden:
chmod +x delete-nat.shBei Bedarf könnt ihr das Skript direkt starten und prüfen, ob es funktioniert.
sh delete-nat.shEine Überprüfung mit
xtables-multi iptables -t nat -L -v --line-numberzeigt, dass beide NAT-Regeln entfernt wurden:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destinationStatische Route in der FRITZ!Box
Standardmäßig ist das FRITZ!Box Subnetz 192.168.178.0/24 und das Netz der UDM-PRO 192.168.1.0/24.
Damit Clients aus dem UDM-PRO-Subnetz auf das Internet oder die FRITZ!Box zugreifen können, wird noch eine statische Route auf der FRITZ!Box benötigt.
Diese könnt ihr unter „Heimnetz –> Netzwerke –> Netzwerkeinstellungen“ anlegen. Dazu ganz nach unten scrollen und auf den Button „IPv4-Routen“ klicken (siehe Bild).
Dort erstellt ihr eine neue Route und gebt folgende Daten ein:
- Netzwerk: das Netz der UDM-PRO, standardmäßig 192.168.1.0
- Subnetzmaske: die Subnetzmaske des vorher eingetragenen Netzes, standardmäßig 255.255.255.0
- Gateway: die Adresse der UDM-PRO im FRITZ!Box Subnetz, diese kann unter „Heimnetzwerk“ in Erfahrung gebracht werden
Mit Klick auf „Übernehmen“ ist dieser Schritt erledigt.
Optional: Firewall-Regel in der UDM-PRO
Dieser Schritt ist nur notwendig, wenn ihr vom Subnetz der FRITZ!Box auf ein Subnetz „hinter“ der UniFi Dream Machine Pro zugreifen möchtet. Anders herum funktioniert es ohne weitere Konfiguration.
Die Kommunikation wird nämlich noch durch die Firewall der UDM-PRO blockiert. Um dies zu ändern, muss eine neue Regel erstellt werden. Zunächst muss der UniFi Network Controller auf der UDM-PRO geöffnet werden. Anschließend unter „Einstellungen –> Security –> Internet Threat Management –> Firewall“ auf den Button „Create new Rule“ klicken.
Exemplarisch habe ich jeglichen Traffic aus dem Subnetz der FRITZ!Box freigegeben. Sofern möglich solltet ihr die Freigabe jedoch spezifischer gestalten, z.B. auf einzelne IP-Adressen einschränken und nicht ganze Subnetze freigeben.
Hallo Thomas,
Danke für den tollen Blog.
Ich selbst nutze aktuell noch das USG hinter eine Fritz.Box.
Will aber eigentlich auf die UDM-Pro wechseln, aber das Doppelte NAT ist echt ein Problem.
Du schreibst, bei jeder FR Regel die geändert oder neuerstellt wird, werden die NAT Regeln wieder neuerstellt?
Das wäre ja Mist, wenn man jedes Mal das Script wieder ausführen müsste.
Bitte sage mir, dass ich das Falsch verstehe ;-)
Gruß Stefan
Hallo Stefan, nein das ist leider so. Ja ist echt Mist :(
Allerdings ist das nur in der Anfangszeit ein Problem, während man die UDM-Pro einrichtet. Danach werden die Firewall-Regeln ja nicht mehr täglich angepasst, zumindest bei mir.
Eventuell existiert noch eine Methode, um das Skript automatisch nach Änderungen in der Firewall zu triggern. Ich bleibe auf jeden Fall dran an diesem Thema.
Hallo Tobi,
sorry für das Thomas. War gestern wohl doch zu spät ;-)
Danke für deine schnelle Rückmeldung. Wäre super, wenn du auch an dem Thema dran bleibst.
Darf ich dich noch was anderes fragen?
1. Gibt es eine Möglichkeit die Backup Config vom CloudKey G2 zu übertragen, so dass ich nicht alle neuerstellen muss?
2. Hast du Erfahrungen mit Entertain und der UDM-Pro?
Gruß
Stefan
Kein Problem, hatte ich bis eben gar nicht bemerkt ;-)
1. Müsste laut UniFi so klappen: https://help.ui.com/hc/en-us/articles/360008976393 Selber kann ich dazu nichts sagen, da ich keinen CloudKey besitze.
2. Nein leider nicht. Ubiquiti ist bei neuen Features auch immer recht langsam und äußert sich auch sehr wenig. Folgendes habe ich noch gefunden, wobei das natürlich nur eine Notlösung wäre:
https://ubiquiti-networks-forum.de/board/thread/690-udm-pro-und-magentatv-iptv/
https://community.ui.com/questions/UDM-Pro-Switch-Pro-POE-IPTV-magentaTV/42c55ea2-cfac-4b2f-9d93-2396e78a3b1e?page=3
Hi Tobi,
habe die UDM-Pro hier und echt entäuscht.
Kann meine Config nicht umziehen, da FW 1.8.6 der UDM nur den Netzwerk Controller 6.0.43 hat. der CK2+ hat bereits 6.0.45 mit der FW 2.0.27.
Ein Downgrade ist scheinbar auch nicht so einfach…
Nicht mal der Support kann mir eine Lösung anbieten. Kann mir nicht mal sagen, wann ein neuer FW relase kommt… Glaube ich bleibe bei der alten FW und verzichte auf dem UDM.
Ich danke dir Vielmals für deine Hilfe, die war echt Super!
Ja das ist das große Problem bei Ubiquiti. Allerdings ist das Preis-Leistungs-Verhätlnis echt top, da kann man ein paar Dinge verschmerzen, aber nicht alles ;-)
Versuch mal die neue 1.9.2, vielleichts klappts ja damit.
https://community.ui.com/releases/UniFi-Dream-Machine-Firmware-1-9-2/48f39402-bb51-4cc7-9a42-83e298289ec6
Funktioniert das ganze auch mit der „normalen“ Dream-Machine?
Und wie setzt man die NAT-Config wieder auf Default zurück?
Danke!
Für die normale UDM sollte es bei der neuesten Firmware 1.8.6 genauso funktionieren.
Default wird automatisch gesetzt, sobald etwas an den Firewallregeln geändert wird.
Hey Tobi. Danke für den Beitrag, der mich erstmalig darauf gebracht hat, das SNAT auszuschalten. Sehr gut!
Ich wollte es bei meiner vorhandenen USG so einrichten, aber die Chains der IPTABLES hießen anders. Nach etwas googlen bin ich dann auf das hier gestoßen, welche einfacher zu konfigurieren ist und sogar persistent bleibt, auch wenn man selbst später etwas an Firewallregeln ändert: https://www.matthewschacherbauer.com/wp/guides/ubiquiti-unifi-security-gateway-disable-nat/
Von UniFi ist das mit der json Datei auch explizit erklärt: https://help.ui.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json
Hat es einen Grund, dass du hier die komplexere Methode gewählt hast?
Ciao
Johannes
Hallo Johannes, bei der UDM und UDM-PRO funktioniert „config.gateway.json“ schlicht und ergreifend nicht mehr ;-)
https://community.ui.com/questions/UDM-Pro-Confirm-no-config-gateway-json-allowed-possible/b451feeb-9e67-4cc4-8344-b2c8759c8bd7
Ansonsten hättest du natürlich absolut recht.
Hallo Tobi
„NAT auf den WAN-Ports der UDM-Pro deaktivieren“
Klappt das auch mit einer UDM-Pro hinter meinem Sophos Router/FireWall? Ist vergleichbar mit einer „pfsense“( hatte ich früher ). Kenn mich nicht so aus, möchte aber irgendwann auf Unifi umstellen, da ich bereits Switch und APs im Netzwerk nutze.
Klar das ist unabhängig davon, welcher Router davor verwendet wird.
Evtl. wäre es ja auch eine Möglichkeit die Sophos komplett zu entfernen und alles über die UDM-Pro laufen zu lassen?
Hallo Tobi,
danke für die Anleitung funtioniert ! ist aber so das einer Änderung und Neustart alles wieder auf default setzt, ich muss händisch wieder das cd /mnt/data/on_boot.d
sh delete-nat.sh ausfühen ! ? was mache ich falsch ? danke!
Nein das „delete-nat.sh“-Skript wird nach einem Neustart automatisch ausgeführt. Wenn das bei dir nicht der Fall ist einfach nochmal alle Schritte durchführen und schauen ob es jetzt funktioniert. Falls du immer noch Probleme hast am besten bei Github den Entwickler fragen: https://github.com/boostchicken/udm-utilities/tree/master/on-boot-script
hello Tobi & Alfredo,
looks like this doesnt work anymore after the latest UDM pro firmware update
do you mean starting with firmware 1.9.0 or 1.9.3?