Ubiquiti UniFi Dream Machine Pro (UDM-PRO) – NAT deaktivieren

Die Ubiquiti UniFi Dream Machine Pro (UDM-PRO) bietet ein gutes Preis-Leistungs-Verhältnis, weshalb sie oft im Privatgebrauch oder in kleinen Firmen zum Einsatz kommt. Idealerweise wird das Gerät direkt oder über ein Modem mit dem Internet verbunden. Hierfür stehen an der UDM-Pro die beiden WAN-Ports 9 (RJ45) und 10 (SFP) zur Verfügung. Auf beiden Ports ist die Network Address Translation (NAT) standardmäßig aktiviert. Innerhalb der Konfigurationsoberfläche besteht keine Möglichkeit NAT zu deaktivieren.
Falls die UDM-PRO unter bestimmten Voraussetzungen hinter einem Router, z.B. einer FRITZ!Box betrieben werden muss, dann hat man zwangsweise den Nachteil von doppeltem NAT. In vielen Fällen kann dieses Setup ohne weitere Einschränkungen genutzt werden. Doppeltes NAT führt aber oftmals bei Onlinespielen, Xbox, PlayStation und Co zu Problemen. Diese Probleme können jedoch behoben werden, indem die UDM-PRO in der FRITZ!Box als „Exposed Host“ konfiguriert wird. Das doppelte NAT ist dann aber trotzdem noch vorhanden.
Lange Rede kurzer Sinn: In diesem Artikel möchte ich euch zeigen, wie ihr NAT auf den WAN-Ports der UDM-Pro deaktivieren könnt.
SSH aktivieren und verbinden
Zunächst müsst ihr den SSH-Zugang aktivieren und ein Passwort setzen. Dies erfolgt über die Einstellungen der UDM-PRO unter dem Punkt „Adcanced“.
Anschließend könnt ihr euch z.B. mit PuTTY via SSH auf die UDM-PRO verbinden. Der Username ist „root“.
Mit folgendem Befehl können wir die aktuelle NAT-Konfiguration einsehen:
xtables-multi iptables -t nat -L -v --line-number
In der Chain „UBIOS_POSTROUTING_USER_HOOK“ stehen die relevanten Infos:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- any eth8 anywhere anywhere /* 00000001095327760591 */
2 0 0 MASQUERADE all -- any eth9 anywhere anywhere /* 00000001095327760592 */
Hier ist ersichtlich, dass auf Port 9 (eth8) und Port 10 (eth9) NAT aktiviert ist.
„UDM / UDMPro Boot Script“ installieren
Voraussetzung für das Deaktivieren von NAT ist das „UDM / UDMPro Boot Script„, welches auch nach einem Neustart oder Firmwareupdate bestehen bleibt.
Für die Installation muss zunächst mit folgendem Befehl in die UnifiOS Shell gewechselt werden.
unifi-os shell
Anschließend wird das Boot Script heruntergeladen und installiert. Am Schluss muss die UnifiOS Shell verlassen werden.
curl -L https://udm-boot.boostchicken.dev -o udm-boot_1.0.4_all.deb
dpkg -i udm-boot_1.0.4_all.deb
exit
NAT deaktivieren
Jetzt könnt ihr eigene Shell Scripte in „/mnt/data/on_boot.d“ hinterlegen, die bei jedem UDM-PRO Start bzw. Reboot ausgeführt werden.
cd /mnt/data/on_boot.d
Dort erstellt ihr euer Skript zur Deaktivierung von NAT:
echo "#!/bin/sh
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1" > ./delete-nat.sh
Dieses muss noch ausführbar gemacht werden:
chmod +x delete-nat.sh
Bei Bedarf könnt ihr das Skript direkt starten und prüfen, ob es funktioniert.
sh delete-nat.sh
Eine Überprüfung mit
xtables-multi iptables -t nat -L -v --line-number
zeigt, dass beide NAT-Regeln entfernt wurden:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
Statische Route in der FRITZ!Box
Standardmäßig ist das FRITZ!Box Subnetz 192.168.178.0/24 und das Netz der UDM-PRO 192.168.1.0/24.
Damit Clients aus dem UDM-PRO-Subnetz auf das Internet oder die FRITZ!Box zugreifen können, wird noch eine statische Route auf der FRITZ!Box benötigt.
Diese könnt ihr unter „Heimnetz –> Netzwerke –> Netzwerkeinstellungen“ anlegen. Dazu ganz nach unten scrollen und auf den Button „IPv4-Routen“ klicken (siehe Bild).
Dort erstellt ihr eine neue Route und gebt folgende Daten ein:
- Netzwerk: das Netz der UDM-PRO, standardmäßig 192.168.1.0
- Subnetzmaske: die Subnetzmaske des vorher eingetragenen Netzes, standardmäßig 255.255.255.0
- Gateway: die Adresse der UDM-PRO im FRITZ!Box Subnetz, diese kann unter „Heimnetzwerk“ in Erfahrung gebracht werden
Mit Klick auf „Übernehmen“ ist dieser Schritt erledigt.
Optional: Firewall-Regel in der UDM-PRO
Dieser Schritt ist nur notwendig, wenn ihr vom Subnetz der FRITZ!Box auf ein Subnetz „hinter“ der UniFi Dream Machine Pro zugreifen möchtet. Anders herum funktioniert es ohne weitere Konfiguration.
Die Kommunikation wird nämlich noch durch die Firewall der UDM-PRO blockiert. Um dies zu ändern, muss eine neue Regel erstellt werden. Zunächst muss der UniFi Network Controller auf der UDM-PRO geöffnet werden. Anschließend unter „Einstellungen –> Security –> Internet Threat Management –> Firewall“ auf den Button „Create new Rule“ klicken.
Exemplarisch habe ich jeglichen Traffic aus dem Subnetz der FRITZ!Box freigegeben. Sofern möglich solltet ihr die Freigabe jedoch spezifischer gestalten, z.B. auf einzelne IP-Adressen einschränken und nicht ganze Subnetze freigeben.
Hallo Thomas,
Danke für den tollen Blog.
Ich selbst nutze aktuell noch das USG hinter eine Fritz.Box.
Will aber eigentlich auf die UDM-Pro wechseln, aber das Doppelte NAT ist echt ein Problem.
Du schreibst, bei jeder FR Regel die geändert oder neuerstellt wird, werden die NAT Regeln wieder neuerstellt?
Das wäre ja Mist, wenn man jedes Mal das Script wieder ausführen müsste.
Bitte sage mir, dass ich das Falsch verstehe ;-)
Gruß Stefan
Hallo Stefan, nein das ist leider so. Ja ist echt Mist :(
Allerdings ist das nur in der Anfangszeit ein Problem, während man die UDM-Pro einrichtet. Danach werden die Firewall-Regeln ja nicht mehr täglich angepasst, zumindest bei mir.
Eventuell existiert noch eine Methode, um das Skript automatisch nach Änderungen in der Firewall zu triggern. Ich bleibe auf jeden Fall dran an diesem Thema.
Hallo Tobi,
sorry für das Thomas. War gestern wohl doch zu spät ;-)
Danke für deine schnelle Rückmeldung. Wäre super, wenn du auch an dem Thema dran bleibst.
Darf ich dich noch was anderes fragen?
1. Gibt es eine Möglichkeit die Backup Config vom CloudKey G2 zu übertragen, so dass ich nicht alle neuerstellen muss?
2. Hast du Erfahrungen mit Entertain und der UDM-Pro?
Gruß
Stefan
Kein Problem, hatte ich bis eben gar nicht bemerkt ;-)
1. Müsste laut UniFi so klappen: https://help.ui.com/hc/en-us/articles/360008976393 Selber kann ich dazu nichts sagen, da ich keinen CloudKey besitze.
2. Nein leider nicht. Ubiquiti ist bei neuen Features auch immer recht langsam und äußert sich auch sehr wenig. Folgendes habe ich noch gefunden, wobei das natürlich nur eine Notlösung wäre:
https://ubiquiti-networks-forum.de/board/thread/690-udm-pro-und-magentatv-iptv/
https://community.ui.com/questions/UDM-Pro-Switch-Pro-POE-IPTV-magentaTV/42c55ea2-cfac-4b2f-9d93-2396e78a3b1e?page=3
Hi Tobi,
habe die UDM-Pro hier und echt entäuscht.
Kann meine Config nicht umziehen, da FW 1.8.6 der UDM nur den Netzwerk Controller 6.0.43 hat. der CK2+ hat bereits 6.0.45 mit der FW 2.0.27.
Ein Downgrade ist scheinbar auch nicht so einfach…
Nicht mal der Support kann mir eine Lösung anbieten. Kann mir nicht mal sagen, wann ein neuer FW relase kommt… Glaube ich bleibe bei der alten FW und verzichte auf dem UDM.
Ich danke dir Vielmals für deine Hilfe, die war echt Super!
Ja das ist das große Problem bei Ubiquiti. Allerdings ist das Preis-Leistungs-Verhätlnis echt top, da kann man ein paar Dinge verschmerzen, aber nicht alles ;-)
Versuch mal die neue Beta, vielleichts klappts ja damit.
https://community.ui.com/releases/UniFi-Dream-Machine-Firmware-1-9-0-12/43915f9b-3bae-4958-93cb-fc0a8687d70b
Funktioniert das ganze auch mit der „normalen“ Dream-Machine?
Und wie setzt man die NAT-Config wieder auf Default zurück?
Danke!
Für die normale UDM sollte es bei der neuesten Firmware 1.8.6 genauso funktionieren.
Default wird automatisch gesetzt, sobald etwas an den Firewallregeln geändert wird.