Ubiquiti UniFi Dream Machine Pro (UDM-PRO) – NAT deaktivieren

Ubiquiti Logo

Die Ubiquiti UniFi Dream Machine Pro (UDM-PRO) bietet ein gutes Preis-Leistungs-Verhältnis, weshalb sie oft im Privatgebrauch oder in kleinen Firmen zum Einsatz kommt. Idealerweise wird das Gerät direkt oder über ein Modem mit dem Internet verbunden. Hierfür stehen an der UDM-Pro die beiden WAN-Ports 9 (RJ45) und 10 (SFP) zur Verfügung. Auf beiden Ports ist die Network Address Translation (NAT) standardmäßig aktiviert. Innerhalb der Konfigurationsoberfläche besteht keine Möglichkeit NAT zu deaktivieren.

Falls die UDM-PRO unter bestimmten Voraussetzungen hinter einem Router, z.B. einer FRITZ!Box betrieben werden muss, dann hat man zwangsweise den Nachteil von doppeltem NAT. In vielen Fällen kann dieses Setup ohne weitere Einschränkungen genutzt werden. Doppeltes NAT führt aber oftmals bei Onlinespielen, Xbox, PlayStation und Co zu Problemen. Diese Probleme können jedoch behoben werden, indem die UDM-PRO in der FRITZ!Box als „Exposed Host“ konfiguriert wird. Das doppelte NAT ist dann aber trotzdem noch vorhanden.

Lange Rede kurzer Sinn: In diesem Artikel möchte ich euch zeigen, wie ihr NAT auf den WAN-Ports der UDM-Pro deaktivieren könnt.

SSH aktivieren und verbinden

Zunächst müsst ihr den SSH-Zugang aktivieren und ein Passwort setzen. Dies erfolgt über die Einstellungen der UDM-PRO unter dem Punkt „Adcanced“.

Anschließend könnt ihr euch z.B. mit PuTTY via SSH auf die UDM-PRO verbinden. Der Username ist „root“.

Mit folgendem Befehl können wir die aktuelle NAT-Konfiguration einsehen:

xtables-multi iptables -t nat -L -v --line-number

In der Chain „UBIOS_POSTROUTING_USER_HOOK“ stehen die relevanten Infos:

Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- any eth8 anywhere anywhere /* 00000001095327760591 */
2 0 0 MASQUERADE all -- any eth9 anywhere anywhere /* 00000001095327760592 */

Hier ist ersichtlich, dass auf Port 9 (eth8) und Port 10 (eth9) NAT aktiviert ist.

„UDM / UDMPro Boot Script“ installieren

Voraussetzung für das Deaktivieren von NAT ist das „UDM / UDMPro Boot Script„, welches auch nach einem Neustart oder Firmwareupdate bestehen bleibt.

Für die Installation muss zunächst mit folgendem Befehl in die UnifiOS Shell gewechselt werden.

unifi-os shell

Anschließend wird das Boot Script heruntergeladen und installiert. Am Schluss muss die UnifiOS Shell verlassen werden.

curl -L https://udm-boot.boostchicken.dev -o udm-boot_1.0.4_all.deb
dpkg -i udm-boot_1.0.4_all.deb
exit

NAT deaktivieren

Jetzt könnt ihr eigene Shell Scripte in „/mnt/data/on_boot.d“ hinterlegen, die bei jedem UDM-PRO Start bzw. Reboot ausgeführt werden.

cd /mnt/data/on_boot.d

Dort erstellt ihr euer Skript zur Deaktivierung von NAT:

echo "#!/bin/sh
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1" > ./delete-nat.sh

Dieses muss noch ausführbar gemacht werden:

chmod +x delete-nat.sh

Bei Bedarf könnt ihr das Skript direkt starten und prüfen, ob es funktioniert.

sh delete-nat.sh

Eine Überprüfung mit

xtables-multi iptables -t nat -L -v --line-number

zeigt, dass beide NAT-Regeln entfernt wurden:

Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
Achtung, bei jeder Änderung im Routing oder bei den Firewall-Regeln werden die beiden NAT-Policies wiederhergestellt. Also entweder das Skript danach manuell starten oder die UDM-PRO rebooten.

Statische Route in der FRITZ!Box

Standardmäßig ist das FRITZ!Box Subnetz 192.168.178.0/24 und das Netz der UDM-PRO 192.168.1.0/24.

Damit Clients aus dem UDM-PRO-Subnetz auf das Internet oder die FRITZ!Box zugreifen können, wird noch eine statische Route auf der FRITZ!Box benötigt.

Diese könnt ihr unter „Heimnetz –> Netzwerke –> Netzwerkeinstellungen“ anlegen. Dazu ganz nach unten scrollen und auf den Button „IPv4-Routen“ klicken (siehe Bild).

Dort erstellt ihr eine neue Route und gebt folgende Daten ein:

  • Netzwerk: das Netz der UDM-PRO, standardmäßig 192.168.1.0
  • Subnetzmaske: die Subnetzmaske des vorher eingetragenen Netzes, standardmäßig 255.255.255.0
  • Gateway: die Adresse der UDM-PRO im FRITZ!Box Subnetz, diese kann unter „Heimnetzwerk“ in Erfahrung gebracht werden

Mit Klick auf „Übernehmen“ ist dieser Schritt erledigt.

Optional: Firewall-Regel in der UDM-PRO

Dieser Schritt ist nur notwendig, wenn ihr vom Subnetz der FRITZ!Box auf ein Subnetz „hinter“ der UniFi Dream Machine Pro zugreifen möchtet. Anders herum funktioniert es ohne weitere Konfiguration.

Die Kommunikation wird nämlich noch durch die Firewall der UDM-PRO blockiert. Um dies zu ändern, muss eine neue Regel erstellt werden. Zunächst muss der UniFi Network Controller auf der UDM-PRO geöffnet werden. Anschließend unter „Einstellungen –> Security –> Internet Threat Management –> Firewall“ auf den Button „Create new Rule“ klicken.

Exemplarisch habe ich jeglichen Traffic aus dem Subnetz der FRITZ!Box freigegeben. Sofern möglich solltet ihr die Freigabe jedoch spezifischer gestalten, z.B. auf einzelne IP-Adressen einschränken und nicht ganze Subnetze freigeben.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

8 Antworten

  1. Stefan sagt:

    Hallo Thomas,

    Danke für den tollen Blog.
    Ich selbst nutze aktuell noch das USG hinter eine Fritz.Box.
    Will aber eigentlich auf die UDM-Pro wechseln, aber das Doppelte NAT ist echt ein Problem.
    Du schreibst, bei jeder FR Regel die geändert oder neuerstellt wird, werden die NAT Regeln wieder neuerstellt?
    Das wäre ja Mist, wenn man jedes Mal das Script wieder ausführen müsste.

    Bitte sage mir, dass ich das Falsch verstehe ;-)

    Gruß Stefan

    • Tobi sagt:

      Hallo Stefan, nein das ist leider so. Ja ist echt Mist :(
      Allerdings ist das nur in der Anfangszeit ein Problem, während man die UDM-Pro einrichtet. Danach werden die Firewall-Regeln ja nicht mehr täglich angepasst, zumindest bei mir.
      Eventuell existiert noch eine Methode, um das Skript automatisch nach Änderungen in der Firewall zu triggern. Ich bleibe auf jeden Fall dran an diesem Thema.

  2. Stefan sagt:

    Hallo Tobi,

    sorry für das Thomas. War gestern wohl doch zu spät ;-)

    Danke für deine schnelle Rückmeldung. Wäre super, wenn du auch an dem Thema dran bleibst.

    Darf ich dich noch was anderes fragen?
    1. Gibt es eine Möglichkeit die Backup Config vom CloudKey G2 zu übertragen, so dass ich nicht alle neuerstellen muss?
    2. Hast du Erfahrungen mit Entertain und der UDM-Pro?

    Gruß
    Stefan

  3. Stefan Bertram sagt:

    Hi Tobi,

    habe die UDM-Pro hier und echt entäuscht.
    Kann meine Config nicht umziehen, da FW 1.8.6 der UDM nur den Netzwerk Controller 6.0.43 hat. der CK2+ hat bereits 6.0.45 mit der FW 2.0.27.
    Ein Downgrade ist scheinbar auch nicht so einfach…

    Nicht mal der Support kann mir eine Lösung anbieten. Kann mir nicht mal sagen, wann ein neuer FW relase kommt… Glaube ich bleibe bei der alten FW und verzichte auf dem UDM.

    Ich danke dir Vielmals für deine Hilfe, die war echt Super!

  4. Johannes Sigel sagt:

    Funktioniert das ganze auch mit der „normalen“ Dream-Machine?
    Und wie setzt man die NAT-Config wieder auf Default zurück?
    Danke!

    • Tobi sagt:

      Für die normale UDM sollte es bei der neuesten Firmware 1.8.6 genauso funktionieren.
      Default wird automatisch gesetzt, sobald etwas an den Firewallregeln geändert wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.