Ubiquiti UniFi Dream Machine Pro (UDM-PRO) – NAT deaktivieren

Ubiquiti Logo

Die Ubiquiti UniFi Dream Machine Pro (UDM-PRO) bietet ein gutes Preis-Leistungs-Verhältnis, weshalb sie oft im Privatgebrauch oder in kleinen Firmen zum Einsatz kommt. Idealerweise wird das Gerät direkt oder über ein Modem mit dem Internet verbunden. Hierfür stehen an der UDM-Pro die beiden WAN-Ports 9 (RJ45) und 10 (SFP) zur Verfügung. Auf beiden Ports ist die Network Address Translation (NAT) standardmäßig aktiviert. Innerhalb der Konfigurationsoberfläche besteht keine Möglichkeit NAT zu deaktivieren.

Falls die UDM-PRO unter bestimmten Voraussetzungen hinter einem Router, z.B. einer FRITZ!Box betrieben werden muss, dann hat man zwangsweise den Nachteil von doppeltem NAT. In vielen Fällen kann dieses Setup ohne weitere Einschränkungen genutzt werden. Doppeltes NAT führt aber oftmals bei Onlinespielen, Xbox, PlayStation und Co zu Problemen. Diese Probleme können jedoch behoben werden, indem die UDM-PRO in der FRITZ!Box als „Exposed Host“ konfiguriert wird. Das doppelte NAT ist dann aber trotzdem noch vorhanden.

Lange Rede kurzer Sinn: In diesem Artikel möchte ich euch zeigen, wie ihr NAT auf den WAN-Ports der UDM-Pro deaktivieren könnt.

SSH aktivieren und verbinden

Zunächst müsst ihr den SSH-Zugang aktivieren und ein Passwort setzen. Dies erfolgt über die Einstellungen der UDM-PRO unter dem Punkt „Adcanced“.

Anschließend könnt ihr euch z.B. mit PuTTY via SSH auf die UDM-PRO verbinden. Der Username ist „root“.

Mit folgendem Befehl können wir die aktuelle NAT-Konfiguration einsehen:

xtables-multi iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK -v --line-number

Standardmäßig sieht die NAT-Konfiguration folgendermaßen aus:

Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- any eth8 anywhere anywhere /* 00000001095327760591 */
2 0 0 MASQUERADE all -- any eth9 anywhere anywhere /* 00000001095327760592 */

Hier ist ersichtlich, dass auf Port 9 (eth8) und Port 10 (eth9) NAT aktiviert ist.

„UDM / UDMPro Boot Script“ installieren

Voraussetzung für das Deaktivieren von NAT ist das „UDM / UDMPro Boot Script„, welches auch nach einem Neustart oder Firmwareupdate bestehen bleibt.

Für die Installation muss zunächst mit folgendem Befehl in die UnifiOS Shell gewechselt werden.

unifi-os shell

Anschließend wird das Boot Script heruntergeladen und installiert. Am Schluss muss die UnifiOS Shell verlassen werden.

curl -L https://udm-boot.boostchicken.dev -o udm-boot_1.0.5_all.deb
dpkg -i udm-boot_1.0.5_all.deb
exit

NAT deaktivieren

Jetzt könnt ihr eigene Shell Scripte in „/mnt/data/on_boot.d“ hinterlegen, die bei jedem UDM-PRO Start bzw. Reboot ausgeführt werden.

cd /mnt/data/on_boot.d

Dort erstellt ihr euer Skript zur Deaktivierung von NAT:

touch /mnt/data/on_boot.d/delete-nat.sh

Das Skript bekommt folgenden Inhalt:

#!/bin/sh

# Check if script runs directly after boot. If so, wait for 10 seconds.
uptimeMinutes=`cat /proc/uptime | awk '{print $1}'`
if [ ${uptimeMinutes::-3} -lt 300 ]
	then
		logger NAT-Script: Script zum 1. Mal nach Boot ausgefuehrt
		sleep 10
	else
		logger NAT-Script: Script via Cron-Job ausgefuehrt
fi


# Check if default NAT rules exist
if iptables -t nat -S UBIOS_POSTROUTING_USER_HOOK | grep -e "UBIOS_POSTROUTING_USER_HOOK -o eth8 -m comment --comment 00" -e "UBIOS_POSTROUTING_USER_HOOK -o eth9 -m comment --comment 00" > /dev/null
	then
		xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1
		if iptables -t nat -S UBIOS_POSTROUTING_USER_HOOK | grep -e "UBIOS_POSTROUTING_USER_HOOK -o eth8 -m comment --comment 00" -e "UBIOS_POSTROUTING_USER_HOOK -o eth9 -m comment --comment 00" > /dev/null
			then
				xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1
				if iptables -t nat -S UBIOS_POSTROUTING_USER_HOOK | grep -e "UBIOS_POSTROUTING_USER_HOOK -o eth8 -m comment --comment 00" -e "UBIOS_POSTROUTING_USER_HOOK -o eth9 -m comment --comment 00" > /dev/null
					then
						logger NAT-Script: NAT-Regel gefunden, Loeschen nicht erfolgreich \(Fehler!\)
					else
						logger NAT-Script: NAT-Regel gefunden und geloescht
				fi
			else
				logger NAT-Script: NAT-Regel gefunden und geloescht
		fi
	else
		logger NAT-Script: Keine NAT-Regel vorhanden
fi


# Check if cron job exists
if ls /etc/cron.d/delete-nat > /dev/null 2>&1
	then 
		logger NAT-Script: Cron-Job vorhanden
	else
		echo "*/15 * * * * /mnt/data/on_boot.d/delete-nat.sh" > /etc/cron.d/delete-nat
		logger NAT-Script: Cron-Job nicht vorhanden und erstellt
		/etc/init.d/crond restart
fi
Das Skript ist eine leicht optimierte Version der ursprünglichen Variante aus dem Kommentar von Tobi.

Es überprüft, ob die standardmäßig gesetzten NAT-Regeln vorhanden sind und entfernt diese. Außerdem wird ein rudimentäres Logging geboten.

Bei jeder Änderung im Routing oder in den Firewall-Regeln der UDM-PRO werden die beiden NAT-Policies wiederhergestellt. Aus diesem Grund wird ein Cronjob erstellt, welcher dafür sorgt, dass das Skript alle 15 Minuten ausgeführt wird. Somit wird sichergestellt, dass die Standard-NAT-Regeln wieder entfernt werden, sofern diese automatisch generiert werden.

Das Skript muss anschließend noch ausführbar gemacht werden:

chmod +x delete-nat.sh

Bei Bedarf könnt ihr das Skript direkt starten und prüfen, ob es funktioniert.

sh delete-nat.sh

Eine Überprüfung mit

xtables-multi iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK -v --line-number

zeigt, dass beide NAT-Regeln entfernt wurden:

Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination

Das Logging des Skripts könnt ihr folgendermaßen einsehen:

grep NAT /var/log/messages

Statische Route in der FRITZ!Box

Standardmäßig ist das FRITZ!Box Subnetz 192.168.178.0/24 und das Netz der UDM-PRO 192.168.1.0/24.

Damit Clients aus dem UDM-PRO-Subnetz auf das Internet oder die FRITZ!Box zugreifen können, wird noch eine statische Route auf der FRITZ!Box benötigt.

Diese könnt ihr unter „Heimnetz –> Netzwerke –> Netzwerkeinstellungen“ anlegen. Dazu ganz nach unten scrollen und auf den Button „IPv4-Routen“ klicken (siehe Bild).

Dort erstellt ihr eine neue Route und gebt folgende Daten ein:

  • Netzwerk: das Netz der UDM-PRO, standardmäßig 192.168.1.0
  • Subnetzmaske: die Subnetzmaske des vorher eingetragenen Netzes, standardmäßig 255.255.255.0
  • Gateway: die Adresse der UDM-PRO im FRITZ!Box Subnetz, diese kann unter „Heimnetzwerk“ in Erfahrung gebracht werden

Mit Klick auf „Übernehmen“ ist dieser Schritt erledigt.

Optional: Firewall-Regel in der UDM-PRO

Dieser Schritt ist nur notwendig, wenn ihr vom Subnetz der FRITZ!Box auf ein Subnetz „hinter“ der UniFi Dream Machine Pro zugreifen möchtet. Anders herum funktioniert es ohne weitere Konfiguration.

Die Kommunikation wird nämlich noch durch die Firewall der UDM-PRO blockiert. Um dies zu ändern, muss eine neue Regel erstellt werden. Zunächst muss der UniFi Network Controller auf der UDM-PRO geöffnet werden. Anschließend unter „Einstellungen –> Security –> Internet Threat Management –> Firewall“ auf den Button „Create new Rule“ klicken.

Exemplarisch habe ich jeglichen Traffic aus dem Subnetz der FRITZ!Box freigegeben. Sofern möglich solltet ihr die Freigabe jedoch spezifischer gestalten, z.B. auf einzelne IP-Adressen einschränken und nicht ganze Subnetze freigeben.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

74 Antworten

  1. Stefan sagt:

    Hallo Thomas,

    Danke für den tollen Blog.
    Ich selbst nutze aktuell noch das USG hinter eine Fritz.Box.
    Will aber eigentlich auf die UDM-Pro wechseln, aber das Doppelte NAT ist echt ein Problem.
    Du schreibst, bei jeder FR Regel die geändert oder neuerstellt wird, werden die NAT Regeln wieder neuerstellt?
    Das wäre ja Mist, wenn man jedes Mal das Script wieder ausführen müsste.

    Bitte sage mir, dass ich das Falsch verstehe ;-)

    Gruß Stefan

    • Tobi sagt:

      Hallo Stefan, nein das ist leider so. Ja ist echt Mist :(
      Allerdings ist das nur in der Anfangszeit ein Problem, während man die UDM-Pro einrichtet. Danach werden die Firewall-Regeln ja nicht mehr täglich angepasst, zumindest bei mir.
      Eventuell existiert noch eine Methode, um das Skript automatisch nach Änderungen in der Firewall zu triggern. Ich bleibe auf jeden Fall dran an diesem Thema.

  2. Stefan sagt:

    Hallo Tobi,

    sorry für das Thomas. War gestern wohl doch zu spät ;-)

    Danke für deine schnelle Rückmeldung. Wäre super, wenn du auch an dem Thema dran bleibst.

    Darf ich dich noch was anderes fragen?
    1. Gibt es eine Möglichkeit die Backup Config vom CloudKey G2 zu übertragen, so dass ich nicht alle neuerstellen muss?
    2. Hast du Erfahrungen mit Entertain und der UDM-Pro?

    Gruß
    Stefan

  3. Stefan Bertram sagt:

    Hi Tobi,

    habe die UDM-Pro hier und echt entäuscht.
    Kann meine Config nicht umziehen, da FW 1.8.6 der UDM nur den Netzwerk Controller 6.0.43 hat. der CK2+ hat bereits 6.0.45 mit der FW 2.0.27.
    Ein Downgrade ist scheinbar auch nicht so einfach…

    Nicht mal der Support kann mir eine Lösung anbieten. Kann mir nicht mal sagen, wann ein neuer FW relase kommt… Glaube ich bleibe bei der alten FW und verzichte auf dem UDM.

    Ich danke dir Vielmals für deine Hilfe, die war echt Super!

  4. Johannes Sigel sagt:

    Funktioniert das ganze auch mit der „normalen“ Dream-Machine?
    Und wie setzt man die NAT-Config wieder auf Default zurück?
    Danke!

    • Tobi sagt:

      Für die normale UDM sollte es bei der neuesten Firmware 1.8.6 genauso funktionieren.
      Default wird automatisch gesetzt, sobald etwas an den Firewallregeln geändert wird.

  5. Johannes sagt:

    Hey Tobi. Danke für den Beitrag, der mich erstmalig darauf gebracht hat, das SNAT auszuschalten. Sehr gut!

    Ich wollte es bei meiner vorhandenen USG so einrichten, aber die Chains der IPTABLES hießen anders. Nach etwas googlen bin ich dann auf das hier gestoßen, welche einfacher zu konfigurieren ist und sogar persistent bleibt, auch wenn man selbst später etwas an Firewallregeln ändert: https://www.matthewschacherbauer.com/wp/guides/ubiquiti-unifi-security-gateway-disable-nat/
    Von UniFi ist das mit der json Datei auch explizit erklärt: https://help.ui.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

    Hat es einen Grund, dass du hier die komplexere Methode gewählt hast?

    Ciao
    Johannes

  6. rud sagt:

    Hallo Tobi

    „NAT auf den WAN-Ports der UDM-Pro deaktivieren“
    Klappt das auch mit einer UDM-Pro hinter meinem Sophos Router/FireWall? Ist vergleichbar mit einer „pfsense“( hatte ich früher ). Kenn mich nicht so aus, möchte aber irgendwann auf Unifi umstellen, da ich bereits Switch und APs im Netzwerk nutze.

    • Tobi sagt:

      Klar das ist unabhängig davon, welcher Router davor verwendet wird.
      Evtl. wäre es ja auch eine Möglichkeit die Sophos komplett zu entfernen und alles über die UDM-Pro laufen zu lassen?

  7. alfredo sagt:

    Hallo Tobi,
    danke für die Anleitung funtioniert ! ist aber so das einer Änderung und Neustart alles wieder auf default setzt, ich muss händisch wieder das cd /mnt/data/on_boot.d
    sh delete-nat.sh ausfühen ! ? was mache ich falsch ? danke!

  8. Andre sagt:

    hello Tobi & Alfredo,
    looks like this doesnt work anymore after the latest UDM pro firmware update

    • Tobi sagt:

      do you mean starting with firmware 1.9.0 or 1.9.3?

    • Tobi sagt:

      Das kann ich leider bestätigen.
      Ich habe das Paket auch bereits runter geworfen und neu installiert.
      Das Paket udm-onboot erzielt im Moment tatsächlich keinen Effekt mehr.
      Es liegt nicht am NAT-Script an sich, sobald das ausgeführt wird ist die Regel weg und man geht auch ungenatted wieder raus.
      Leider greift das Boot-Script von boostchicken im Moment jedoch nicht mehr.
      In den „Issues“ auf Github auch bereits erwähnt.

      Ein Lösung ist mir bislang leider auch noch unbekannt.

  9. Eddi sagt:

    Lese ich das richtig, dass das deaktivieren von NAT bei der UDM Pro nicht mehr funktioniert?

    Funktioniert es bei der UDM noch?
    Würde es demnächst deaktivieren wollen.!?

  10. Tobi sagt:

    Ergänzung zu meinem Kommentar:

    Udm Boot Script mit Version 1.0.5 läuft dann wieder.
    Das Script crashed aber wegen dem nat Script und der Service hängt sich dann auf. Liegt also doch an dem Zusammenspiel dieses nat bash scripts und dem udm boot script, aber nicht (wie von mir anfangs angenommen) daran, dass das udm Boot script selbst nicht mehr läuft. Es crashed nur WEGEN dem nat Script.
    Das liegt daran, weil die NAT Regel zu früh versucht wird zu löschen, ich vermute sie existiert in der Sekunde noch nicht.

    Morgen baue ich mal einen Delay ein, dann sollte es wieder gehen.

    • Tobi sagt:

      Hier die Lösung in meinem Falle.

      Das Script prüft zum Einen, ob es in den ersten 5 Minuten eines Neustartes ausgeführt wurde. Dann wartet es 10 Sekunden bis es die NAT-Regel löscht. Das funktioniert nun zuverlässig.
      Darüber hinaus schreibe ich alle Vorgänge in /var/log/messages, was man dann immer einfach über ‚grep NAT /var/log/messages‘ nachvollziehen kann, ob alles funktioniert.

      Darüber hinaus hat mich eh schon immer genervt, dass nach einer Anpassung an der UDM die NAT-Regel wieder drin war und ich selbst daran denken musste. Das Script prüft nun jedes Mal auch ob ein Cron-Job für selbiges vorhanden ist und wenn nicht, dann erstellt es diesen.
      Alle 15 Minuten wird somit ressourcenschonend kurz gecheckt, ob die NAT-Regel wieder da ist. Wenn ja, dann nimmt er sie direkt wieder raus.

      Hier das Script, bei Datei-Namen drauf achten diese anzupassen:

      #!/bin/sh
      
      # Check if Script runs directly after boot. If so, wait for 10 seconds.
      uptimeMinutes=`uptime | awk '{print $3}'`
      if [ $uptimeMinutes -lt 5 ]
      	then
      		logger NAT-Script: Script zum 1. Mal nach Boot ausgefuehrt					# log entry to /var/log/messages
      		sleep 10
      	else
      		logger NAT-Script: Script gem. Cron-Job ausgefuehrt						# log entry to /var/log/messages
      fi
      
      
      
      # Check if NAT rule is there
      if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null
      	then
      		xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1					# delete NAT rule
      		if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null			# successful delete?
      			then 
      				logger NAT-Script: NAT-Regel gefunden, Loeschen nicht erfolgreich \(Fehler!\)	# log entry to /var/log/messages
      			else		
      				logger NAT-Script: NAT-Regel gefunden und geloescht				# log entry to /var/log/messages
      		fi
      	else
      		logger NAT-Script: Keine NAT-Regel vorhanden							# log entry to /var/log/messages
      fi
      
      # Check if cron job exists
      if ls /etc/cron.d/delete-nat > /dev/null 2>&1
      	then 
      		logger NAT-Script: Cron-Job vorhanden								# log entry to /var/log/messages
      	else
      		echo "*/15 * * * * /mnt/data/on_boot.d/delete-nat.sh" > /etc/cron.d/delete-nat
      		logger NAT-Script: Cron-Job nicht vorhanden und erstellt					# log entry to /var/log/messages
      fi
    • Tobi sagt:

      Hi Tobi,
      danke für die tolle Arbeit. Habe den Code in deinem Kommentar für eine bessere Lesbarkeit hervorgehoben und werde meinen Artikel anpassen und auf deinen Code verlinken.
      Viele Grüße Tobi

    • Tobi sagt:

      Hey Namensvetter!
      Ich danke dir für den Blog, hatte mir den Einstieg erleichtert und mir überhaupt erst ermöglicht ein wenig weiter daran zu schreiben. Deine Anleitung ist super strukturiert und hat mir wirklich sehr geholfen, da gibt man gerne etwas zurück!
      Viele Grüße Tobi

    • Tobi sagt:

      Danke nochmals für das Skript! Ich habe es ein wenig optimiert (Uptime auslesen sowie Erkennung und Löschung der NAT-Regeln verbessert) und direkt im Artikel eingebaut.

  11. Eddi sagt:

    Vielen Dank für die Änderung des Skripts.

    Ist der Skript für die UDM oder UDM Pro abgestimmt?

    Weil hier wird ja in dem Skript die NAT Regel von einem Port entfernt? :

    # Check if NAT rule is there
    if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null
    then
    xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1 # delete NAT rule
    if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null # successful delete?

    Bei der UDM Pro müssen ja die Regeln beider Ports (eth8 & eth9) entfernt werden.

    Wäre cool wenn du mir den Skript gegebenenfalls auf die UDM anpassen könntest oder deine Gesamtanleitung oben. :)
    Bin da leider dann nicht so ganz tief im Skripting drin.

    Danke schonmal vorab.

    • Tobi sagt:

      Hi Eddi,

      ja, stimmt. Gut erkannt, das ist nur für die normale UDM.

      Der Delete ‚xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1‘ entfernt einfach immer die Regel an erster Position. Die normale UDM hat nur ein Interface, deshalb reicht dieser Befehl.
      Wenn du dem noch einen weiteren Befehle ‚xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2‘ vorneran stellst, dann entfernt er bei der UDM Pro beide Einträge.
      Beachte die Reihenfolge, erst den 2. dann den 1.
      Denn wenn du den 1. zuerst löschst ist der ehemalige 2. der neue 1. Eintrag :P
      Was dazu führt, dass mein Script bei der 2. Ausführung auch bei der Pro die 2. Regel raushauen würde, weil er immernoch einen Eintrag erkennt und den dann entfernt. Ist aber natürlich unschöner – müsste aber zufällig klappen.

  12. Eddi sagt:

    Hallo Tobi,

    vielen Dank…damit hast du mir schon weitergeholfen. :)

    Oben bei deinem Komentar von gestern hast du noch erwähnt, dass die Dateinamen ersetzt werden müssen beim neuen Script. Ich habe jedoch keine stelle im Quellcode gefunden wo man einen Dateinamen angleichen muss? Kannst du mir dabei noch weiterhelfen?

    Und kann man das NAT dauerhaft wieder aktivieren wenn es mal deaktiviert war? Wenn ja wie?
    Frage nur so viel weil ich demnächst das NAT bei meiner UDM deaktivieren werde/muss.
    Will dass der Script ordentlich durchläuft. :)

    • Tobi sagt:

      Kein Problem, Eddi.
      Schau mal in die dritt-letzte Zeile. Dort wo der cronjob angelegt wird, wenn er nicht vorhanden ist.
      Das gesamte Script heißt bei mir delete-nat.sh
      Darauf beruft sich dieser cronjob eben genau, um dieses Script dann auch auszuführen. Benenne in Script also auch einfach delete-nat.sh oder bedenke es dort anzupassen.

      Zu deinem bedenken bezüglich rollback, dass das nat wieder ginge, diese sind unbegründet. Du kämpft eigentlich non-stop dagegen an, ddass die udm die Regel nicht wieder rein nimmt. Das macht sie nämlich bei jedem Neustart und jeder Änderung am Regelwerk oder dergleichen direkt im Betrieb wieder. (deshalb der cronjob, der alle 15min prüft, ob nat weiterhin deaktiviert ist)
      In dem Moment wo du das Script deaktivierst ist spätestens nach einem Neustart alles wieder beim alten!

  13. HillsboroRed sagt:

    Thank you very much Tobi and Tobi!

    I am using a UDM Pro behind a Peplink Balance 20X. I expanded the script to deactivate NAT on both WAN ports, but then devices reaching out to the Internet were not working for me. For me, the solution ended up being configuration in the UDM Pro.

    Settings > Services > DHCP > DHCP Relay
    and then add the IP address of the Peplink as a DHCP server.

    • HillsboroRed sagt:

      NOPE! My fault. The change above seems to do nothing useful except re-enable the NAT until the next time the script runs. Once the script runs, the UDM Pro can reach the Internet, but devices connected to the UDM Pro cannot. There is some kind of additional routing issue, perhaps something that I have introduced.

  14. Rainer sagt:

    Hallo Tobi,
    ich versuche Deine tolle Anleitung zur Umgehung des doppelten NAT umzusetzen und eigentlich klappt auch alles soweit, bis auf die statische Route in der FB. Meine UDM-Pro hat auf WAN 1 eine IP (78.94.248.xxx), welche vom Provider Vodafone vorgegeben wurde und die kann ich als Gateway nicht eintragen.
    Was läuft hier falsch?

    • Tobi sagt:

      Moment, da muss ich genauer nachfragen. In meinem Artikel ist es ja so, dass das NAT an der FRITZ!Box weiter zum Einsatz kommt und an der UDM-Pro deaktiviert wird. In diesem Fall müsstest du auf der UDM-Pro eine RFC 1918 Adresse haben.

      Oder hast du evtl. eine FRITZ!Box 6591 von Vodafone mit einem externen /30 Subnetz?

    • Marcus sagt:

      Er hat eine öffentliche IP, daher läuft die Fritzbox im Bridge Mode (Buissenes Tarif) und die UDM Pro bekommt diese.
      Damit wird das NAT der Fritzbox umgangen und er hat kein doppeltes NAT.
      Jetzt noch in der UDM das NAT deaktiviert und nix geht mehr.

    • Tobi sagt:

      Irgendwie bin ich verwirrt. Wenn du an der UDM-Pro eine öffentliche IP vom Provider hast, dann hast du doch sowieso kein doppeltes NAT!? Warum möchtest du es dann deaktivieren?
      Bzw. generell gefragt, was möchtest du erreichen?

    • Rainer sagt:

      Hallo Tobi und Marcus,
      lieben Dank für Eure schnelle Rückmeldung, welche ich leider nicht gleich mitbekommen habe.
      Ja, ich habe von (mittlerweile) Vodafone den 1000er Business Anschluß, für welchen lt. Internet und lt. Vodafone kein Bridge Modus geht. Deshalb habe ich die Box auf Port 2 in den Exposed Host geschaltet und lt. Vodafone die zwei IP-Adressen hinterlegt, einmal in der Fritz und einmal in der UDM.
      Zuerst war mein Zugang grützelangsam, hat sich aber nach einem Tag und Neustart der UDM gefangen. Nun habe ich Ping von 12-18 und bis zu 930 Mbits Down.
      Wie Marcus schon sagt, ging nach der Abschaltung des NAT in der UDM nix mehr. Ist das dann sicher, dass meine Fritz kein NAT hat oder wie kann ich das prüfen?

    • Tobi sagt:

      Danke für die weiteren Infos. Ja in diesem speziellen Fall sollte das NAT an der FRITZ!Box deaktiviert sein. Bei anderen Providern oder FRITZ!Boxen ohne angepasste Software kommt bei Verwendung der „Exposed-Host“-Funktion weiterhin double NAT zum Einsatz.
      Verifizieren kannst du das ganz einfach, indem du mit einem Gerät, welches hinter der UDM-Pro hängt, die Webseite https://www.whatismyip.com besuchst. Wird dort die gleiche IP angezeigt, welche in der UDM-Pro konfiguriert wurde, dann passt es. Andernfalls taucht dort die IP der FRITZ!Box auf. Alternativ kannst du auch einen Paketmitschnitt auf der UDM-Pro machen, was aber ein wenig Erfahrung erfordert.

      Die statische Route aus meinem Artikel brauchst du in deinem Fall dann auch nicht. Aus dem lokalen Netz der FRITZ!Box lässt sich nicht direkt auf das lokale Netz der UDM-Pro zugreifen. Umgekehrt funktioniert es auch nicht.

    • Rainer sagt:

      Hallo Tobi, nochmals danke für Deine schnelle und ausführliche Antwort.
      Ja, ich bekomme die UDM-Pro IP-Adresse, das ist mir selbst noch nicht aufgefallen.
      Darf ich Dich noch Fragen: Wie komme ich aus dem internen Netz auf die Fritzbox?
      Ich las diese bisher über meine Smarthome-Steuerung aus und kann das aktuell nicht mehr. Kann ich das über die WAN-Verbindung routen oder benötige ich einen zweiten Zugang zur FB (norm.Switchport zu FB Port, z.B. 3)?

    • Tobi sagt:

      Du könntest entweder direkt via Internet auf die FRITZ!Box zugreifen (das Benötigte muss dann natürlich via Portforwarding freigegeben werden) oder besser, du stellst eine zweite Verbindung zwischen FRITZ!Box und UDM-Pro her. Hier kannst du wie beschreiben z.B. Port 3 nutzen. Dieser Link sollte dir bei der Konfiguration helfen: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische-IP-Route-in-FRITZ-Box-einrichten/

  15. Toni sagt:

    Moin,

    danke für dein TUT, sehr verständlich aber ich habe da noch eine Frage.

    Meine Konfig: ISP->FB7590->UDM-Pro->Cam

    Ich habe bis jetz keine spürbaren Probleme trotz des aktiven NAT’s.
    Mich macht es jedoch kirre nicht auf meine CAMs Zugriff zu haben in dem UI-Netzwerk per FB-VPN.
    Wenn ich das richtig verstehe benötige ich eigentlich nur den letzten „Optional: Firewall-Regel in der UDM-PRO“ Punkt um über einen VPN-Zugang (FB-Benutzer) der FB und der WAN-Eingehend Regel in der UDM-Pro mit der Zulassung dessen IP, Zugriff zu bekommen?

    Grüße

    • Toni sagt:

      Moin,

      das funktioniert leider nicht, komme nicht einmal auf die UDM-P trotz der sichtbaren Adresse dessen auf der FB7590.

      Mal zur Konfig:
      FB-Netz: 192.168.188.0/24
      VPN in FB Netz: 192.168.188.201/24
      UDM-P (WAN1-Port) in FB Netz: 192.168.188.35/24 an Port 5 (WAN als LAN5 eingestellt)

      UDM-P-Netz: 192.168.1.0/24
      UDM-P: 192.168.1.1/24
      CAM: 192.168.1.116/24

      Regel in UDM-P:
      WAN-Eingehend
      -Aktionen akzeptieren
      -Protokolle alle
      -Quelle VPN-IP 192.168.188.201
      -Ziel Netzwerk Lan (192.168.1.0/24) Typ IPv4 Subnetz

      Habe ich etwas übersehen oder vergessen oder denke ich falsch?

      Grüße

    • Tobi sagt:

      Die statische Route in der FRITZ!Box wird natürlich auch benötigt. Hast du diese eingerichtet?

    • Toni sagt:

      Ich habe es mal mit einer reinen Portweiterleitung probiert, dies funktioniert ohne NAT abschalten wunderbar.
      Nachdem ich die Portweiterleitungen wieder gelöscht habe und die statische Route in der FB eingetragen sowie die WAN-Eingehend Regel angelegt habe, komme ich auch ohne Probleme auf meine Geräte hinter der UDM.
      Danke für den Hinweis.

      Noch zu bewältigen wäre der Zugiff auf die UDM-Pro selbst.
      Weder über die FB-IP noch über die eigene UDM-Pro-IP, ist diese zu erreichen.
      Muss man dazu noch etwas Einstellen/Freischalten?

    • Tobi sagt:

      Hey Toni,

      eine ursprüngliche Frage die mir gleich in den Sinn kam war, weshalb du deine VPN-Verbindung zur Fritzbox und nicht zur UDM terminieren lässt.
      Dein letztes beschriebenes Problem hier könnte eventuell auch daran liegen. Wenn du die VPN-Verbindung weiterhin zur Fritzbox selbst aufbauen möchtest, so muss dir klar sein, dass auch das Netz der Fritzbox aus Sicht der UDM im WAN liegt – also alle eingehenden Firewallregeln aus dem aus Sicht der UDM bösen Internet kommen. Auch wenn du dich schon auf der Fritzbox befindest, denn du hast nun mit der VPN Verbindung eine IP aus dem Fritzbox-Netz (da du diese dorthin, anstatt zur UDM aufbaust wie ich das verstanden habe).

      Lange Rede kurzer Sinn:
      Meine Empfehlung wäre die VPN-Verbindung direkt zur UDM aufzubauen, dann bist du wirklich IN deinem Netz.
      Oder du checkst mal die Firewall-Regeln auf der UDM. Du müsstest die von dir gewollte Verbindung mit Quelle „Fritzbox-VPN-Netz“ eingehend in das UDM WAN Interface erlauben.
      -> So habe ich dein Problem und deinen Aufbau jedenfalls verstanden :)

    • Tobi sagt:

      Nachtrag:

      Uuups… jetzt habe ich erst deinen Post davor gesehen – du hast das ja bereits alles berücksichtigt :-)
      Meine Frage bzgl VPN, warum dieser zur Fritzbox und nicht zur UDM terminiert, bliebe allerdings.

      Wenn ich deinen Post so auswerte, könnte der Zugriff auf die UDM deshalb nicht funktionieren, weil sie vermutlich mit ihrer WAN-IP (192.168.188.35/24) angesprochen wird, wenn es um keinen Transit-Verkehr geht, sondern du direkt auf diese möchtest.
      In deinem Post gilt deine Regel eingehend allerdings immer nur wenn man auf das UDM LAN zugreift (192.168.1.0/24).

  16. Stefan sagt:

    Hallo Zusammen,

    ich habe mir das neue Script angesehen und für die UDM-Pro angepasst. An sich funktioniert alles, nur löscht der die einzelenen Subnetze/ VLAns auch nur einzeln raus. D.h. das Script muss 11 Mal laufen, bis alle Source NAT Einträge entfernt sind.
    Hat jemand eine DIee, wie ich das noch weiter anpassen kann?

    Muss aber auch dazu sagen, dass ich jetzt das Script deaktiviert habe, da es Probleme machte mit der Bandbreite. Soblad das Script einlal lief und dabei ist es egal, ob noch SNAT Einträge vorhanden sind oder nicht, lag der Speed Test bei nur 20 bis 30 Mbit anstatt die Vollen 220Mbit.
    Verstehen tu ich das nicht aber es ist irgend ein Zusammenhang.

  17. Stefan Bertram sagt:

    NACHTRAG:
    Wegen der „Exposed Host“ Funktion hatte ich bei AVM Nachgefragt, die sagen, das Doppelte NAT wäre dann inaktiv für diesen Port.

    • Stefan Bertram sagt:

      Hallo Tobi,

      die 11 Einträge sind für das Interface 8.
      Pro Ausführung des Scripts wurde bei mir immer noch ein VLAN entfernt, anstatt alle 11 VLANs für SNAT zu entfernen.
      In einem Ubiquiti Forum habe ich gestern gelesen, man könnte mit dem Parameter -F arbeiten anstatt mit -D, dann wären alle auf einem entfernt aber ich hatte gestern ehrlich geasagt keine Lust mehr das zu testen.

      Gruß
      Stefan

    • Tobi sagt:

      Nein das stimmt nicht. Ein Exposed Host ist einfach nur eine Portfreigabe für alle Ports, mehr nicht. D.h. alles wird via NAT an eine lokale IP weitergeleitet.

      Doppeltes NAT wäre nur im Bridge Modus inaktiv, bei dem das WAN direkt an einem Port durchgeleitet wird. Dies bietet AVM aber schon sehr lange nicht mehr offiziell an. Lediglich bei den FRITZ!Boxen mit Vodafone-Firmware wird das noch angeboten, siehe die Kommentare von Rainer.

    • Stefan Bertram sagt:

      Kann dir nur sagen, was der AVM Support zu mir gesagt hat.

      ich nutze die Funktion auch nicht.

    • Tobi sagt:

      Ich stimme Tobi ebenfalls zu und widerspreche dem AVM Support hier. Da hat der Mitarbeiter Quatsch erzählt. Sieht man auch im Traffic-Mitschnitt.

      Exposed-Host ist einfach eine durchgängige Freigabe aller Ports für dieses Gerät.
      Würde hier plötzlich kein NAT mehr erfolgen, so könnten Verbindungen von dem Gerät ja gar nicht mehr ohne weiteren Konfigurationsaufwand ins WAN betrieben werden.

  18. Matthias sagt:

    Hallo Tobi,

    guter Blog- Artikel. Danke !
    Habe es so bei meiner UDM-Pro implementiert und funktioniert fast perfect.
    Alle 15 Minuten wenn der Cron Job laeuft habe ich Probleme mit ‚Teams‘ Konferenzen.
    Teams meetings werden unterbrochen und muessen sich neu verbinden… und dass 4 mal in der Stunde ;)
    Lasse den Cron job jetzt einmal am Tag mitten in der Nacht laufen.

    Cheers,

    • Tobi sagt:

      Hmm das ist seltsam. Wenn die Regeln einmal entfernt wurden, macht das Skript eigentlich nichts mehr. Bei mir gibts keine Probleme.

    • Matthias sagt:

      Hallo Tobi,

      an dem Tag hatter der VPN ‚dial in‘ Router bei mir in der Firma Probleme.
      Kann also daran liegen.
      Habe nun das scrip neu installiert und auch etwas angepasst.
      Wenn ich es jetzt in der Shell ausfuehre bekomme ich folgende Fehlermeldung:
      —–
      # sh delete-nat.sh
      sh: 21:22,: bad number
      #
      —–

      Laut Log funktioniert alles eigentlich… siehe weiter unten.

      Hier mein Script mit einer hinzugefuegten Zeile um beide NAT Eintraege zu entfernen:

      #!/bin/sh

      # Check if Script runs directly after boot. If so, wait for 10 seconds.
      uptimeMinutes=`uptime | awk ‚{print $3}’`
      if [ $uptimeMinutes -lt 5 ]
      then
      logger NAT-Script: Script zum 1. Mal nach Boot ausgefuehrt # log entry to /var/log/messages
      sleep 10
      else
      logger NAT-Script: Script gem. Cron-Job ausgefuehrt # log entry to /var/log/messages
      fi

      # Check if NAT rule is there
      if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null
      then
      xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2 # delete second NAT rule for UDM Pro
      xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1 # delete first NAT rule
      if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null # successful delete?
      then
      logger NAT-Script: NAT-Regel gefunden, Loeschen nicht erfolgreich \(Fehler!\) # log entry to /var/log/messages
      else
      logger NAT-Script: NAT-Regel gefunden und geloescht # log entry to /var/log/messages
      fi
      else
      logger NAT-Script: Keine NAT-Regel vorhanden # log entry to /var/log/messages
      fi

      # Check if cron job exists
      if ls /etc/cron.d/delete-nat > /dev/null 2>&1
      then
      logger NAT-Script: Cron-Job vorhanden # log entry to /var/log/messages
      else
      echo „*/15 * * * * /mnt/data/on_boot.d/delete-nat.sh“ > /etc/cron.d/delete-nat
      logger NAT-Script: Cron-Job nicht vorhanden und erstellt # log entry to /var/log/messages
      fi

      Log Eintraege:
      # grep NAT /var/log/messages
      Jul 11 01:39:12 MSP-HQ user.notice root: NAT-Script: Script gem. Cron-Job ausgefuehrt
      Jul 11 01:39:12 MSP-HQ user.notice root: NAT-Script: NAT-Regel gefunden und geloescht
      Jul 11 01:39:12 MSP-HQ user.notice root: NAT-Script: Cron-Job nicht vorhanden und erstellt
      Jul 11 01:40:36 MSP-HQ user.notice root: NAT-Script: Script gem. Cron-Job ausgefuehrt
      Jul 11 01:40:36 MSP-HQ user.notice root: NAT-Script: Keine NAT-Regel vorhanden
      Jul 11 01:40:36 MSP-HQ user.notice root: NAT-Script: Cron-Job vorhanden
      Jul 11 01:54:57 MSP-HQ user.notice root: NAT-Script: Script gem. Cron-Job ausgefuehrt
      Jul 11 01:54:57 MSP-HQ user.notice root: NAT-Script: NAT-Regel gefunden und geloescht
      Jul 11 01:54:57 MSP-HQ user.notice root: NAT-Script: Cron-Job vorhanden
      #

    • Tobi sagt:

      Nimm das Skript oben aus meinem Artikel. Habe es auch entsprechend angepasst und die Abfragelogik optimiert. Im unoptimierten Fall würden auch von Hand hinzugefügte NAT-Regel gelöscht werden.

  19. Markus sagt:

    Hallo,
    vielen Dank für die Beschreibung und das aktualisierte Script für die UDM Firmware ab 1.9.3.
    Ich habe dazu eine Frage: Als Laie habe ich nicht verstanden, wo ich das Script aus Tobis Kommentar einbinden soll? Erstelle ich dazu einfach ein neues Script im Ordner /mnt/data/on_boot.d über die Kommandozeile, genau so wie man es für das delete-nat.sh gemacht hat?

    Vielen Dank :)

    • Tobi sagt:

      Hallo Markus, ich habe den Artikel mit einem leicht angepasstem Skript ergänzt. Sollte jetzt klar sein, wie du vorgehen musst. Falls nicht, einfach nochmal fragen.

    • Markus sagt:

      Vielen Dank, Tobi! Damit ist es nun auch für mich klar.

      Ich habe noch eine weiterführende Frage: Ich habe eine Nextcloud auf einer FreeNAS Box installiert, mit einem Reverse Proxy. Nun muss ich für den Zugang darauf Ports freigeben. Bevor ich meine UDM Pro hatte, habe ich das direkt in der FritzBox gemacht und alles lief ohne Probleme.

      Nun steckt ja die UDM Pro mit drin und wenn ich das NAT darin deaktiviere, übernimmt ja die FritzBox dies allein. Nun kann ich aber in der FritzBox nicht mehr die Ports für die IP meines Reverse Proxy anlegen, da die IP Range ja die der UDM Pro ist und nicht die der FritzBox – FB akzeptiert diese IPs logischerweise nicht.

      Jetzt frage ich mich, ob ich für meinen Case nicht eher das NAT in der UDM Pro belassen muss, um dort die Ports weiterzuleiten, und NAT in der Fritz Box deaktivieren muss? Ich finde dazu bei meiner FB allerdings keine Möglichkeit (7581). Einen „Bridge“ Mode gibt es hier scheinbar gar nicht. Weißt du zufällig irgendwas darüber?

    • Tobi sagt:

      Du bist auf dem richtigen Weg. Du musst die Portfreigabe nach wie vor an der FRITZ!Box machen. Allerdings nicht mit der IP des Reverse Proxys, sondern mit der WAN-IP der Firewall, also der IP aus dem FRITZ!Box-Netz.
      Darüber hinaus benötigst du eine weitere Portweiterleitung auf der UDM-PRO und ebenso eine passende Firewall-Regel unter der Kategorie „WAN eingehend“.

    • Tobi sagt:

      @Markus – hier ein Beispiel wie von Tobi schon erläutert:

      WAN-IP deiner Fritbox: 66.66.66.66
      Transportnetz zw. Fritzbox & UDM: 10.10.10.0/30
      WAN-IP deiner UDM: 10.10.10.1
      Reverseproxy IP: 10.10.50.50/24
      Angebotener Dienst am RevProxy auf bspw. TCP Port: 444

      Rufst du nun den Dienst auf 66.66.66.66:444 auf um dorthin zu gelangen müsste eine Portweiterleitung auf der Fritzbox für Port 444 zur 10.10.10.1 eingerichtet werden.
      Auf der UDM brauchst du die eingehende Firewall-Regel die das zunächst einmal zulässt. Außerdem brauchst du dann dort die Weiterleitung von TCP Port 444 auf 10.10.50.50.

      So sollte es klappen.

      Tobi hatte es ja schon genau so erläutert, wollte es nur mit einem Beispiel etwas greifbar für dich machen.

    • Markus sagt:

      Erst einmal vielen Dank an Tobi & Tobi für die Erklärung. Mit dem Beispiel bekomme ich es bestimmt hin, versuche mich gleich mal dran!

      Nun habe ich allerdings doch noch ein Problem beim Einfügen des Scripts. Sorry, ich stelle mich wahrscheinlich total blöd an; aber nach dem „touch /mnt/data/on_boot.d/delete-nat.sh“ Befehl, copy & paste ich einfach den kompletten Script-Block in die Kommandozeile? Oder muss ich das Zeile für Zeile machen? Wenn ich es komplett einfüge, werden scheinbar irgendwelche Befehle dort erkannt und mir werden Listenweise Befehle ausgegeben …

      Danach ist es auch so, dass das Script nicht zu funktionieren scheint, denn wenn ich testweise eine Port-Weiterleitung anlege sind die NAT-Einträge sofort wieder da.

      Danke nochmal für eure Hilfe.

    • Tobi sagt:

      Der touch erstellt dir nur eine leere Datei.

      Gehe danach mit
      nano /mnt/data/on_boot.d/delete-nat.sh
      in die Datei. Du öffnest sozusagen den Befehlszeilen Editor „nano“ auf diese Datei hin.
      Dort fügst du dann den Inhalt (also die ganzen Skript-Zeilen) ein.
      Das dann speichern und einfach nochmal mit dem gleichen Befehl im Nachgang reingucken, ob auch alles drin ist.

      Sobald du das Skript ausführbar gemacht hast (einfach Tobis Anleitung weiter folgen), kannst du testen ob es funktioniert, in dem du dir vorher mal die Nat-Regeln anzeigen lässt (dort sollte die Regel dann ja noch vorhanden sein) und dann das Skript mal händisch ausführst (einfach ‚/mnt/data/on_boot.d/delete-nat.sh‘ eingeben und ENTER) und dann schaust ob zum einen Fehlermeldungen kommen und zum Anderen, ob die NAT-Regel auch nun weg ist.
      Wie weiter oben beschrieben kannst du auch über ‚grep NAT /var/log/messages‘ die Logs checken, da das Skript recht gesprächig in die Logs schreibt.

    • Markus sagt:

      Ah! Vielen Dank. nano kenne ich, aber ich habe immer eine „command not found“ bekommen … habe jetzt verstanden, dass ich nano erstmal installieren muss:

      # unifi-os shell
      # apt update
      # apt install nano

      um dann (nach wie vor im shell) nano auf der Datei ausführen zu können. Was gelernt!

    • Markus sagt:

      Mhmpf, jetzt komme ich trotzdem nicht weiter; ich kann nano jetzt zwar im shell ausführen, darüber komme ich aber nicht in das /mnt/data/on_boot.d Verzeichnet. Und in root kann ich nano nicht ausführen. Mhm!

    • Tobi sagt:

      Du bist in der falschen Umgebung :-)
      Nicht zuvor unifi-os shell eingeben.

      Verbinde dich per SSH und dann bist du bereits richtig.
      Dann mache ein ‚cd /mnt/data/on_boot.d/‘. Wenn das klappt, bist du schonmal im richtigen Verzeichnis.
      Dort mal ein kurzes ‚ls -l‘ machen, dann siehst du, ob dein Script schon da ist.
      Wenn du darüber lokalisiert hast, dass du in der richtigen Umgebung bist, dann kannst du nochmal loslegen!

    • Markus sagt:

      Aber ich kann nano nur im Shell installieren, wenn ich es auf root ebene ausführe passiert folgenddes:

      # cd /mnt/data/on_boot.d/
      # ls -l
      total 0
      -rw-r–r– 1 root root 0 Jul 7 11:06 delete-nat.sh
      # nano delete-nat.sh
      -sh: nano: not found

      nano ist dort also gar nicht verfügbar, das heißt ich komme nicht in die Datei …

    • Tobi sagt:

      Oh, das hatte ich nicht auf dem Schirm! Dann nutze ‚vi‘, das ist ein anderer Editor. Habe gerade nachgesehen, der ist vorhanden.
      Bevor du in den Unweiten der Steuerung dieses Editors verloren gehst google kurz wie du dort eine Eingabe machst und speicherst und wieder rauskommst aus dem Editor – der ist für Nicht-Unixler etwas ungewohnt.

    • Markus sagt:

      VI habe ich grad versucht, damit komme ich rein, habe jetzt alles eingefügt und gespeichert. Ich kann das Script jetzt auch ausführen und die NAT-Regeln werden gelöscht. Sobald ich eine Port-Weiterleitung testweise einrichte, sind sie aber nach wie vor sofort wieder da :( In die Logs wird auch nichts geschrieben …

  20. Markus sagt:

    Ok, es scheint nun doch zu funktionieren, ich habe den Punkt überlesen, dass das Script ja „nur“ alle 15 Minuten ausgeführt wird und nicht instantan. Dementsprechend ist das NAT nach einer Änderung natürlich noch eine Weile drin. Vielen Dank euch!
    Jetzt mache ich mich mal an das Forwarding zu meinem Reverse Proxy … :D

    • Markus sagt:

      So, nun noch einmal zum Reverse-Proxy Thema.

      Ich habe nun in der FritzBox eine Port-Freigabe eingerichtet für die IP, die die UDM-Pro von der FritzBox erhalten hat (als Beispiel: 192.168.178.01) auf Port 443.

      In der UDM Pro habe ich nun eine Port Weiterleitung von 443 auf die IP des Reverse Proxy angelegt (bspws. 10.0.0.99). Von „überall“ ist korrekt, oder muss ich das auf die IP der FritzBox (also dann 192.168.178.1) beschränken?

      Jedenfalls wird mir der Port nun auch als offen angezeigt, wie ich über ein Online-Tool überprüft habe. Soweit so gut.

      Nun scheitere ich bei der Firewall-Regel. Was genau muss ich da erlauben? Tobi, du hast ja geschrieben:

      „Rufst du nun den Dienst auf 66.66.66.66:444 auf um dorthin zu gelangen müsste eine Portweiterleitung auf der Fritzbox für Port 444 zur 10.10.10.1 eingerichtet werden.
      Auf der UDM brauchst du die eingehende Firewall-Regel die das zunächst einmal zulässt“

      Ich verstehe nicht ganz, was ich hier nun in der Regel bei Source und Destination eintragen muss.

    • Tobi sagt:

      Nein du müsst „überall“ aktiv lassen, denn die UDM-PRO sieht die externe IP-Adresse des Geräts, welches zugreifen möchte. Außer du hättest eine feste externe IP bzw. IP-Range die du freigeben möchtest. Für Smartphones etc. trifft das aber nicht zu und du musst „überall“ aktiv lassen.

      Bei der Firewall-Regel habe ich gerade gesehen, dass durch das Port-Forwarding automatisch eine entsprechende Firewall-Regel erstellt wird. Hier musst du also gar nichts mehr von Hand hinzufügen.

    • Markus sagt:

      Juhu! Jetzt klappt alles. Vielen vielen Dank für eure Geduld und die Hilfe!

  21. Wolfgang sagt:

    Hallo Tobi,

    zunächst großes Lob für Deine Mühe und Deine Hilfsbereitschaft, das ist nicht immer selbstverständlich.
    Ich konnte Deine Anleitung umsetzen, vieles klappt auch schon richtig gut. Jedoch: ich hatte an der FritzBox die 4 DVB-C Tuner genutzt, um diese über TV-Headend anzusprechen. Nun ist ja nach dem Unstellung dir Fritte in einem anderen Netz (bei mir 192.168.178.1) und mein TV Headend auf meinem Synology NAS unter 192.168.17.6. Gibt es überhaupt eine Möglichkeit, die Fritzbox Tuner noch zu nutzen?

    Danke und Gruß
    Wolfgang

    • Tobi sagt:

      Hallo Wolfgang,
      danke für Dein Lob :)
      Wenn du alles nach Anleitung eingerichtet hast, müsstest du von deinem NAS mit 192.168.17.6 ohne Probleme auf die FRITZ!Box zugreifen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.