Ubiquiti UniFi Dream Machine Pro (UDM-PRO) – NAT deaktivieren
Die Ubiquiti UniFi Dream Machine Pro (UDM-PRO) bietet ein gutes Preis-Leistungs-Verhältnis, weshalb sie oft im Privatgebrauch oder in kleinen Firmen zum Einsatz kommt. Idealerweise wird das Gerät direkt oder über ein Modem mit dem Internet verbunden. Hierfür stehen an der UDM-Pro die beiden WAN-Ports 9 (RJ45) und 10 (SFP) zur Verfügung. Auf beiden Ports ist die Network Address Translation (NAT) standardmäßig aktiviert. Innerhalb der Konfigurationsoberfläche besteht keine Möglichkeit NAT zu deaktivieren.
Falls die UDM-PRO unter bestimmten Voraussetzungen hinter einem Router, z.B. einer FRITZ!Box betrieben werden muss, dann hat man zwangsweise den Nachteil von doppeltem NAT. In vielen Fällen kann dieses Setup ohne weitere Einschränkungen genutzt werden. Doppeltes NAT führt aber oftmals bei Onlinespielen, Xbox, PlayStation und Co zu Problemen. Diese Probleme können jedoch behoben werden, indem die UDM-PRO in der FRITZ!Box als „Exposed Host“ konfiguriert wird. Das doppelte NAT ist dann aber trotzdem noch vorhanden.
Lange Rede kurzer Sinn: In diesem Artikel möchte ich euch zeigen, wie ihr NAT auf den WAN-Ports der UDM-Pro deaktivieren könnt.
SSH aktivieren und verbinden
Zunächst müsst ihr den SSH-Zugang aktivieren und ein Passwort setzen. Dies erfolgt über die Einstellungen der UDM-PRO unter dem Punkt „Adcanced“.
Anschließend könnt ihr euch z.B. mit PuTTY via SSH auf die UDM-PRO verbinden. Der Username ist „root“.
Mit folgendem Befehl können wir die aktuelle NAT-Konfiguration einsehen:
xtables-multi iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK -v --line-numberStandardmäßig sieht die NAT-Konfiguration folgendermaßen aus:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- any eth8 anywhere anywhere /* 00000001095327760591 */
2 0 0 MASQUERADE all -- any eth9 anywhere anywhere /* 00000001095327760592 */Hier ist ersichtlich, dass auf Port 9 (eth8) und Port 10 (eth9) NAT aktiviert ist.
„UDM / UDMPro Boot Script“ installieren
Voraussetzung für das Deaktivieren von NAT ist das „UDM / UDMPro Boot Script„, welches auch nach einem Neustart oder Firmwareupdate bestehen bleibt.
Für die Installation muss zunächst mit folgendem Befehl in die UnifiOS Shell gewechselt werden.
unifi-os shellAnschließend wird das Boot Script heruntergeladen und installiert. Am Schluss muss die UnifiOS Shell verlassen werden.
curl -L https://udm-boot.boostchicken.dev -o udm-boot_1.0.5_all.deb
dpkg -i udm-boot_1.0.5_all.deb
exitNAT deaktivieren
Jetzt könnt ihr eigene Shell Scripte in „/mnt/data/on_boot.d“ hinterlegen, die bei jedem UDM-PRO Start bzw. Reboot ausgeführt werden.
cd /mnt/data/on_boot.dDort erstellt ihr euer Skript zur Deaktivierung von NAT:
touch /mnt/data/on_boot.d/delete-nat.shDas Skript bekommt folgenden Inhalt:
#!/bin/sh
# Check if script runs directly after boot. If so, wait for 10 seconds.
uptimeMinutes=`cat /proc/uptime | awk '{print $1}'`
if [ ${uptimeMinutes::-3} -lt 300 ]
then
logger NAT-Script: Script zum 1. Mal nach Boot ausgefuehrt
sleep 10
else
logger NAT-Script: Script via Cron-Job ausgefuehrt
fi
# Check if default NAT rules exist
if iptables -t nat -S UBIOS_POSTROUTING_USER_HOOK | grep -e "UBIOS_POSTROUTING_USER_HOOK -o eth8 -m comment --comment 00" -e "UBIOS_POSTROUTING_USER_HOOK -o eth9 -m comment --comment 00" > /dev/null
then
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1
if iptables -t nat -S UBIOS_POSTROUTING_USER_HOOK | grep -e "UBIOS_POSTROUTING_USER_HOOK -o eth8 -m comment --comment 00" -e "UBIOS_POSTROUTING_USER_HOOK -o eth9 -m comment --comment 00" > /dev/null
then
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1
if iptables -t nat -S UBIOS_POSTROUTING_USER_HOOK | grep -e "UBIOS_POSTROUTING_USER_HOOK -o eth8 -m comment --comment 00" -e "UBIOS_POSTROUTING_USER_HOOK -o eth9 -m comment --comment 00" > /dev/null
then
logger NAT-Script: NAT-Regel gefunden, Loeschen nicht erfolgreich \(Fehler!\)
else
logger NAT-Script: NAT-Regel gefunden und geloescht
fi
else
logger NAT-Script: NAT-Regel gefunden und geloescht
fi
else
logger NAT-Script: Keine NAT-Regel vorhanden
fi
# Check if cron job exists
if ls /etc/cron.d/delete-nat > /dev/null 2>&1
then
logger NAT-Script: Cron-Job vorhanden
else
echo "*/15 * * * * /mnt/data/on_boot.d/delete-nat.sh" > /etc/cron.d/delete-nat
logger NAT-Script: Cron-Job nicht vorhanden und erstellt
/etc/init.d/crond restart
fiEs überprüft, ob die standardmäßig gesetzten NAT-Regeln vorhanden sind und entfernt diese. Außerdem wird ein rudimentäres Logging geboten.
Bei jeder Änderung im Routing oder in den Firewall-Regeln der UDM-PRO werden die beiden NAT-Policies wiederhergestellt. Aus diesem Grund wird ein Cronjob erstellt, welcher dafür sorgt, dass das Skript alle 15 Minuten ausgeführt wird. Somit wird sichergestellt, dass die Standard-NAT-Regeln wieder entfernt werden, sofern diese automatisch generiert werden.
Das Skript muss anschließend noch ausführbar gemacht werden:
chmod +x delete-nat.shBei Bedarf könnt ihr das Skript direkt starten und prüfen, ob es funktioniert.
sh delete-nat.shEine Überprüfung mit
xtables-multi iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK -v --line-numberzeigt, dass beide NAT-Regeln entfernt wurden:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destinationDas Logging des Skripts könnt ihr folgendermaßen einsehen:
grep NAT /var/log/messagesStatische Route in der FRITZ!Box
Standardmäßig ist das FRITZ!Box Subnetz 192.168.178.0/24 und das Netz der UDM-PRO 192.168.1.0/24.
Damit Clients aus dem UDM-PRO-Subnetz auf das Internet oder die FRITZ!Box zugreifen können, wird noch eine statische Route auf der FRITZ!Box benötigt.
Diese könnt ihr unter „Heimnetz –> Netzwerke –> Netzwerkeinstellungen“ anlegen. Dazu ganz nach unten scrollen und auf den Button „IPv4-Routen“ klicken (siehe Bild).
Dort erstellt ihr eine neue Route und gebt folgende Daten ein:
- Netzwerk: das Netz der UDM-PRO, standardmäßig 192.168.1.0
- Subnetzmaske: die Subnetzmaske des vorher eingetragenen Netzes, standardmäßig 255.255.255.0
- Gateway: die Adresse der UDM-PRO im FRITZ!Box Subnetz, diese kann unter „Heimnetzwerk“ in Erfahrung gebracht werden
Mit Klick auf „Übernehmen“ ist dieser Schritt erledigt.
Optional: Firewall-Regel in der UDM-PRO
Dieser Schritt ist nur notwendig, wenn ihr vom Subnetz der FRITZ!Box auf ein Subnetz „hinter“ der UniFi Dream Machine Pro zugreifen möchtet. Anders herum funktioniert es ohne weitere Konfiguration.
Die Kommunikation wird nämlich noch durch die Firewall der UDM-PRO blockiert. Um dies zu ändern, muss eine neue Regel erstellt werden. Zunächst muss der UniFi Network Controller auf der UDM-PRO geöffnet werden. Anschließend unter „Einstellungen –> Security –> Internet Threat Management –> Firewall“ auf den Button „Create new Rule“ klicken.
Exemplarisch habe ich jeglichen Traffic aus dem Subnetz der FRITZ!Box freigegeben. Sofern möglich solltet ihr die Freigabe jedoch spezifischer gestalten, z.B. auf einzelne IP-Adressen einschränken und nicht ganze Subnetze freigeben.
Hallo Thomas,
Danke für den tollen Blog.
Ich selbst nutze aktuell noch das USG hinter eine Fritz.Box.
Will aber eigentlich auf die UDM-Pro wechseln, aber das Doppelte NAT ist echt ein Problem.
Du schreibst, bei jeder FR Regel die geändert oder neuerstellt wird, werden die NAT Regeln wieder neuerstellt?
Das wäre ja Mist, wenn man jedes Mal das Script wieder ausführen müsste.
Bitte sage mir, dass ich das Falsch verstehe ;-)
Gruß Stefan
Hallo Stefan, nein das ist leider so. Ja ist echt Mist :(
Allerdings ist das nur in der Anfangszeit ein Problem, während man die UDM-Pro einrichtet. Danach werden die Firewall-Regeln ja nicht mehr täglich angepasst, zumindest bei mir.
Eventuell existiert noch eine Methode, um das Skript automatisch nach Änderungen in der Firewall zu triggern. Ich bleibe auf jeden Fall dran an diesem Thema.
Hallo Tobi,
sorry für das Thomas. War gestern wohl doch zu spät ;-)
Danke für deine schnelle Rückmeldung. Wäre super, wenn du auch an dem Thema dran bleibst.
Darf ich dich noch was anderes fragen?
1. Gibt es eine Möglichkeit die Backup Config vom CloudKey G2 zu übertragen, so dass ich nicht alle neuerstellen muss?
2. Hast du Erfahrungen mit Entertain und der UDM-Pro?
Gruß
Stefan
Kein Problem, hatte ich bis eben gar nicht bemerkt ;-)
1. Müsste laut UniFi so klappen: https://help.ui.com/hc/en-us/articles/360008976393 Selber kann ich dazu nichts sagen, da ich keinen CloudKey besitze.
2. Nein leider nicht. Ubiquiti ist bei neuen Features auch immer recht langsam und äußert sich auch sehr wenig. Folgendes habe ich noch gefunden, wobei das natürlich nur eine Notlösung wäre:
https://ubiquiti-networks-forum.de/board/thread/690-udm-pro-und-magentatv-iptv/
https://community.ui.com/questions/UDM-Pro-Switch-Pro-POE-IPTV-magentaTV/42c55ea2-cfac-4b2f-9d93-2396e78a3b1e?page=3
Hi Tobi,
habe die UDM-Pro hier und echt entäuscht.
Kann meine Config nicht umziehen, da FW 1.8.6 der UDM nur den Netzwerk Controller 6.0.43 hat. der CK2+ hat bereits 6.0.45 mit der FW 2.0.27.
Ein Downgrade ist scheinbar auch nicht so einfach…
Nicht mal der Support kann mir eine Lösung anbieten. Kann mir nicht mal sagen, wann ein neuer FW relase kommt… Glaube ich bleibe bei der alten FW und verzichte auf dem UDM.
Ich danke dir Vielmals für deine Hilfe, die war echt Super!
Ja das ist das große Problem bei Ubiquiti. Allerdings ist das Preis-Leistungs-Verhätlnis echt top, da kann man ein paar Dinge verschmerzen, aber nicht alles ;-)
Versuch mal die neue 1.9.2, vielleichts klappts ja damit.
https://community.ui.com/releases/UniFi-Dream-Machine-Firmware-1-9-2/48f39402-bb51-4cc7-9a42-83e298289ec6
Funktioniert das ganze auch mit der „normalen“ Dream-Machine?
Und wie setzt man die NAT-Config wieder auf Default zurück?
Danke!
Für die normale UDM sollte es bei der neuesten Firmware 1.8.6 genauso funktionieren.
Default wird automatisch gesetzt, sobald etwas an den Firewallregeln geändert wird.
Hey Tobi. Danke für den Beitrag, der mich erstmalig darauf gebracht hat, das SNAT auszuschalten. Sehr gut!
Ich wollte es bei meiner vorhandenen USG so einrichten, aber die Chains der IPTABLES hießen anders. Nach etwas googlen bin ich dann auf das hier gestoßen, welche einfacher zu konfigurieren ist und sogar persistent bleibt, auch wenn man selbst später etwas an Firewallregeln ändert: https://www.matthewschacherbauer.com/wp/guides/ubiquiti-unifi-security-gateway-disable-nat/
Von UniFi ist das mit der json Datei auch explizit erklärt: https://help.ui.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json
Hat es einen Grund, dass du hier die komplexere Methode gewählt hast?
Ciao
Johannes
Hallo Johannes, bei der UDM und UDM-PRO funktioniert „config.gateway.json“ schlicht und ergreifend nicht mehr ;-)
https://community.ui.com/questions/UDM-Pro-Confirm-no-config-gateway-json-allowed-possible/b451feeb-9e67-4cc4-8344-b2c8759c8bd7
Ansonsten hättest du natürlich absolut recht.
Hallo Tobi
„NAT auf den WAN-Ports der UDM-Pro deaktivieren“
Klappt das auch mit einer UDM-Pro hinter meinem Sophos Router/FireWall? Ist vergleichbar mit einer „pfsense“( hatte ich früher ). Kenn mich nicht so aus, möchte aber irgendwann auf Unifi umstellen, da ich bereits Switch und APs im Netzwerk nutze.
Klar das ist unabhängig davon, welcher Router davor verwendet wird.
Evtl. wäre es ja auch eine Möglichkeit die Sophos komplett zu entfernen und alles über die UDM-Pro laufen zu lassen?
Hallo Tobi,
danke für die Anleitung funtioniert ! ist aber so das einer Änderung und Neustart alles wieder auf default setzt, ich muss händisch wieder das cd /mnt/data/on_boot.d
sh delete-nat.sh ausfühen ! ? was mache ich falsch ? danke!
Nein das „delete-nat.sh“-Skript wird nach einem Neustart automatisch ausgeführt. Wenn das bei dir nicht der Fall ist einfach nochmal alle Schritte durchführen und schauen ob es jetzt funktioniert. Falls du immer noch Probleme hast am besten bei Github den Entwickler fragen: https://github.com/boostchicken/udm-utilities/tree/master/on-boot-script
hello Tobi & Alfredo,
looks like this doesnt work anymore after the latest UDM pro firmware update
do you mean starting with firmware 1.9.0 or 1.9.3?
Das kann ich leider bestätigen.
Ich habe das Paket auch bereits runter geworfen und neu installiert.
Das Paket udm-onboot erzielt im Moment tatsächlich keinen Effekt mehr.
Es liegt nicht am NAT-Script an sich, sobald das ausgeführt wird ist die Regel weg und man geht auch ungenatted wieder raus.
Leider greift das Boot-Script von boostchicken im Moment jedoch nicht mehr.
In den „Issues“ auf Github auch bereits erwähnt.
Ein Lösung ist mir bislang leider auch noch unbekannt.
Lese ich das richtig, dass das deaktivieren von NAT bei der UDM Pro nicht mehr funktioniert?
Funktioniert es bei der UDM noch?
Würde es demnächst deaktivieren wollen.!?
Ergänzung zu meinem Kommentar:
Udm Boot Script mit Version 1.0.5 läuft dann wieder.
Das Script crashed aber wegen dem nat Script und der Service hängt sich dann auf. Liegt also doch an dem Zusammenspiel dieses nat bash scripts und dem udm boot script, aber nicht (wie von mir anfangs angenommen) daran, dass das udm Boot script selbst nicht mehr läuft. Es crashed nur WEGEN dem nat Script.
Das liegt daran, weil die NAT Regel zu früh versucht wird zu löschen, ich vermute sie existiert in der Sekunde noch nicht.
Morgen baue ich mal einen Delay ein, dann sollte es wieder gehen.
Hier die Lösung in meinem Falle.
Das Script prüft zum Einen, ob es in den ersten 5 Minuten eines Neustartes ausgeführt wurde. Dann wartet es 10 Sekunden bis es die NAT-Regel löscht. Das funktioniert nun zuverlässig.
Darüber hinaus schreibe ich alle Vorgänge in /var/log/messages, was man dann immer einfach über ‚grep NAT /var/log/messages‘ nachvollziehen kann, ob alles funktioniert.
Darüber hinaus hat mich eh schon immer genervt, dass nach einer Anpassung an der UDM die NAT-Regel wieder drin war und ich selbst daran denken musste. Das Script prüft nun jedes Mal auch ob ein Cron-Job für selbiges vorhanden ist und wenn nicht, dann erstellt es diesen.
Alle 15 Minuten wird somit ressourcenschonend kurz gecheckt, ob die NAT-Regel wieder da ist. Wenn ja, dann nimmt er sie direkt wieder raus.
Hier das Script, bei Datei-Namen drauf achten diese anzupassen:
Hi Tobi,
danke für die tolle Arbeit. Habe den Code in deinem Kommentar für eine bessere Lesbarkeit hervorgehoben und werde meinen Artikel anpassen und auf deinen Code verlinken.
Viele Grüße Tobi
Hey Namensvetter!
Ich danke dir für den Blog, hatte mir den Einstieg erleichtert und mir überhaupt erst ermöglicht ein wenig weiter daran zu schreiben. Deine Anleitung ist super strukturiert und hat mir wirklich sehr geholfen, da gibt man gerne etwas zurück!
Viele Grüße Tobi
Danke nochmals für das Skript! Ich habe es ein wenig optimiert (Uptime auslesen sowie Erkennung und Löschung der NAT-Regeln verbessert) und direkt im Artikel eingebaut.
Vielen Dank für die Änderung des Skripts.
Ist der Skript für die UDM oder UDM Pro abgestimmt?
Weil hier wird ja in dem Skript die NAT Regel von einem Port entfernt? :
Bei der UDM Pro müssen ja die Regeln beider Ports (eth8 & eth9) entfernt werden.
Wäre cool wenn du mir den Skript gegebenenfalls auf die UDM anpassen könntest oder deine Gesamtanleitung oben. :)
Bin da leider dann nicht so ganz tief im Skripting drin.
Danke schonmal vorab.
Hi Eddi,
ja, stimmt. Gut erkannt, das ist nur für die normale UDM.
Der Delete ‚xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1‘ entfernt einfach immer die Regel an erster Position. Die normale UDM hat nur ein Interface, deshalb reicht dieser Befehl.
Wenn du dem noch einen weiteren Befehle ‚xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2‘ vorneran stellst, dann entfernt er bei der UDM Pro beide Einträge.
Beachte die Reihenfolge, erst den 2. dann den 1.
Denn wenn du den 1. zuerst löschst ist der ehemalige 2. der neue 1. Eintrag :P
Was dazu führt, dass mein Script bei der 2. Ausführung auch bei der Pro die 2. Regel raushauen würde, weil er immernoch einen Eintrag erkennt und den dann entfernt. Ist aber natürlich unschöner – müsste aber zufällig klappen.
Hallo Tobi,
vielen Dank…damit hast du mir schon weitergeholfen. :)
Oben bei deinem Komentar von gestern hast du noch erwähnt, dass die Dateinamen ersetzt werden müssen beim neuen Script. Ich habe jedoch keine stelle im Quellcode gefunden wo man einen Dateinamen angleichen muss? Kannst du mir dabei noch weiterhelfen?
Und kann man das NAT dauerhaft wieder aktivieren wenn es mal deaktiviert war? Wenn ja wie?
Frage nur so viel weil ich demnächst das NAT bei meiner UDM deaktivieren werde/muss.
Will dass der Script ordentlich durchläuft. :)
Kein Problem, Eddi.
Schau mal in die dritt-letzte Zeile. Dort wo der cronjob angelegt wird, wenn er nicht vorhanden ist.
Das gesamte Script heißt bei mir delete-nat.sh
Darauf beruft sich dieser cronjob eben genau, um dieses Script dann auch auszuführen. Benenne in Script also auch einfach delete-nat.sh oder bedenke es dort anzupassen.
Zu deinem bedenken bezüglich rollback, dass das nat wieder ginge, diese sind unbegründet. Du kämpft eigentlich non-stop dagegen an, ddass die udm die Regel nicht wieder rein nimmt. Das macht sie nämlich bei jedem Neustart und jeder Änderung am Regelwerk oder dergleichen direkt im Betrieb wieder. (deshalb der cronjob, der alle 15min prüft, ob nat weiterhin deaktiviert ist)
In dem Moment wo du das Script deaktivierst ist spätestens nach einem Neustart alles wieder beim alten!
Thank you very much Tobi and Tobi!
I am using a UDM Pro behind a Peplink Balance 20X. I expanded the script to deactivate NAT on both WAN ports, but then devices reaching out to the Internet were not working for me. For me, the solution ended up being configuration in the UDM Pro.
Settings > Services > DHCP > DHCP Relay
and then add the IP address of the Peplink as a DHCP server.
NOPE! My fault. The change above seems to do nothing useful except re-enable the NAT until the next time the script runs. Once the script runs, the UDM Pro can reach the Internet, but devices connected to the UDM Pro cannot. There is some kind of additional routing issue, perhaps something that I have introduced.
Hallo Tobi,
ich versuche Deine tolle Anleitung zur Umgehung des doppelten NAT umzusetzen und eigentlich klappt auch alles soweit, bis auf die statische Route in der FB. Meine UDM-Pro hat auf WAN 1 eine IP (78.94.248.xxx), welche vom Provider Vodafone vorgegeben wurde und die kann ich als Gateway nicht eintragen.
Was läuft hier falsch?
Moment, da muss ich genauer nachfragen. In meinem Artikel ist es ja so, dass das NAT an der FRITZ!Box weiter zum Einsatz kommt und an der UDM-Pro deaktiviert wird. In diesem Fall müsstest du auf der UDM-Pro eine RFC 1918 Adresse haben.
Oder hast du evtl. eine FRITZ!Box 6591 von Vodafone mit einem externen /30 Subnetz?
Er hat eine öffentliche IP, daher läuft die Fritzbox im Bridge Mode (Buissenes Tarif) und die UDM Pro bekommt diese.
Damit wird das NAT der Fritzbox umgangen und er hat kein doppeltes NAT.
Jetzt noch in der UDM das NAT deaktiviert und nix geht mehr.
Irgendwie bin ich verwirrt. Wenn du an der UDM-Pro eine öffentliche IP vom Provider hast, dann hast du doch sowieso kein doppeltes NAT!? Warum möchtest du es dann deaktivieren?
Bzw. generell gefragt, was möchtest du erreichen?
Hallo Tobi und Marcus,
lieben Dank für Eure schnelle Rückmeldung, welche ich leider nicht gleich mitbekommen habe.
Ja, ich habe von (mittlerweile) Vodafone den 1000er Business Anschluß, für welchen lt. Internet und lt. Vodafone kein Bridge Modus geht. Deshalb habe ich die Box auf Port 2 in den Exposed Host geschaltet und lt. Vodafone die zwei IP-Adressen hinterlegt, einmal in der Fritz und einmal in der UDM.
Zuerst war mein Zugang grützelangsam, hat sich aber nach einem Tag und Neustart der UDM gefangen. Nun habe ich Ping von 12-18 und bis zu 930 Mbits Down.
Wie Marcus schon sagt, ging nach der Abschaltung des NAT in der UDM nix mehr. Ist das dann sicher, dass meine Fritz kein NAT hat oder wie kann ich das prüfen?
Danke für die weiteren Infos. Ja in diesem speziellen Fall sollte das NAT an der FRITZ!Box deaktiviert sein. Bei anderen Providern oder FRITZ!Boxen ohne angepasste Software kommt bei Verwendung der „Exposed-Host“-Funktion weiterhin double NAT zum Einsatz.
Verifizieren kannst du das ganz einfach, indem du mit einem Gerät, welches hinter der UDM-Pro hängt, die Webseite https://www.whatismyip.com besuchst. Wird dort die gleiche IP angezeigt, welche in der UDM-Pro konfiguriert wurde, dann passt es. Andernfalls taucht dort die IP der FRITZ!Box auf. Alternativ kannst du auch einen Paketmitschnitt auf der UDM-Pro machen, was aber ein wenig Erfahrung erfordert.
Die statische Route aus meinem Artikel brauchst du in deinem Fall dann auch nicht. Aus dem lokalen Netz der FRITZ!Box lässt sich nicht direkt auf das lokale Netz der UDM-Pro zugreifen. Umgekehrt funktioniert es auch nicht.
Hallo Tobi, nochmals danke für Deine schnelle und ausführliche Antwort.
Ja, ich bekomme die UDM-Pro IP-Adresse, das ist mir selbst noch nicht aufgefallen.
Darf ich Dich noch Fragen: Wie komme ich aus dem internen Netz auf die Fritzbox?
Ich las diese bisher über meine Smarthome-Steuerung aus und kann das aktuell nicht mehr. Kann ich das über die WAN-Verbindung routen oder benötige ich einen zweiten Zugang zur FB (norm.Switchport zu FB Port, z.B. 3)?
Du könntest entweder direkt via Internet auf die FRITZ!Box zugreifen (das Benötigte muss dann natürlich via Portforwarding freigegeben werden) oder besser, du stellst eine zweite Verbindung zwischen FRITZ!Box und UDM-Pro her. Hier kannst du wie beschreiben z.B. Port 3 nutzen. Dieser Link sollte dir bei der Konfiguration helfen: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische-IP-Route-in-FRITZ-Box-einrichten/
Moin,
danke für dein TUT, sehr verständlich aber ich habe da noch eine Frage.
Meine Konfig: ISP->FB7590->UDM-Pro->Cam
Ich habe bis jetz keine spürbaren Probleme trotz des aktiven NAT’s.
Mich macht es jedoch kirre nicht auf meine CAMs Zugriff zu haben in dem UI-Netzwerk per FB-VPN.
Wenn ich das richtig verstehe benötige ich eigentlich nur den letzten „Optional: Firewall-Regel in der UDM-PRO“ Punkt um über einen VPN-Zugang (FB-Benutzer) der FB und der WAN-Eingehend Regel in der UDM-Pro mit der Zulassung dessen IP, Zugriff zu bekommen?
Grüße
Ja genau.
Moin,
das funktioniert leider nicht, komme nicht einmal auf die UDM-P trotz der sichtbaren Adresse dessen auf der FB7590.
Mal zur Konfig:
FB-Netz: 192.168.188.0/24
VPN in FB Netz: 192.168.188.201/24
UDM-P (WAN1-Port) in FB Netz: 192.168.188.35/24 an Port 5 (WAN als LAN5 eingestellt)
UDM-P-Netz: 192.168.1.0/24
UDM-P: 192.168.1.1/24
CAM: 192.168.1.116/24
Regel in UDM-P:
WAN-Eingehend
-Aktionen akzeptieren
-Protokolle alle
-Quelle VPN-IP 192.168.188.201
-Ziel Netzwerk Lan (192.168.1.0/24) Typ IPv4 Subnetz
Habe ich etwas übersehen oder vergessen oder denke ich falsch?
Grüße
Die statische Route in der FRITZ!Box wird natürlich auch benötigt. Hast du diese eingerichtet?
Ich habe es mal mit einer reinen Portweiterleitung probiert, dies funktioniert ohne NAT abschalten wunderbar.
Nachdem ich die Portweiterleitungen wieder gelöscht habe und die statische Route in der FB eingetragen sowie die WAN-Eingehend Regel angelegt habe, komme ich auch ohne Probleme auf meine Geräte hinter der UDM.
Danke für den Hinweis.
Noch zu bewältigen wäre der Zugiff auf die UDM-Pro selbst.
Weder über die FB-IP noch über die eigene UDM-Pro-IP, ist diese zu erreichen.
Muss man dazu noch etwas Einstellen/Freischalten?
Hey Toni,
eine ursprüngliche Frage die mir gleich in den Sinn kam war, weshalb du deine VPN-Verbindung zur Fritzbox und nicht zur UDM terminieren lässt.
Dein letztes beschriebenes Problem hier könnte eventuell auch daran liegen. Wenn du die VPN-Verbindung weiterhin zur Fritzbox selbst aufbauen möchtest, so muss dir klar sein, dass auch das Netz der Fritzbox aus Sicht der UDM im WAN liegt – also alle eingehenden Firewallregeln aus dem aus Sicht der UDM bösen Internet kommen. Auch wenn du dich schon auf der Fritzbox befindest, denn du hast nun mit der VPN Verbindung eine IP aus dem Fritzbox-Netz (da du diese dorthin, anstatt zur UDM aufbaust wie ich das verstanden habe).
Lange Rede kurzer Sinn:
Meine Empfehlung wäre die VPN-Verbindung direkt zur UDM aufzubauen, dann bist du wirklich IN deinem Netz.
Oder du checkst mal die Firewall-Regeln auf der UDM. Du müsstest die von dir gewollte Verbindung mit Quelle „Fritzbox-VPN-Netz“ eingehend in das UDM WAN Interface erlauben.
-> So habe ich dein Problem und deinen Aufbau jedenfalls verstanden :)
Nachtrag:
Uuups… jetzt habe ich erst deinen Post davor gesehen – du hast das ja bereits alles berücksichtigt :-)
Meine Frage bzgl VPN, warum dieser zur Fritzbox und nicht zur UDM terminiert, bliebe allerdings.
Wenn ich deinen Post so auswerte, könnte der Zugriff auf die UDM deshalb nicht funktionieren, weil sie vermutlich mit ihrer WAN-IP (192.168.188.35/24) angesprochen wird, wenn es um keinen Transit-Verkehr geht, sondern du direkt auf diese möchtest.
In deinem Post gilt deine Regel eingehend allerdings immer nur wenn man auf das UDM LAN zugreift (192.168.1.0/24).
Hallo Zusammen,
ich habe mir das neue Script angesehen und für die UDM-Pro angepasst. An sich funktioniert alles, nur löscht der die einzelenen Subnetze/ VLAns auch nur einzeln raus. D.h. das Script muss 11 Mal laufen, bis alle Source NAT Einträge entfernt sind.
Hat jemand eine DIee, wie ich das noch weiter anpassen kann?
Muss aber auch dazu sagen, dass ich jetzt das Script deaktiviert habe, da es Probleme machte mit der Bandbreite. Soblad das Script einlal lief und dabei ist es egal, ob noch SNAT Einträge vorhanden sind oder nicht, lag der Speed Test bei nur 20 bis 30 Mbit anstatt die Vollen 220Mbit.
Verstehen tu ich das nicht aber es ist irgend ein Zusammenhang.
Die notwendige Anpassung für die UDM-Pro ist hier erklärt: https://www.antary.de/2021/02/07/ubiquiti-unifi-dream-machine-pro-udm-pro-nat-deaktivieren/#comment-79396
Aber ich denke ich werde das direkt in meinen Artikel integrieren, dann ist es einfacher.
Wie du auf elf Einträge kommst ist mir schleierhaft. Es sind zwei WAN-Interfaces, also auch zwei Einträge.
NACHTRAG:
Wegen der „Exposed Host“ Funktion hatte ich bei AVM Nachgefragt, die sagen, das Doppelte NAT wäre dann inaktiv für diesen Port.
Hallo Tobi,
die 11 Einträge sind für das Interface 8.
Pro Ausführung des Scripts wurde bei mir immer noch ein VLAN entfernt, anstatt alle 11 VLANs für SNAT zu entfernen.
In einem Ubiquiti Forum habe ich gestern gelesen, man könnte mit dem Parameter -F arbeiten anstatt mit -D, dann wären alle auf einem entfernt aber ich hatte gestern ehrlich geasagt keine Lust mehr das zu testen.
Gruß
Stefan
Nein das stimmt nicht. Ein Exposed Host ist einfach nur eine Portfreigabe für alle Ports, mehr nicht. D.h. alles wird via NAT an eine lokale IP weitergeleitet.
Doppeltes NAT wäre nur im Bridge Modus inaktiv, bei dem das WAN direkt an einem Port durchgeleitet wird. Dies bietet AVM aber schon sehr lange nicht mehr offiziell an. Lediglich bei den FRITZ!Boxen mit Vodafone-Firmware wird das noch angeboten, siehe die Kommentare von Rainer.
Kann dir nur sagen, was der AVM Support zu mir gesagt hat.
ich nutze die Funktion auch nicht.
Ich stimme Tobi ebenfalls zu und widerspreche dem AVM Support hier. Da hat der Mitarbeiter Quatsch erzählt. Sieht man auch im Traffic-Mitschnitt.
Exposed-Host ist einfach eine durchgängige Freigabe aller Ports für dieses Gerät.
Würde hier plötzlich kein NAT mehr erfolgen, so könnten Verbindungen von dem Gerät ja gar nicht mehr ohne weiteren Konfigurationsaufwand ins WAN betrieben werden.
Hallo Tobi,
guter Blog- Artikel. Danke !
Habe es so bei meiner UDM-Pro implementiert und funktioniert fast perfect.
Alle 15 Minuten wenn der Cron Job laeuft habe ich Probleme mit ‚Teams‘ Konferenzen.
Teams meetings werden unterbrochen und muessen sich neu verbinden… und dass 4 mal in der Stunde ;)
Lasse den Cron job jetzt einmal am Tag mitten in der Nacht laufen.
Cheers,
Hmm das ist seltsam. Wenn die Regeln einmal entfernt wurden, macht das Skript eigentlich nichts mehr. Bei mir gibts keine Probleme.
Hallo Tobi,
an dem Tag hatter der VPN ‚dial in‘ Router bei mir in der Firma Probleme.
Kann also daran liegen.
Habe nun das scrip neu installiert und auch etwas angepasst.
Wenn ich es jetzt in der Shell ausfuehre bekomme ich folgende Fehlermeldung:
—–
# sh delete-nat.sh
sh: 21:22,: bad number
#
—–
Laut Log funktioniert alles eigentlich… siehe weiter unten.
Hier mein Script mit einer hinzugefuegten Zeile um beide NAT Eintraege zu entfernen:
#!/bin/sh
# Check if Script runs directly after boot. If so, wait for 10 seconds.
uptimeMinutes=`uptime | awk ‚{print $3}’`
if [ $uptimeMinutes -lt 5 ]
then
logger NAT-Script: Script zum 1. Mal nach Boot ausgefuehrt # log entry to /var/log/messages
sleep 10
else
logger NAT-Script: Script gem. Cron-Job ausgefuehrt # log entry to /var/log/messages
fi
# Check if NAT rule is there
if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null
then
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 2 # delete second NAT rule for UDM Pro
xtables-multi iptables -t nat -D UBIOS_POSTROUTING_USER_HOOK 1 # delete first NAT rule
if iptables -t nat -L UBIOS_POSTROUTING_USER_HOOK | grep MASQUERADE > /dev/null # successful delete?
then
logger NAT-Script: NAT-Regel gefunden, Loeschen nicht erfolgreich \(Fehler!\) # log entry to /var/log/messages
else
logger NAT-Script: NAT-Regel gefunden und geloescht # log entry to /var/log/messages
fi
else
logger NAT-Script: Keine NAT-Regel vorhanden # log entry to /var/log/messages
fi
# Check if cron job exists
if ls /etc/cron.d/delete-nat > /dev/null 2>&1
then
logger NAT-Script: Cron-Job vorhanden # log entry to /var/log/messages
else
echo „*/15 * * * * /mnt/data/on_boot.d/delete-nat.sh“ > /etc/cron.d/delete-nat
logger NAT-Script: Cron-Job nicht vorhanden und erstellt # log entry to /var/log/messages
fi
Log Eintraege:
# grep NAT /var/log/messages
Jul 11 01:39:12 MSP-HQ user.notice root: NAT-Script: Script gem. Cron-Job ausgefuehrt
Jul 11 01:39:12 MSP-HQ user.notice root: NAT-Script: NAT-Regel gefunden und geloescht
Jul 11 01:39:12 MSP-HQ user.notice root: NAT-Script: Cron-Job nicht vorhanden und erstellt
Jul 11 01:40:36 MSP-HQ user.notice root: NAT-Script: Script gem. Cron-Job ausgefuehrt
Jul 11 01:40:36 MSP-HQ user.notice root: NAT-Script: Keine NAT-Regel vorhanden
Jul 11 01:40:36 MSP-HQ user.notice root: NAT-Script: Cron-Job vorhanden
Jul 11 01:54:57 MSP-HQ user.notice root: NAT-Script: Script gem. Cron-Job ausgefuehrt
Jul 11 01:54:57 MSP-HQ user.notice root: NAT-Script: NAT-Regel gefunden und geloescht
Jul 11 01:54:57 MSP-HQ user.notice root: NAT-Script: Cron-Job vorhanden
#
Nimm das Skript oben aus meinem Artikel. Habe es auch entsprechend angepasst und die Abfragelogik optimiert. Im unoptimierten Fall würden auch von Hand hinzugefügte NAT-Regel gelöscht werden.
Hallo,
vielen Dank für die Beschreibung und das aktualisierte Script für die UDM Firmware ab 1.9.3.
Ich habe dazu eine Frage: Als Laie habe ich nicht verstanden, wo ich das Script aus Tobis Kommentar einbinden soll? Erstelle ich dazu einfach ein neues Script im Ordner /mnt/data/on_boot.d über die Kommandozeile, genau so wie man es für das delete-nat.sh gemacht hat?
Vielen Dank :)
Hallo Markus, ich habe den Artikel mit einem leicht angepasstem Skript ergänzt. Sollte jetzt klar sein, wie du vorgehen musst. Falls nicht, einfach nochmal fragen.
Vielen Dank, Tobi! Damit ist es nun auch für mich klar.
Ich habe noch eine weiterführende Frage: Ich habe eine Nextcloud auf einer FreeNAS Box installiert, mit einem Reverse Proxy. Nun muss ich für den Zugang darauf Ports freigeben. Bevor ich meine UDM Pro hatte, habe ich das direkt in der FritzBox gemacht und alles lief ohne Probleme.
Nun steckt ja die UDM Pro mit drin und wenn ich das NAT darin deaktiviere, übernimmt ja die FritzBox dies allein. Nun kann ich aber in der FritzBox nicht mehr die Ports für die IP meines Reverse Proxy anlegen, da die IP Range ja die der UDM Pro ist und nicht die der FritzBox – FB akzeptiert diese IPs logischerweise nicht.
Jetzt frage ich mich, ob ich für meinen Case nicht eher das NAT in der UDM Pro belassen muss, um dort die Ports weiterzuleiten, und NAT in der Fritz Box deaktivieren muss? Ich finde dazu bei meiner FB allerdings keine Möglichkeit (7581). Einen „Bridge“ Mode gibt es hier scheinbar gar nicht. Weißt du zufällig irgendwas darüber?
Du bist auf dem richtigen Weg. Du musst die Portfreigabe nach wie vor an der FRITZ!Box machen. Allerdings nicht mit der IP des Reverse Proxys, sondern mit der WAN-IP der Firewall, also der IP aus dem FRITZ!Box-Netz.
Darüber hinaus benötigst du eine weitere Portweiterleitung auf der UDM-PRO und ebenso eine passende Firewall-Regel unter der Kategorie „WAN eingehend“.
@Markus – hier ein Beispiel wie von Tobi schon erläutert:
WAN-IP deiner Fritbox: 66.66.66.66
Transportnetz zw. Fritzbox & UDM: 10.10.10.0/30
WAN-IP deiner UDM: 10.10.10.1
Reverseproxy IP: 10.10.50.50/24
Angebotener Dienst am RevProxy auf bspw. TCP Port: 444
Rufst du nun den Dienst auf 66.66.66.66:444 auf um dorthin zu gelangen müsste eine Portweiterleitung auf der Fritzbox für Port 444 zur 10.10.10.1 eingerichtet werden.
Auf der UDM brauchst du die eingehende Firewall-Regel die das zunächst einmal zulässt. Außerdem brauchst du dann dort die Weiterleitung von TCP Port 444 auf 10.10.50.50.
So sollte es klappen.
Tobi hatte es ja schon genau so erläutert, wollte es nur mit einem Beispiel etwas greifbar für dich machen.
Erst einmal vielen Dank an Tobi & Tobi für die Erklärung. Mit dem Beispiel bekomme ich es bestimmt hin, versuche mich gleich mal dran!
Nun habe ich allerdings doch noch ein Problem beim Einfügen des Scripts. Sorry, ich stelle mich wahrscheinlich total blöd an; aber nach dem „touch /mnt/data/on_boot.d/delete-nat.sh“ Befehl, copy & paste ich einfach den kompletten Script-Block in die Kommandozeile? Oder muss ich das Zeile für Zeile machen? Wenn ich es komplett einfüge, werden scheinbar irgendwelche Befehle dort erkannt und mir werden Listenweise Befehle ausgegeben …
Danach ist es auch so, dass das Script nicht zu funktionieren scheint, denn wenn ich testweise eine Port-Weiterleitung anlege sind die NAT-Einträge sofort wieder da.
Danke nochmal für eure Hilfe.
Der touch erstellt dir nur eine leere Datei.
Gehe danach mit
nano /mnt/data/on_boot.d/delete-nat.sh
in die Datei. Du öffnest sozusagen den Befehlszeilen Editor „nano“ auf diese Datei hin.
Dort fügst du dann den Inhalt (also die ganzen Skript-Zeilen) ein.
Das dann speichern und einfach nochmal mit dem gleichen Befehl im Nachgang reingucken, ob auch alles drin ist.
Sobald du das Skript ausführbar gemacht hast (einfach Tobis Anleitung weiter folgen), kannst du testen ob es funktioniert, in dem du dir vorher mal die Nat-Regeln anzeigen lässt (dort sollte die Regel dann ja noch vorhanden sein) und dann das Skript mal händisch ausführst (einfach ‚/mnt/data/on_boot.d/delete-nat.sh‘ eingeben und ENTER) und dann schaust ob zum einen Fehlermeldungen kommen und zum Anderen, ob die NAT-Regel auch nun weg ist.
Wie weiter oben beschrieben kannst du auch über ‚grep NAT /var/log/messages‘ die Logs checken, da das Skript recht gesprächig in die Logs schreibt.
Ah! Vielen Dank. nano kenne ich, aber ich habe immer eine „command not found“ bekommen … habe jetzt verstanden, dass ich nano erstmal installieren muss:
# unifi-os shell
# apt update
# apt install nano
um dann (nach wie vor im shell) nano auf der Datei ausführen zu können. Was gelernt!
Mhmpf, jetzt komme ich trotzdem nicht weiter; ich kann nano jetzt zwar im shell ausführen, darüber komme ich aber nicht in das /mnt/data/on_boot.d Verzeichnet. Und in root kann ich nano nicht ausführen. Mhm!
Du bist in der falschen Umgebung :-)
Nicht zuvor unifi-os shell eingeben.
Verbinde dich per SSH und dann bist du bereits richtig.
Dann mache ein ‚cd /mnt/data/on_boot.d/‘. Wenn das klappt, bist du schonmal im richtigen Verzeichnis.
Dort mal ein kurzes ‚ls -l‘ machen, dann siehst du, ob dein Script schon da ist.
Wenn du darüber lokalisiert hast, dass du in der richtigen Umgebung bist, dann kannst du nochmal loslegen!
Aber ich kann nano nur im Shell installieren, wenn ich es auf root ebene ausführe passiert folgenddes:
# cd /mnt/data/on_boot.d/
# ls -l
total 0
-rw-r–r– 1 root root 0 Jul 7 11:06 delete-nat.sh
# nano delete-nat.sh
-sh: nano: not found
nano ist dort also gar nicht verfügbar, das heißt ich komme nicht in die Datei …
Oh, das hatte ich nicht auf dem Schirm! Dann nutze ‚vi‘, das ist ein anderer Editor. Habe gerade nachgesehen, der ist vorhanden.
Bevor du in den Unweiten der Steuerung dieses Editors verloren gehst google kurz wie du dort eine Eingabe machst und speicherst und wieder rauskommst aus dem Editor – der ist für Nicht-Unixler etwas ungewohnt.
VI habe ich grad versucht, damit komme ich rein, habe jetzt alles eingefügt und gespeichert. Ich kann das Script jetzt auch ausführen und die NAT-Regeln werden gelöscht. Sobald ich eine Port-Weiterleitung testweise einrichte, sind sie aber nach wie vor sofort wieder da :( In die Logs wird auch nichts geschrieben …
Ok, es scheint nun doch zu funktionieren, ich habe den Punkt überlesen, dass das Script ja „nur“ alle 15 Minuten ausgeführt wird und nicht instantan. Dementsprechend ist das NAT nach einer Änderung natürlich noch eine Weile drin. Vielen Dank euch!
Jetzt mache ich mich mal an das Forwarding zu meinem Reverse Proxy … :D
So, nun noch einmal zum Reverse-Proxy Thema.
Ich habe nun in der FritzBox eine Port-Freigabe eingerichtet für die IP, die die UDM-Pro von der FritzBox erhalten hat (als Beispiel: 192.168.178.01) auf Port 443.
In der UDM Pro habe ich nun eine Port Weiterleitung von 443 auf die IP des Reverse Proxy angelegt (bspws. 10.0.0.99). Von „überall“ ist korrekt, oder muss ich das auf die IP der FritzBox (also dann 192.168.178.1) beschränken?
Jedenfalls wird mir der Port nun auch als offen angezeigt, wie ich über ein Online-Tool überprüft habe. Soweit so gut.
Nun scheitere ich bei der Firewall-Regel. Was genau muss ich da erlauben? Tobi, du hast ja geschrieben:
„Rufst du nun den Dienst auf 66.66.66.66:444 auf um dorthin zu gelangen müsste eine Portweiterleitung auf der Fritzbox für Port 444 zur 10.10.10.1 eingerichtet werden.
Auf der UDM brauchst du die eingehende Firewall-Regel die das zunächst einmal zulässt“
Ich verstehe nicht ganz, was ich hier nun in der Regel bei Source und Destination eintragen muss.
Nein du müsst „überall“ aktiv lassen, denn die UDM-PRO sieht die externe IP-Adresse des Geräts, welches zugreifen möchte. Außer du hättest eine feste externe IP bzw. IP-Range die du freigeben möchtest. Für Smartphones etc. trifft das aber nicht zu und du musst „überall“ aktiv lassen.
Bei der Firewall-Regel habe ich gerade gesehen, dass durch das Port-Forwarding automatisch eine entsprechende Firewall-Regel erstellt wird. Hier musst du also gar nichts mehr von Hand hinzufügen.
Juhu! Jetzt klappt alles. Vielen vielen Dank für eure Geduld und die Hilfe!
Hallo Tobi,
zunächst großes Lob für Deine Mühe und Deine Hilfsbereitschaft, das ist nicht immer selbstverständlich.
Ich konnte Deine Anleitung umsetzen, vieles klappt auch schon richtig gut. Jedoch: ich hatte an der FritzBox die 4 DVB-C Tuner genutzt, um diese über TV-Headend anzusprechen. Nun ist ja nach dem Unstellung dir Fritte in einem anderen Netz (bei mir 192.168.178.1) und mein TV Headend auf meinem Synology NAS unter 192.168.17.6. Gibt es überhaupt eine Möglichkeit, die Fritzbox Tuner noch zu nutzen?
Danke und Gruß
Wolfgang
Hallo Wolfgang,
danke für Dein Lob :)
Wenn du alles nach Anleitung eingerichtet hast, müsstest du von deinem NAS mit 192.168.17.6 ohne Probleme auf die FRITZ!Box zugreifen können.