Ubiquiti Cloud Gateway Fiber und Connect Box (Router Modus oder Bridge Modus)

iam_me

Hallo Zusammen

Ich habe neu einen Ubiquiti Gateway. Gerne würde ich damit möglichst alles Verwalten (Ich will VLANs, Firewall, Portweiterleitungen und VPNs einrichten). Auch mein NAS und ein Rechner soll im Heimnetzwerk von aussen mit entsprechenden Regeln zugänglich sein.

Welchen Modus muss ich hiefür wählen? Bridge oder Router Modus?

Künftige Situation: In (hoffentlich) wenigen Wochen sollte ich meine Opto-Dose bekommen und erhalte dann wohl auch ein neues Modem mit Glasanschluss.
Der Sunrise Support hat mir am Telefon stark vom umstellen auf Bridge Mode aberaten, da sie dann nicht mehr supporten können usw.. (der Hintergrund war, dass mein Modem nach dem umstellen auf Bridge Mode nicht mehr funktionieren wollte und ich einen reset machen musste). Mit dem Router Mode funktioniert es wieder (aber ich glaube ich muss für den Gateway auf Brige-Mode umstellen)

Xydocq

hallo iam_me

Willkommen in der Community.

Die Antwort auf deine Frage ist: Ja und Nein, was den Bridge Modus betrifft.

Bei einer Connect Box 3 HFC kann der Bridge Mode verwendet werden. Bei einer Connect Box 3 FIBRE geht dieser Modus nicht mehr.

Beim Bridge Mode wird die WLAN-Schnittstelle des Ubiquiti Gateways auf DHCP eingestellt. Danach sollte sich dieser mit dem Internet verbinden und eine öffentliche IP-Adresse beziehen.

Ich betreibe meine Connect Box 3 HFC im Router Modus mit aktivierter DMZ. Funktionieren tut alles wie es soll. Es ist nur beim Einrichten etwas anders als beim Bridge Mode. Das doppelte NAT ist für Heimanwender im Regelfall kein Problem. Bei dieser Betriebsart, wird auf der Connect Box 3 die DMZ aktiviert mit einer lokalen IP, als Beispiel 192.168.1.9.
Auf dem Ubiquiti Gateway wird die WAN-Schnittstelle als Statisch eingerichtet. Dabei hat die Schnittstelle die IP 192.168.1.9 der Gateway ist 192.168.1.1 und das Subnet 255.255.255.0. Der Ubiquiti Gateway wird mit diesen Einstellungen mit dem Internet verbunden erhält aber keine öffentliche IP-Adresse. Da das Subnet 192.168.1.0/24 bereits von der Connect Box genutzt wird, steht dieses dem Ubiquiti Gateway nicht mehr zur Verfügung.

Sämtliche Dienste sollten auch mit dieser Einstellung funktionieren. Für einen DDNS Dienst muss je nach dem eine eigene Lösung gefunden werden. Wenn ein NAS von Synology zum Einsatz kommt, kann man diesen Dienst dort einrichten. Ansonsten kann man auch die Api nach Bedarf editieren.

Damit das Ganze überhaupt funktioniert, muss der Anschluss auf IPv4 only eingestellt sein. IPv6 kann auf Grund von IPv4CGNAT nicht genutzt werden.

iam_me

Xydocq
Hallo Xydocq und gutes neues Jahr

Danke für deine schnelle und bereits ziemlich ausführliche Antwort (schneller als ich bereit war dafür -> Neujahrsfeste usw..). Dennoch bin ich nicht sicher, ob ich alles richtig verstanden und umgesetzt habe (ja meine ersten Tests scheinen nicht zu klappen). Daher versuche ich meine erstellten Einstellungen zu schildern:
Zunächst habe ich mich entschieden, den Router-Modus beizubehalten (so wie du es nutzt), da ich künftig dieses ja auch nicht mehr haben (laut deiner Auskunft ist das mit dem ConnectBox 3 FIBRE eh nicht mehr verfügbar).

Ich habe auf der Connect Box DMZ aktiviert und die IP meiner Gateway WAN IP gesetzt (die ich bereits via DHCP von Sunrise/Connect Box bereits an dem Port erhalten hatte). Dann habe ich auf dem Ubiquiti Gateway den WAN Port auf Statisch gesetzt und als erstes mal die IP 192.168.1.123 beibehalten und habe die Subnetzmaske auf 255.255.255.0 gesetzt und als Gateway 192.168.1.1 eingetragen (das müsste ja dann die IP der ConnectBox sein, welcher den Traffic von meinem Ubiquity Gateway in die grosse Internetwelt weiterleitet)
Zum testen habe ich zwei Dinge gemacht:
1. Ping auf 192.168.1.123 von meinem Laptop, welches zurzeit auch in diesem Netz ist -> Geht nicht.
Vielleicht liegt das an irgendwelchen Sicherheitseinstellungen vom UBI GW. Haber auf die schnelle nichts gesehen, aber ich muss das Produkt erst noch näher kennenlernen (und meine Netzwerkkenntnisse scheinen mittlerweile auch eingerostet oder mit dem alter vorerst verloren zu sein)
Ping auf 192.168.1.1 vom gleichen Laptop funktioniert aber (was zu erwarten war, da ich ja damit auch ins Internet verbunden bin -> zurzeit noch mein bestehendes Setup)

2. Auf der ConnectBox habe ich eine Portweiterleitung gemacht, welche z.B. den Port 223 auf die IP vom UBI GW (192.168.1.123) auf Port 22 (ssh) weiterleitet. Natürlich habe ich meinem SSH-Client gesagt, dass er beim verbinden den Port 223 verwenden soll und den User, welcher auf dem UBI GW angegeben ist. Auch das geht leider nicht. Es erfolgt null Antwort von der Zieladresse (UBI GW). Es gibt einen Timeout

Jetzt weiss ich nicht, ob ich grundsätzlich etwas falsch gemacht habe oder irgendwelche Mechanismen im UBI GW dies verhindern.

Siehst du einen Fehler in meiner Umsetzung oder eine Idee, woran es liegen könnte?
Und ja schade muss eine doppel NAT gemacht werden. Vereinfacht das ganze wohl nicht (es wird bestimmt Einschränkungen davon geben).
Und ja, ich habe Synology NAS. Das DDNS muss ich schauen, wie ich es löse, falls meine bisherige Lösung plötzlich nicht mehr gehen sollte

Danke dir schon im voraus

Xydocq

iam_me

Auch dir ein gutes neues Jahr.

Dies sind die Einstellungen die ich verwende:

Zusätzlich ist WLAN auf der Connect Box 3 deaktiviert. Es gibt keine Port Weiterleitungsregeln, da DMZ bereits alles weiterleitet.

Der WAN-Port meiner Firewall reagiert nicht auf Ping-Anfragen. Wird bei dir identisch sein. Auch ist ein Zugriff aus dem Subnet 192.168.1.0/24 nicht möglich. Hier müssten die Firewall-Regeln, auf der eigenen Firewall, für den WAN-Port geändert werden. Umgekehrt ist der Zugriff in das Subnet möglich und auch der Zugriff auf die Connect Box 3 ist möglich. Mit etwas Routing klappt dann auch ein Fernzugriff aus dem Internet über VPN auf die Connect Box 3.

Was den Zugriff auf die Benutzeroberfläche des eigenen Netzwerkes angeht, ich habe Cloud Zugriff. Lokalen Zugriff gibt es nur, wenn ein Gerät mit dem Management-VLAN der Firewall verbunden ist.

iam_me

Xydocq

Hallo Xydocq

Wieder hast du sehr schnell geantwortet. Danke.

Ich habe die Portforwardings auf der Connectbox entfernt. DHCP habe ich auf der Connectbox deaktiviert (ich will die IP’s vom UBI GW verwalten). Aber das ist bezüglich Portforwarding nebensächlich.

Die WAN-Port Einstellungen auf dem UBI-GW habe ich sehr ähnlich gehabt. Habe aber gleich noch gesehen, dass ich die DNS selbst setzen kann (hatte ich grade nicht dran gedacht). Auch scheint deine UBI-GW etwas anders auszusehen (hätte gedacht dass die Unify Software gleich ist, auch wenn das Gerät ein anderes ist). Ist aber auch für meine Forwarding Tests unwesentlich.

Aber was peinlich ist: Ich habe sicher etwas über eine Stunde rumprobiert, bis ich auf die glorreiche Idee gekommen bin, dass ich die UBI-GW erst am vorbereiten bin und noch kein Endgerät angeschlossen hatte 🤦
Naja, jetzt habe ich irgendein anderes Gerät genommen es direkt am UBI-GW angehängt und habe zum Testen ssh aktiviert und ein Portforwarding auf dieses Gerät gemacht.

Das hat nun erfolgreich via Handy Hotspot aus geklappt! (vom internen Netz aus hat UBI GW wohl die Verbindung nicht erlaubt)

Manchmal sucht man so verbohrt nach dem Problem (weil es sollte jetzt ja funktionieren…) und sieht nach einer Weile vor lauter Bäumen den Wald nicht mehr. Ich glaub so ein doofer Fehler ist mir schon länger nicht mehr passiert…

Aber dir danke ich nochmals für die Hilfe!

Schönen Tag noch