Feste IP != DHCP!
Wenn der DHCP einen IP-Bereich von x.y.z.100 - .199 hat, dann kann man .1 - .99 bzw. .200 - .254 fest an Geräten einstellen ohne dass der DHCP überhaupt etwas davon merkt. Ich kann dir nur entschieden dazu raten, dies so einzuhalten. Eine DHCP-Reservierung überlebt zB keinen Router-Reset oder gar einen -Tausch. Heißt: Im worst case hagelt es dann IP-Konflikte. Schränke den DHCP-Bereich daher soweit ein, dass davor und/oder dahinter ein Bereich für feste IPs übrig bleibt. Gib dem USG dann im Idealfall die .2. Es ist leichter zu merken, wenn alle Router, APs, Switches, etc. einigermaßen gruppiert sind und nicht kreuz und quer im Subnetz verteilt sind. Ich gehe (fast) jede Wette ein, dass du spätestens in einem halben Jahr die .15 für das USG vergessen hast und nachschauen musst.
Bezüglich NAT bzw. Masquerade kann es sein, dass das nur via Kommandozeile zu konfigurieren ist. Ich selbst nutze ausschließlich die EdgeRouter-Serie und da gibt es out-of-the-box zB gar kein NAT. Schau dir mal im Ubiquiti-Forum diesen Thread an:
klick!
Sobald NAT am WAN-Port abgeschaltet ist, brauchst du keine DMZ mehr. Der Internet-Router bekommt eine statische Route in das Subnetz hinter dem USG und Portweiterleitungen, etc. kannst du dann direkt auf diese IPs setzen. Genau genommen brauchst du sowieso nur eine DMZ, wenn du wirklich
alles vom Internet-Router an das USG weiterleiten willst, die Firewall im Internet-Router ist also mehr oder weniger untätig. Ohne DMZ würdest du nur gezielt die Ports weiterleiten, die du benötigst, zB tcp 80/443 für einen Webserver.
Beispiel:
Internet-Router: 192.168.1.1
USG (WAN): 192.168.1.2
USG (LAN): 172.27.1.1
Route im Internet-Router: 172.27.1.0 /24 (bzw. 255.255.255.0) via 192.168.1.2
Port-Weiterleitungen im Internet-Router: zB tcp 80 --> 172.27.1.234
