ISP, Unifi Netzwerk und Portforwarding

[DjMG]

Hallo Community,

Ich brauche Hilfe bzgl. meines Heimnetzwerkes und Portforwarding.

Der Aufbau ist wie folgt:
1.) ISP Modem, interne IP 192.168.0.1, komplette Default Einstellungen, LAN-Kabel zu:
2.) Unifi USG Router, bekommt die WAN Port IP 192.168.0.3 bzw. ebenso LAN 192.168.1.1, macht "hinter sich" ein Netzwerk mit 192.168.1.2-254
3.) diverse Endgeräte wie NAS und Co., inkl. Unifi Controller, allesamt in der 192.168.1.xxx Range

Ich muss nun von extern auf diverse Geräte zugreifen können (z.b. Synology NAS).
Im Unifi Controller hätte ich die Einstellungen alle getätigt, dass die Ports im 192.168.1.xxx Netz entsprechend weitergeleitet werden.

Wie aber sage ich dem ISP Modem, dass sämtliche Ports "offen" bzw. vom Unifi Controller in einem anderen Netz verwaltet werden?
Wenn ich im ISP Modem den Port 5001 (NAS) z.b. auf die interne IP 192.168.0.3 (USG Router) weiterschicke, funktioniert das nicht, dass dieser es dann "weiterschickt". Im ISP Modem kann ich aber auch keine 192.168.1.XXX als Ziel angeben, ist außerhalb des Bereiches, sagt die Fehlermeldung...

Wie kann ich vorgehen?

 

[Sephe]

Du musst im ISP Router (0.1) das Unifi gateway (0.3) als exposed host eintragen.

Mehr infos kann man dir aufgrund fehlender Info, was du für nen ISP Router, und ob du ds Lite hast, nicht geben.

Alle weiteren Portfreigaben ins interne Netz läuft dann im Unifi Controller.

 

[DeusoftheWired]

2.) Unifi USG Router, bekommt die WAN Port IP 192.168.0.3 bzw. ebenso LAN 192.168.1.1, macht "hinter sich" ein Netzwerk mit 192.168.1.2-254

Unter der Voraussetzung, daß das Modem wirklich als reines Modem arbeitet und nicht zusätzlich noch als Router:

Dem Unifi-USG-Router mußt du noch sagen, daß er zwischen den beiden Netzen 192.168.0.0/24 und 192.168.1.0/24 routen soll. Pakete aus dem .0-Netz mit dem Ziel .1-Netz müssen geroutet werden, genauso vice versa.

 

[GaborDenes]

Ich muss nun von extern auf diverse Geräte zugreifen können (z.b. Synology NAS).

Ohne VPN ist das eine ganz blöde Idee. google mal qsnatch
da findest du z.B. das hier: https://www.heise.de/news/QSnatch-M...ss.red.security.security.atom.beitrag.beitrag

 

[Zensai]

Von welchem ISP reden wir denn?

 

[DjMG]

Dem Unifi-USG-Router mußt du noch sagen, daß er zwischen den beiden Netzen 192.168.0.0/24 und 192.168.1.0/24 routen soll. Pakete aus dem .0-Netz mit dem Ziel .1-Netz müssen geroutet werden, genauso vice versa.

Okay - aber wie/wo?

Von welchem ISP reden wir denn?

ISP = Liwest
Modem = ARRIS, und funktioniert im Router-Modus (nicht Bridge-Modus!)

Anbei noch Screenshots vom ISP Modem

 

[DeusoftheWired]

Okay - aber wie/wo?

In dem Menü für statische Routen. Hier ist ein Screenshot des Menüpunkts, ist aber auch schon vier Jahre alt.

 

[DjMG]

In dem Menü für statische Routen. Hier ist ein Screenshot des Menüpunkts, ist aber auch schon vier Jahre alt.

Das Menü gibt es, ja. Screenshot anbei. Was trage ich in die jeweiligen Felder ein?

 

[dasTTS]

Stelle den Router (du hast es Modem genannt) in den Bridge Modus, dann hast Du kein doppel NAT und kannst den Unifi Router ordentlich konfigurieren.

Aber: Wenn Du unbedingt dieses Konstrukt lassen willst musst Du keine Routen eintragen, sondern das Unifi Gateway als Exposed Host eintragen und auf diesem dann die spezifischen Port Weiterleitungen eintragen (hat auch schon @Sephe geschrieben).

 

[BeBur]

+1, Bridge Modus, man holt sich doch ubiquiti um den nervigen consumer Elektronik Mist aus dem Netz raus zu halten .

 

[DjMG]

Stelle den Router (du hast es Modem genannt) in den Bridge Modus, dann hast Du kein doppel NAT und kannst dem Unifi Router ordentlich konfigurieren.

Das hatte ich die letzten Wochen auch tatsächlich so. Jedoch gab es fast tägliche Ausfälle meines Internets, der USG konnte dann die externe IP bzw. DNS vom Modem/router nicht abrufen. Da half dann nur warten (30min) oder beides neustarten. Nicht zufriedenstellend für mich, weshalb ich nun diese andere Variante probieren möchte. Das Modem/Router macht dann die ISP Geschichte und der USG macht das interne Netzwerk quasi...

 

[dasTTS]

Ich kenne mich mit dem USG nicht genau aus, aber ist neben der Port Weiterleitung auch eine Firewall Regel eingetragen? Die Firewall muss natürlich den angefragten Port auch durchlassen. Siehe https://help.ui.com/hc/en-us/articles/115003173168-UniFi-UDM-USG-Introduction-to-Firewall-Rules Also im Bereich WAN-IN sollte Port 5001 erlaubt sein.

Ansonsten musst Du das Problem einkreisen, indem Du Geräte aus deinem Test ausschließt. Packe Deinen PC in den Netzwerkbereich des Arris Routers (192.168.0.x) und mache einen Portscan auf 192.168.0.3 Port 5001. Wenn dieser offen erscheint musst Du das Problem beim Arris suchen, wenn dieser geschlossen ist, ist es ein Problem des USG.

 

[DjMG]

Habe nun im ISP Modem/Router dennoch testweise alle Ports eingetragen, die weitergegeben werden sollen. Aber dann eben an den USG 192.168.0.3

Und nach ein paar Gedenkminuten, hat dann tatsächlich alles geklappt, ohne am USG etwas umzustellen (keine statische Routen laut User "DeusoftheWired"). der USG dürfte da schlau genug sein!

 

[DeusoftheWired]

Läuft der ARRIS-Modemrouter immer noch im Routermodus? Dann verstehe ich ehrlich gesagt nicht, wie Pakete aus dem Netz 192.168.0.0/24 im Netz 192.168.1.0/24 ankommen können. Für genau diese Übersetzung braucht man normalerweise einen Router mit einer eingetragenen Route.