Swisscombox Plus nur als Modem vor Ubiquiti USG benutzen

Die aktuellen Swisscom Internetboxen lassen leider keinen reinem Modem-Betrieb zu, auch IP-Passtrough geht leider nicht. Es gibt nur eine Art DMZ Betrieb.

Vermutlich hat aber Kollege @Anonym eine Lösung für dich….

Bei mir läuft ebenfalls ein Fremdrouter hinter der IB2. Besser gesagt eine pfSense Firewall. Am einfachsten ist es wohl, den Fremdrouter über den WAN Anschluss mit der IB zu verbinden. Da die Ubiquiti USG die IP 192.168.1.1 verwendet, kommt es zum Konflikt mit der IB, weil diese die gleiche IP verwendet. Wichtig ist daher, die IP Adresse des Fremdrouter zu ändern in 192.168.x.1 wobei x für eine Zahl zwischen 2 und 250 steht (z.B. 192.168.37.1)

Ein Nachteil hat diese Variante: IPv6 wird kaum funktionieren, da die IB nur ein 64er Subnet verteilt.

Du kannst auf der IB den DMZ-Modus auf die USG aktivieren.

Gruss

suchender

Du musst auf der USG den igmp-proxy aktivieren und 2 Firewall Regeln hinzufügen. Das aktivieren des Proxy wird über das config.gateway.json File gemacht.

Die Grundlagen zum config.gateway.json File findest du hier:

https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

Mit einem beliebigen Texteditor das File config.gateway.json den untenstehendem Code (gilt für die USG 3P) anlegen, wobei.json die Endung ist.

{
“protocols”: {
“igmp-proxy”: {
“interface”: {
“eth0”: {
“alt-subnet”: [ “0.0.0.0/0” ],
“role”: “upstream”,
“threshold”: “1”
},
“eth1”: {
“alt-subnet”: [ “0.0.0.0/0” ],
“role”: “downstream”,
“threshold”: “1”
}
}
}
}
}

Anschliessend die Datei an den je nach Controller richtigen Pfad kopieren. Den Code ggf. vorgängig mit einem JSON Validator prüfen, z.B. mit https://jsonlint.com

USG neu starten. Sollte sie nicht mehr starten, stimmt was mit dem json File nicht.

Anschliessend im Controller 2 Firewall Regeln eintragen:

Vorbereitend zur ersten Regel, eine Firewall Gruppe:

Regel unter “WAN eingehend” anlegen: bei Quelle - Adressgruppe die zuvor erstellte Gruppe einfügen:

Regel unter “WAN Lokal” anlegen:

In den Netzwerkeinstellungen des LAN die Funktion IGMP Snooping aktivieren, sonst wird das Netzwerk geflutet. Achtung, die Einstellung kann bei anderen Konfigurationsvorgängen an der USG verloren gehen, aber der Haken bleibt. Das erkennt man, wenn alle LED’s am Switch im gleichen Rythmus blinken oder man merkts, wenn das WLAN nicht mehr richtig läuft. Einfach aus - und wieder einschalten. Ist schon seit mehreren Versionen so, scheint ein Bug zu sein.

Wenn alles korrekt konfiguriert ist, sollten nach dem Provisionieren der USG keine Stream Unterbrüche mehr vorkommen.

Die USG Pro-4 bezeichnet die Ports anders. Dies ist in der Config anzupassen.

Bei der USG Pro-4 ist WAN1=eth2, LAN1=eth0, dann wird warscheinlich LAN2=eth1 und WAN2=eth3 sein (kann’s nicht überprüfen).

Die USG 3P hat folgende Zuordnung: WAN=eth0, LAN=eth1, VOIP=eth2.

Wenn du ein VLAN Interface hast, das auf den zugreifen soll, dann wird das VLAN nach dem IF geschrieben, z.B. eth0.99 für VLAN99 auf Port eth0.

Kannst auch mehr IF der Config hinzufügen. Wichtig ist, dass das json valid ist.

Hallo Roli, mir scheint das du etwas verstehst von der Materie - bei dieser Konstellation scheint soweit alles zu funktionieren. Was ich aber nicht hinkriege ist eine einseitige Kommunikation zwischen 2 VLANs. Ich erstelle VLAN1 und VLAN2 in “Corporate” die sich ja standardmässig miteinander unterhalten können. Danach erstelle ich eine Rules in LAN IN VLAN1 to VLAN2 Drop All (New + Invalid) und eine Rules LAN IN VLAN 2 to VLAN1 Accept All (New + Established), aber egal was ich einstelle (mit Gruppe oder NETv4), die Verbindung zwischen den VLANs ist entweder beidseitig offen oder beidseitig blockiert. Es muss doch eine Lösung zur Kaskadierung in eine Richtung geben? In dem Ubiquiti-Forum gibt es dazu zwar zwei drei Lösungsansätze die ich verfolgt habe, aber auch diese führen leider nicht zum gewünschten Erfolg. Funktioniert dies bei dir? Vielen Dank für deine Hilfe.

Hoi @MVadmin,

Ich verwende keine solche Regel, aber vom Schiff aus würd ich sagen, dass die Regel am falschen Ort ist

Hab’s kurz getestet: Mach eine Regel in LAN local


So konnte ich das Gateway von VLAN 51 aus dem LAN anpingen, wenn ich source und destination tausche, war das GW nicht mehr erreichbar.

Die Regel “allow” kannst du dir sparen.

Bei dir ist vlan1 = source, vlan2 = destination.

Versuch mal, ob es so passt.

Gruess

Roli

Hoi Roli, vielen Dank für deine Hilfe. Ich kann dein Bild leider nicht sehen, aber das macht mich schon sehr neugierig

Ich übe schon wieder seit den Morgenstunden, aber egal was ich in LOCAL LAN ändere, es scheint einfach keine Regel zu beissen - bei mir kann ich immer in beide Richtungen (VLAN1toVLAN2 und VLAN2toVLAN1) erfolgreich pingen.

Ich habe unter anderem folgende Lösungsansätze getestet, aber wie gesagt leider ohne Erfolg

https://community.ubnt.com/t5/UniFi-Routing-Switching/Help-Needed-Setup-several-different-VLAN-s-with-access-to/m-p/1823011#M35027

und

https://community.ubnt.com/t5/UniFi-Routing-Switching/firewall-rules-via-new-GUI-for-isolating-VLAN-traffic-using/td-p/1715102

Gruess

Hoi @MVadmin,

Mein gestriger Versuch war LAN to VLAN, nicht ganz das gleiche Szenario. Aber dass es so bockt, hab ich nicht erwartet.

Ich habs mit 2 VLAN nachgebaut und hatte es 2mal zum Laufen gebracht. Die restlichen Versuche waren so wie du geschrieben hast, entweder beidseitig geblockt oder beidseitig offen. Dabei ist mir aufgefallen, dass die USG nicht immer provisioniert. Welche Versionen vom Controller und USG verwendest du?

Gruess

Hoi Roli, ja das ist auch so langsam mein Verdacht. Mit welchen Einstellungen hast du es zum laufen gebracht? Ich verwende eine Unifi USG mit Version: 4.3.41.4975503 und mit Controller in der Version: 5.4.15_9230. Wenn das den einmal funktioniert, wäre die Idee auf eine USG-PRO-4 mit US-48 umzusteigen. Funktioniert es da besser?

Gruess

Ich habe 5.6.4 als Controller, gilt als unstable. Mach ein Backup und installier dir die 5.5.14 stable candidate. Der Unterschied der USG 3P und der Pro-4 ist die höhere CPU Leistung, einen Port mehr (2x WAN, 2x LAN) und die Gehäuseart. Das Betriebssystem ist dasselbe, also ist keine Verbesserung zu erwarten.

Gib mir per PM eine Übersicht deines Systems und was du genau machen willst, ev gibt es einen workaround.

Hallo zusammen

Ich möchte das selbe einrichten bei mir komme aber nicht weiter.

Ich habe in Foren gelesen das Thema mit der IP.

Deshalb habe ich die Internetbox standard auf 192.168.1.2 gesetzt und die USG auf 192.168.1.1.

Ich möchte eigentlich einen Port der Internetbox über die USG und die anderen drei Ports direkt zur Swisscom TV Box.

So habe ich das ganze verbunden und in mein bestehendes Netzwerk eingebunden. Im Unifi Controller finde ich auch das Gateway, Internet funktioniert aber nicht. So komme ich auch nicht mehr auf die Internet Box drauf.

Hoffe es kann mir noch jemand einen Tipp geben wie ich hier starten soll.

Danke und Gruss

Hi @Vogelfrei_2,

Du hast den richtigen Thread gefunden. Wie ich dir schon in dem von dir erstellten Thread geschrieben habe, steht hier die Lösung drin.

Du musst für die IB ein eigenes Subnetz nehmen, das mit deinem LAN NICHT im selben Range liegt. Nimm entweder wie beschrieben 172.16.1.1/24 oder sonst was, aber nicht 192.168.1.1/24.

IB2:

- IP 172.16.1.1/24 //Ich nehme explizit eine B Klasse, meine internen Netze sind C Klassen

- DHCP statische IP für USG auf 172.16.1.254 //das ist die WAN Adresse für die USG, wichtig dass der DHCP der IB läuft. Die USG zieht sich eine Adresse aus dem DHCP Bereich der IB.

- DMZ auf USG setzen

- DDNS von SC aktivieren //so ist das System von aussen via DNS erreichbar, ist optional

USG:

- WAN auf DHCP setzen

Lies den Post vom 03.05.2017 19:30 - wenn das funktioniert mach weiter mit dem Post vom 07.05.2017 16:06.

Für weitere Fragen mach mir eine PM.

Gruess Roli

Hi BurningRoli

Vielen Dank für deine Hilfestellung erstmals, ich war gestern nochmals damit beschäftigt und dachte schon ich bekomme es nicht hin. Habe es aber gestern tatsächlich mit den Daten von hier geschafft

Nun habe ich ein anderes Problem welches ich nicht ganz verstehe, Ich nutze einen CloudKey, Switch und AP von der Unifi Linie. Dazu habe ich auch die App über den Status, dort funktionierte gestern und auch heute Morgen noch alles. Aber nun komme ich nicht mehr drauf über die App. Bei allen Geräten ist aber der Status blau.

Auch mein NAS ist nicht mehr erreichbar.

Heute wurde kurz der Strom abgstellt und es waren alle Geräte offline sonst habe ich aber nicht geändert. An was könnte dies liegen?

Hast du eine Idee wie ich dies wieder hinbekomme?