Swisscom IB3 mit Unifi Dream Machine PRO Netzwerk Config

nasgulch

Swisscom IB hat LAN Netz von 192.168.11.1 und ist DHCP für Segment 192.168.11.x

UDMPro hat LAN Adresse von 192.168.11.2 im IB Netz und 192.168.2.1 im eigenen Netz und ist DHCP für Segment 192.168.2.x

DMZ in der Swisscom IB auf 192.168.11.2 gesetzt

PC im UDMPro LAN (also 192.168.2.xx) kommt auf das Internet und auf alle Ressourcen im Swisscom IB Netz 192.168.2.xx

Aber:

PC im Swisscom IB Netz findet die Ressourcen im UDMPro nicht?

Habe versucht eine Route auf IB Box 192.168.2.0 255.255.255.0 192.168.11.2 anzulegen aber ohne Effekt!!!

Option:

nur ein Netz. Habe es mit der DHCP Relay im UDMPro versucht aber das geht nicht.

Jede Hilfe begrüsst

PowerMac

Naja das ist klar: die UDM Pro blockiert den Traffic von ihrem WAN-Interface zum internen LAN, deshalb kannst du aus dem IB-Netz nicht aufs LAN der UDM zugreifen. Das ist auch der Sinn und Zweck einer Firewall. Wenn du das nicht möchtest, müsstest du die UDM entsprechend konfigurieren, dh. NAT und ggf. auch die Firewall deaktivieren.

nasgulch

OK das macht Sinn

Danke

JanineZ

@nasgulch

Konnte dich der Tipp unseres Users @PowerMac bei deinem Anliegen unterstützen? Dann markiere den Beitrag gerne als Lösung. So können alle User bestmöglich davon profitieren.

Danke dir und liebe Grüsse
JanineZ

ThierryP

Hallo,

Ich hatte bis jetzt ein Unifi Netzwerk mit Switch aber ohne UDMPro.

Diese hab eich mir nun angeschaft, da ich das Netzwerk so aufbauen möchte, wie es sein sollte.

Nun meine Frage bezüglich der Vergabe der IP Adressen. Bin da leider noch nicht so sehr versiert in der Logik.

Wäre es nicht besser das im oben beschrieben Treath die IB die IP 192.168.11.1 hat, die UDMPro aber die 192.168.1.1? DMZ in der IB dann auf 192.168.1.1.

Oder hat das keinen relevanten Einfluss?

Danke für Euren Input

Gruss Thierry

PowerMac

@ThierryP das würde gar nicht funktionieren.

Damit zwei Geräte miteinander kommunizieren können, müssen sie sich im selben Netzwerk befinden, aber unterschiedliche Adressen haben.

Ein (IPv4-)Netzwerk ist üblicherweise ein Bereich von 256 zusammenhängenden Adressen. Sehr für dieses Szenario vereinfacht ausgedrückt: damit zwei Geräte im selben Netzwerk sind müssen die ersten 3 Zahlen der Adresse gleich und die letzte unterschiedlich sein. Im obigen Beispiel hat die IB die Adresse 192.168.11.1 und das externe Interface der UDM die 192.168.11.2, somit können die Geräte miteinander kommunizieren. Die DMZ-Funktion der IB bewirkt dann nur noch, dass alle externen Anfragen pauschal an die UDM weitergereicht werden.

Wenn nun die IB wie von dir vorgeschlagen die IP 192.168.11.1 hat, aber das externe Interface der UDM die 192.168.1.1, dann befinden sie sich IP-mässig nicht mehr im selben Netz und können darum auch nicht mehr miteinander kommunizieren.

Was man im obigen Beispiel noch anders machen könnte, ist die IPv4 des LAN-Interfaces anders zu legen als auf 192.168.2.xx. Zum Beispiel eben 192.168.1.xx, solange dieser Bereich nicht schon vom externen Interface der UDM gebraucht wird. Aus anderen Gründen (VPNs aus externen Netzen z.B.) ist es aber sowieso ratsam, den eigenen IP-Bereich auf irgendetwas anderes als 192.168.1.xx zu legen.

ThierryP

@PowerMac

Vielen Dank für Deine Antwort. das schätze ich sehr. Grundsätzlich verstehe ich die Thematik mit den IP Adressen aber ich höre von links und von rechts verschiedene Lösungsansätze und bin ein bisschen verwirrt, welcher der richtige ist.

Info zu meinem aktuellen Netzwerk:

IB3 (192.168.1.1) –> Unifi 8Port Switch (192.168.1.100) –> Synology NAS (192.168.1.201) –> Synology BackUp NAS (192.168.1.202) –> U6-LR (192.168.1.109) –> Diverse Endgeräte (DHCP)

Das funktioniert einwandfrei und auch die externene Zugriffe (aktuell mit Portweiterleitungen auf der IB3) laufen tadellos.

Nun habe ich eine neue, unkonfigurierte UDMPro, welche ich jetzt gerne korrekt integrieren möchte (eigentlich das Netz neu auf der UDMPro aufbauen). Anschliessend würden dann nioch zwei VPN’s von extern dazu kommen.

Wenn ich Deine Nachricht richtig verstanden habe, könnte das neu wie folgt aussehen:

IB3 (192.168.1.1) –> UDMPro (im IB Netz 192.168.1.100 // eigenes Netz 192.168.2.1) –> SYN NAS (192.168.2.100) –> etc…

Oder warum meinst Du, dass es besser wäre wenn sich die UDMPro auch im 192.168.1.xx Range befindet?

PowerMac

@ThierryP schrieb:

[…]

IB3 (192.168.1.1) –> UDMPro (im IB Netz 192.168.1.100 // eigenes Netz 192.168.2.1) –> SYN NAS (192.168.2.100) –> etc…

Oder warum meinst Du, dass es besser wäre wenn sich die UDMPro auch im 192.168.1.xx Range befindet?

Nein, das meine ich eben gerade nicht, dh. es ist schon gut so wie du es geschrieben hast. Besonders wenn man VPNs betreiben möchte ist es sehr ratsam, das interne Netz NICHT im 192.168.1.xx-Range zu betreiben. Dies deshalb, weil sehr viele Privat-LANs standardmässig diesen Range, gelegentlich auch 192.168.0.xx oder bei Fritzbüchsen 192.168.178.xx, verwenden. Wenn sich ein Client dann irgendwo an so einem Fremdanschluss befindet und das VPN denselben Bereich beanspruchen möchte, gibts einen Konflikt und der Verbindungsaufbau schlägt fehl. Deshalb wählt man mit Vorteil einen Bereich, bei dem die Chance klein ist, dass er von fremden Netzen ebenfalls verwendet wird.

hed

@PowerMac schrieb:

@ThierryP das würde gar nicht funktionieren.

Damit zwei Geräte miteinander kommunizieren können, müssen sie sich im selben Netzwerk befinden, aber unterschiedliche Adressen haben.

…

@PowerMac

Jein, mit Hilfe eines Routers oder eines Layer-3-Switches mit Routingmöglichkeiten kann man zwei unterschiedliche Netze verbinden. Und in gewissen Fällen will man gar nicht, dass die Geräte zwischen den Netzen kommunizieren können sondern nur innerhalb des eigenen Subnetzes. Ein Beispiel dafür ist das Gast-WLAN der IB.

@ThierryP

Bevor du irgendwelche Geräte irgendwie zusammen stöpselst, solltest du dir ein Netzwerkkonzept mit der gewünschten Features erstellen und dabei Themen wie Adressierung, Subnetze, Routing, VPN, VLAN, Security, DMZ, Portforwarding etc. berücksichtigen und danach das Konzept entsprechend umsetzen.

ThierryP

@PowerMac

Danke, das hat mir geholfen, die Thematik besser zu verstehen.

Dann werde ich es so angehen.

ThierryP

Ist es korrekt, dass wenn ich die DMZ in der IB3 auf die IP der UDM verweise, ich dann die Portweiterleitungen in der IB3 nicht mehr benötige, diese aber in der UDM konfigurieren muss?

PowerMac

@ThierryP schrieb:

Ist es korrekt, dass wenn ich die DMZ in der IB3 auf die IP der UDM verweise, ich dann die Portweiterleitungen in der IB3 nicht mehr benötige, diese aber in der UDM konfigurieren muss?

Genau so ist es.