Swisscombox Plus nur als Modem vor Ubiquiti USG benutzen

suchender

Guten Morgen Support-Community

Ich möchte die Internetbox Plus nur als Modem nutzen um dahinter ein Ubiquiti USG mit der IP 192.168.1.1 zu betreiben (u.a. um Verschiedene VLans einzurichten).

Leider habe ich bei meiner Suche auf Google und hier im Formun noch nicht wirklich etwas brauchbares gefunden (andere Anleitung kann ich bei der Ib Plus nicht umsetzen).

Hat jemand einen guten Rat, Link oderbereits eine Anleitung dazu?

Besten Dank für Eure Hilfe.

POGO 1104

Die aktuellen Swisscom Internetboxen lassen leider keinen reinem Modem-Betrieb zu, auch IP-Passtrough geht leider nicht. Es gibt nur eine Art DMZ Betrieb.

Vermutlich hat aber Kollege @Anonym eine Lösung für dich….

quentin

Bei mir läuft ebenfalls ein Fremdrouter hinter der IB2. Besser gesagt eine pfSense Firewall. Am einfachsten ist es wohl, den Fremdrouter über den WAN Anschluss mit der IB zu verbinden. Da die Ubiquiti USG die IP 192.168.1.1 verwendet, kommt es zum Konflikt mit der IB, weil diese die gleiche IP verwendet. Wichtig ist daher, die IP Adresse des Fremdrouter zu ändern in 192.168.x.1 wobei x für eine Zahl zwischen 2 und 250 steht (z.B. 192.168.37.1)

Ein Nachteil hat diese Variante: IPv6 wird kaum funktionieren, da die IB nur ein 64er Subnet verteilt.

FlySmurf

Du kannst auf der IB den DMZ-Modus auf die USG aktivieren.

Gruss

suchender

Schon mal vielen Dank für den Tipp. Habe zwar diese Funktion in der IB gesehen, wusste aber nicht wofür die da ist. Eine Kurzbeschreibung über DMZ hab ich mal durchgesehen. Werde ich Versuchen.

Wie ich gelesen habe muss das USG auf 192.168.1.1 gesetzt werden, ansonsten es nicht funktioniert. Die IB setze ich mal auf.199 da ich diese ja nicht ausserhalb des DHCP-Bereiches nehmen kann. Am schönsten wäre die IB auf 192.168.2.1 und das USG auf 192.168.1.1 zu nehmen.

Melde mich wieder wenn ichs versucht habe.

BurningRoli

Bei mir läuft die USG 3P samt 3 USW (Switches),2 UAP (AccessPoint) und einem CK (Cloud Key) seit paar Monaten hinter der Internet Box 2. Wie bereits erwähnt hat die IB2 (gilt auch für IB+) leider keinen Pass-thru oder Bridge Modus (wäre wünschenswert, ist aber ein anderes Thema).

Ich habe mir die Infos aus diversen Threads aus dem Ubiquiti Forum geholt. Vor allem das IPTV Thema (Multicast, IGMP Snooping) hat mich paar Tage gekostet. SCTV2 funktioniert seit da einwandfrei.

Meine Konfiguration sieht folgendermassen aus:

IB2:

- IP 172.16.1.1/24 //Ich nehme explizit eine B Klasse, meine internen Netze sind C Klassen

- DHCP statische IP für USG auf 172.16.1.254 //das ist die WAN Adresse für die USG (reine Kosmetik)

- DMZ auf USG setzen

- DDNS von SC aktivieren //so ist das System von aussen via DNS erreichbar

USG:

- WAN auf DHCP setzen

Anmerkungen:

Mach dir ein VLAN bzw. IP Adresskonzept. Z.B. verwende ich für das primäre LAN (corporate) 192.168.11.0/24. Die Weiteren sind 192.168.12.0, 192.168.13.0 usw. Gästenetzwerk 192.168.99.0 mit speziellen Einschränkungen und VPN 192.168.10.0 mit Radius Auth.

Für’s WAN wie oben beschrieben, setzt ich eine andere Netzklasse ein, die IB bleibt trotzdem mit ihrer IP erreichbar (Routing via WAN der USG). So ist auch die Trennung zwischen WAN und LAN gut ersichtlich.

Ubiquiti ist sehr stark an Firmware weiterentwickeln. Das VPN hat mal funktioniert, bei einer folgenden FW nicht mehr und bei der nachfolgenden FW war’s wieder gefixt. Wichtig dabei ist die jeweiligen Release Note die bei jeder Veröffentlichung rauskommt, durchzulesen. Am besten am Anfang nicht gleich auf die 5.6er Branch (unstable) losgehen, sondern die 5.5er (stable candidate) oder 5.4 (stable) auf dem Controller einsetzen.

Kleine Story am Rande: der 3. Port (als VOIP bezeichnet) lässt sich als 2. WAN Port mit der Funktion Failover konfigurieren. An dem hatte ich einen alten Accesspoint als Client konfiguriert, der sich mit der SSID des Handy Hotspots verbindet. Resultat: WAN 2 bekommt IP via Hotspot. Bei simuliertem Ausfall von WAN 1 (IB) wurde mein ganzes Netz vom Hotspot versorgt. Sogar SCTV2 lief, solange man nicht live schaute, sondern leicht zeitversetzt. (live = Multicast, zeitversetzt = Unicast Stream).

Wenn dich die Einstellung für SCTV2 interessieren, kann ich sie hier posten.

Gruess

Roli

suchender

Viele Informationen aufs mal, aber hilft mir gedanklich bereits weiter. Herzlichen Dank.

Versuche mal alles am Wochenende umzusetzten. Hoffe es ist einigermassen gutes Wetter damit die Familie draussen ist. Ansonsten bekomme ich Probleme wenn bei den Kndern das Internet für längere Zeit ausfällt 🙂

suchender

so, nach langem hin und her mit diversen versuchen, hat es nun geklappt. Es läuft alles einwandfrei. mit den VLANs habe ich noch so meine Mühe. Da muss ich mir nochmals Gedanken mache wie ich das haben möchte.

Das grösste Problem ist nun, die Konfiguration für SCTV2. Es läuft etwa 10 Sekunden. Dann friert das Bild ein, bzw. erscheint kurz ein schwarzer Bildschirm, und dan läuft es weiter. Da gibt es wieder vieles zu lesen im Netz, auch gute Beschreibungen, aber ich finde nirgens die benötigten Konfigurationsfelder.

@“x”#225848da wäre ich nochmals über Deine Hilfe froh und dankbar.

BurningRoli

suchender

Du musst auf der USG den igmp-proxy aktivieren und 2 Firewall Regeln hinzufügen. Das aktivieren des Proxy wird über das config.gateway.json File gemacht.

Die Grundlagen zum config.gateway.json File findest du hier:

https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

Mit einem beliebigen Texteditor das File config.gateway.json den untenstehendem Code (gilt für die USG 3P) anlegen, wobei.json die Endung ist.

{
“protocols”: {
“igmp-proxy”: {
“interface”: {
“eth0”: {
“alt-subnet”: [ “0.0.0.0/0” ],
“role”: “upstream”,
“threshold”: “1”
},
“eth1”: {
“alt-subnet”: [ “0.0.0.0/0” ],
“role”: “downstream”,
“threshold”: “1”
}
}
}
}
}

Anschliessend die Datei an den je nach Controller richtigen Pfad kopieren. Den Code ggf. vorgängig mit einem JSON Validator prüfen, z.B. mit https://jsonlint.com

USG neu starten. Sollte sie nicht mehr starten, stimmt was mit dem json File nicht.

Anschliessend im Controller 2 Firewall Regeln eintragen:

Vorbereitend zur ersten Regel, eine Firewall Gruppe:
Gruppe anlegen.png

Regel unter “WAN eingehend” anlegen: bei Quelle - Adressgruppe die zuvor erstellte Gruppe einfügen:

wan in.png

Regel unter “WAN Lokal” anlegen:
wan lokal.png

In den Netzwerkeinstellungen des LAN die Funktion IGMP Snooping aktivieren, sonst wird das Netzwerk geflutet. Achtung, die Einstellung kann bei anderen Konfigurationsvorgängen an der USG verloren gehen, aber der Haken bleibt. Das erkennt man, wenn alle LED’s am Switch im gleichen Rythmus blinken oder man merkts, wenn das WLAN nicht mehr richtig läuft. Einfach aus - und wieder einschalten. Ist schon seit mehreren Versionen so, scheint ein Bug zu sein.

Wenn alles korrekt konfiguriert ist, sollten nach dem Provisionieren der USG keine Stream Unterbrüche mehr vorkommen.

suchender

Hallo BurningRoli

Du schreibst “(gilt für die USG 3P)”. Klappt das auch mit einer USG-Pro-4? Oder muss ich da etwas anderes machen?

BurningRoli

Die USG Pro-4 bezeichnet die Ports anders. Dies ist in der Config anzupassen.

Bei der USG Pro-4 ist WAN1=eth2, LAN1=eth0, dann wird warscheinlich LAN2=eth1 und WAN2=eth3 sein (kann’s nicht überprüfen).

Die USG 3P hat folgende Zuordnung: WAN=eth0, LAN=eth1, VOIP=eth2.

Wenn du ein VLAN Interface hast, das auf den zugreifen soll, dann wird das VLAN nach dem IF geschrieben, z.B. eth0.99 für VLAN99 auf Port eth0.

Kannst auch mehr IF der Config hinzufügen. Wichtig ist, dass das json valid ist.

MVadmin

Hallo Roli, mir scheint das du etwas verstehst von der Materie - bei dieser Konstellation scheint soweit alles zu funktionieren. Was ich aber nicht hinkriege ist eine einseitige Kommunikation zwischen 2 VLANs. Ich erstelle VLAN1 und VLAN2 in “Corporate” die sich ja standardmässig miteinander unterhalten können. Danach erstelle ich eine Rules in LAN IN VLAN1 to VLAN2 Drop All (New + Invalid) und eine Rules LAN IN VLAN 2 to VLAN1 Accept All (New + Established), aber egal was ich einstelle (mit Gruppe oder NETv4), die Verbindung zwischen den VLANs ist entweder beidseitig offen oder beidseitig blockiert. Es muss doch eine Lösung zur Kaskadierung in eine Richtung geben? In dem Ubiquiti-Forum gibt es dazu zwar zwei drei Lösungsansätze die ich verfolgt habe, aber auch diese führen leider nicht zum gewünschten Erfolg. Funktioniert dies bei dir? Vielen Dank für deine Hilfe.

BurningRoli

Hoi @MVadmin,

Ich verwende keine solche Regel, aber vom Schiff aus würd ich sagen, dass die Regel am falschen Ort ist😉

Hab’s kurz getestet: Mach eine Regel in LAN local

![](blob:https://community.swisscom.ch/3f5cc26c-daa1-4b68-a329-eee0c8866b58)

So konnte ich das Gateway von VLAN 51 aus dem LAN anpingen, wenn ich source und destination tausche, war das GW nicht mehr erreichbar.

Die Regel “allow” kannst du dir sparen.

Bei dir ist vlan1 = source, vlan2 = destination.

Versuch mal, ob es so passt.

Gruess

Roli

MVadmin

Hoi Roli, vielen Dank für deine Hilfe. Ich kann dein Bild leider nicht sehen, aber das macht mich schon sehr neugierig 😉

Ich übe schon wieder seit den Morgenstunden, aber egal was ich in LOCAL LAN ändere, es scheint einfach keine Regel zu beissen - bei mir kann ich immer in beide Richtungen (VLAN1toVLAN2 und VLAN2toVLAN1) erfolgreich pingen.

Ich habe unter anderem folgende Lösungsansätze getestet, aber wie gesagt leider ohne Erfolg

https://community.ubnt.com/t5/UniFi-Routing-Switching/Help-Needed-Setup-several-different-VLAN-s-with-access-to/m-p/1823011#M35027

und

https://community.ubnt.com/t5/UniFi-Routing-Switching/firewall-rules-via-new-GUI-for-isolating-VLAN-traffic-using/td-p/1715102

Gruess

BurningRoli

Hoi @MVadmin,

Mein gestriger Versuch war LAN to VLAN, nicht ganz das gleiche Szenario. Aber dass es so bockt, hab ich nicht erwartet.

Ich habs mit 2 VLAN nachgebaut und hatte es 2mal zum Laufen gebracht. Die restlichen Versuche waren so wie du geschrieben hast, entweder beidseitig geblockt oder beidseitig offen. Dabei ist mir aufgefallen, dass die USG nicht immer provisioniert. Welche Versionen vom Controller und USG verwendest du?

Gruess

MVadmin

Hoi Roli, ja das ist auch so langsam mein Verdacht. Mit welchen Einstellungen hast du es zum laufen gebracht? Ich verwende eine Unifi USG mit Version: 4.3.41.4975503 und mit Controller in der Version: 5.4.15_9230. Wenn das den einmal funktioniert, wäre die Idee auf eine USG-PRO-4 mit US-48 umzusteigen. Funktioniert es da besser?

Gruess

BurningRoli

Ich habe 5.6.4 als Controller, gilt als unstable. Mach ein Backup und installier dir die 5.5.14 stable candidate. Der Unterschied der USG 3P und der Pro-4 ist die höhere CPU Leistung, einen Port mehr (2x WAN, 2x LAN) und die Gehäuseart. Das Betriebssystem ist dasselbe, also ist keine Verbesserung zu erwarten.

Gib mir per PM eine Übersicht deines Systems und was du genau machen willst, ev gibt es einen workaround.

Vogelfrei_2

Hallo zusammen

Ich möchte das selbe einrichten bei mir komme aber nicht weiter.

Ich habe in Foren gelesen das Thema mit der IP.

Deshalb habe ich die Internetbox standard auf 192.168.1.2 gesetzt und die USG auf 192.168.1.1.

Ich möchte eigentlich einen Port der Internetbox über die USG und die anderen drei Ports direkt zur Swisscom TV Box.

So habe ich das ganze verbunden und in mein bestehendes Netzwerk eingebunden. Im Unifi Controller finde ich auch das Gateway, Internet funktioniert aber nicht. So komme ich auch nicht mehr auf die Internet Box drauf.

Hoffe es kann mir noch jemand einen Tipp geben wie ich hier starten soll.

Danke und Gruss

BurningRoli

Hi @Vogelfrei_2,

Du hast den richtigen Thread gefunden. Wie ich dir schon in dem von dir erstellten Thread geschrieben habe, steht hier die Lösung drin.

Du musst für die IB ein eigenes Subnetz nehmen, das mit deinem LAN NICHT im selben Range liegt. Nimm entweder wie beschrieben 172.16.1.1/24 oder sonst was, aber nicht 192.168.1.1/24.

IB2:

- IP 172.16.1.1/24 //Ich nehme explizit eine B Klasse, meine internen Netze sind C Klassen

- DHCP statische IP für USG auf 172.16.1.254 //das ist die WAN Adresse für die USG, wichtig dass der DHCP der IB läuft. Die USG zieht sich eine Adresse aus dem DHCP Bereich der IB.

- DMZ auf USG setzen

- DDNS von SC aktivieren //so ist das System von aussen via DNS erreichbar, ist optional

USG:

- WAN auf DHCP setzen

Lies den Post vom 03.05.2017 19:30 - wenn das funktioniert mach weiter mit dem Post vom 07.05.2017 16:06.

Für weitere Fragen mach mir eine PM.

Gruess Roli

Vogelfrei_2

Hi BurningRoli

Vielen Dank für deine Hilfestellung erstmals, ich war gestern nochmals damit beschäftigt und dachte schon ich bekomme es nicht hin. Habe es aber gestern tatsächlich mit den Daten von hier geschafft 🙂

Nun habe ich ein anderes Problem welches ich nicht ganz verstehe, Ich nutze einen CloudKey, Switch und AP von der Unifi Linie. Dazu habe ich auch die App über den Status, dort funktionierte gestern und auch heute Morgen noch alles. Aber nun komme ich nicht mehr drauf über die App. Bei allen Geräten ist aber der Status blau.

Auch mein NAS ist nicht mehr erreichbar.

Heute wurde kurz der Strom abgstellt und es waren alle Geräte offline sonst habe ich aber nicht geändert. An was könnte dies liegen?

Hast du eine Idee wie ich dies wieder hinbekomme?

Nächste Seite »