• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Swisscombox Plus nur als Modem vor Ubiquiti USG benutzen

suchender
Level 1
1 von 267

Guten Morgen Support-Community

Ich möchte die Internetbox Plus nur als Modem nutzen um dahinter ein Ubiquiti USG mit der IP 192.168.1.1 zu betreiben (u.a. um Verschiedene VLans einzurichten).

Leider habe ich bei meiner Suche auf Google und hier im Formun noch nicht wirklich etwas brauchbares gefunden (andere Anleitung kann ich bei der Ib Plus nicht umsetzen).

Hat jemand einen guten Rat, Link oderbereits eine Anleitung dazu?

Besten Dank für Eure Hilfe.

HILFREICHSTE ANTWORTEN2

Akzeptierte Lösungen
BurningRoli
Level 3
6 von 267

Bei mir läuft die USG 3P samt 3 USW (Switches),2 UAP (AccessPoint) und einem CK (Cloud Key) seit paar Monaten hinter der Internet Box 2. Wie bereits erwähnt hat die IB2 (gilt auch für IB+) leider keinen Pass-thru oder Bridge Modus (wäre wünschenswert, ist aber ein anderes Thema).

 

Ich habe mir die Infos aus diversen Threads aus dem Ubiquiti Forum geholt. Vor allem das IPTV Thema (Multicast, IGMP Snooping) hat mich paar Tage gekostet. SCTV2 funktioniert seit da einwandfrei.

 

Meine Konfiguration sieht folgendermassen aus:

 

IB2:

- IP 172.16.1.1/24  //Ich nehme explizit eine B Klasse, meine internen Netze sind C Klassen

- DHCP statische IP für USG auf 172.16.1.254  //das ist die WAN Adresse für die USG (reine Kosmetik)

- DMZ auf USG setzen

- DDNS von SC aktivieren  //so ist das System von aussen via DNS erreichbar

 

USG:

- WAN auf DHCP setzen

 

Anmerkungen:

Mach dir ein VLAN bzw. IP Adresskonzept. Z.B. verwende ich für das primäre LAN (corporate) 192.168.11.0/24. Die Weiteren sind 192.168.12.0, 192.168.13.0 usw. Gästenetzwerk 192.168.99.0 mit speziellen Einschränkungen und VPN 192.168.10.0 mit Radius Auth.

 

Für's WAN wie oben beschrieben, setzt ich eine andere Netzklasse ein, die IB bleibt trotzdem mit ihrer IP erreichbar (Routing via WAN der USG). So ist auch die Trennung zwischen WAN und LAN gut ersichtlich.

 

Ubiquiti ist sehr stark an Firmware weiterentwickeln. Das VPN hat mal funktioniert, bei einer folgenden FW nicht mehr und bei der nachfolgenden FW war's wieder gefixt. Wichtig dabei ist die jeweiligen Release Note die bei jeder Veröffentlichung rauskommt, durchzulesen. Am besten am Anfang nicht gleich auf die 5.6er Branch (unstable) losgehen, sondern die 5.5er (stable candidate) oder 5.4 (stable) auf dem Controller einsetzen.

 

Kleine Story am Rande: der 3. Port (als VOIP bezeichnet) lässt sich als 2. WAN Port mit der Funktion Failover konfigurieren. An dem hatte ich einen alten Accesspoint als Client konfiguriert, der sich mit der SSID des Handy Hotspots verbindet. Resultat: WAN 2 bekommt IP via Hotspot. Bei simuliertem Ausfall von WAN 1 (IB) wurde mein ganzes Netz vom Hotspot versorgt. Sogar SCTV2 lief, solange man nicht live schaute, sondern leicht zeitversetzt. (live = Multicast, zeitversetzt = Unicast Stream).

 

Wenn dich die Einstellung für SCTV2 interessieren, kann ich sie hier posten.

 

Gruess

Roli

 

Mister.Deeds
Level 2
158 von 267

Hallo zusammen

 

Vielen Dank für eure Rückmeldungen!

 

 

Nun bin ich der Sache auf die Schliche gekommen. Da ich den USGP direkt am Glas dran habe und der WAN Port mit dem VLAN 10 versehen ist, ändert sich auch der Name.
Somit ist es nicht "eth2" sondern "eth2.10". Meine config.gateway.json Datei sieht so aus:

 

{
	"protocols": {
		"igmp-proxy": {
			"interface": {
				"eth2.10": {
					"alt-subnet": [
						"0.0.0.0/0"
					],
					"role": "upstream",
					"threshold": "1"
				},
				"eth0": {
					"alt-subnet": [
						"0.0.0.0/0"
					],
					"role": "downstream",
					"threshold": "1"
				}
			}
		}
	},
	"interfaces": {
		"ethernet": {
			"eth2": {
				"description": "Internet Swisscom",
				"vif": {
					"10": {
						"dhcp-options": {
							"client-option": "send vendor-class-identifier "100008,0001";"
						}
					}
				}
			}
		}
	}
}

Die Firewalleinträge habe ich wieder via der Oberfläche gemacht.

 

Zu Beginn hatte ich den USGP hinter der Internet Box, somit war der WAN natürlich nicht mit einem VLAN getaggt. Da ich aber nun den Gateway direkt ans Netz genommen habe, hat sich dies geändert.

 

Schönen Sonntag zusammen und beste Grüsse

 

 

 

 

266 Kommentare 266
POGO 1104
Super User
2 von 267
Die aktuellen Swisscom Internetboxen lassen leider keinen reinem Modem-Betrieb zu, auch IP-Passtrough geht leider nicht. Es gibt nur eine Art DMZ Betrieb.

Vermutlich hat aber Kollege @Anonym eine Lösung für dich....
keep on rockin'
keep on rockin'
quentin
Level 1
3 von 267

Bei mir läuft ebenfalls ein Fremdrouter hinter der IB2. Besser gesagt eine pfSense Firewall. Am einfachsten ist es wohl, den Fremdrouter über den WAN Anschluss mit der IB zu verbinden. Da die Ubiquiti USG die IP 192.168.1.1 verwendet, kommt es zum Konflikt mit der IB, weil diese die gleiche IP verwendet. Wichtig ist daher, die IP Adresse des Fremdrouter zu ändern in 192.168.x.1 wobei x für eine Zahl zwischen 2 und 250 steht (z.B. 192.168.37.1)

Ein Nachteil hat diese Variante: IPv6 wird kaum funktionieren, da die IB nur ein 64er Subnet verteilt.

FlySmurf
Super User
4 von 267

Du kannst auf der IB den DMZ-Modus auf die USG aktivieren.

 

Gruss

suchender
Level 1
5 von 267

Schon mal vielen Dank für den Tipp. Habe zwar diese Funktion in der IB gesehen, wusste aber nicht wofür die da ist. Eine Kurzbeschreibung über DMZ hab ich mal durchgesehen. Werde ich Versuchen.

Wie ich gelesen habe muss das USG auf 192.168.1.1 gesetzt werden, ansonsten es nicht funktioniert. Die IB setze ich mal auf .199 da ich diese ja nicht ausserhalb des DHCP-Bereiches nehmen kann. Am schönsten wäre die IB auf 192.168.2.1 und das USG auf 192.168.1.1 zu nehmen.

Melde mich wieder wenn ichs versucht habe.

BurningRoli
Level 3
6 von 267

Bei mir läuft die USG 3P samt 3 USW (Switches),2 UAP (AccessPoint) und einem CK (Cloud Key) seit paar Monaten hinter der Internet Box 2. Wie bereits erwähnt hat die IB2 (gilt auch für IB+) leider keinen Pass-thru oder Bridge Modus (wäre wünschenswert, ist aber ein anderes Thema).

 

Ich habe mir die Infos aus diversen Threads aus dem Ubiquiti Forum geholt. Vor allem das IPTV Thema (Multicast, IGMP Snooping) hat mich paar Tage gekostet. SCTV2 funktioniert seit da einwandfrei.

 

Meine Konfiguration sieht folgendermassen aus:

 

IB2:

- IP 172.16.1.1/24  //Ich nehme explizit eine B Klasse, meine internen Netze sind C Klassen

- DHCP statische IP für USG auf 172.16.1.254  //das ist die WAN Adresse für die USG (reine Kosmetik)

- DMZ auf USG setzen

- DDNS von SC aktivieren  //so ist das System von aussen via DNS erreichbar

 

USG:

- WAN auf DHCP setzen

 

Anmerkungen:

Mach dir ein VLAN bzw. IP Adresskonzept. Z.B. verwende ich für das primäre LAN (corporate) 192.168.11.0/24. Die Weiteren sind 192.168.12.0, 192.168.13.0 usw. Gästenetzwerk 192.168.99.0 mit speziellen Einschränkungen und VPN 192.168.10.0 mit Radius Auth.

 

Für's WAN wie oben beschrieben, setzt ich eine andere Netzklasse ein, die IB bleibt trotzdem mit ihrer IP erreichbar (Routing via WAN der USG). So ist auch die Trennung zwischen WAN und LAN gut ersichtlich.

 

Ubiquiti ist sehr stark an Firmware weiterentwickeln. Das VPN hat mal funktioniert, bei einer folgenden FW nicht mehr und bei der nachfolgenden FW war's wieder gefixt. Wichtig dabei ist die jeweiligen Release Note die bei jeder Veröffentlichung rauskommt, durchzulesen. Am besten am Anfang nicht gleich auf die 5.6er Branch (unstable) losgehen, sondern die 5.5er (stable candidate) oder 5.4 (stable) auf dem Controller einsetzen.

 

Kleine Story am Rande: der 3. Port (als VOIP bezeichnet) lässt sich als 2. WAN Port mit der Funktion Failover konfigurieren. An dem hatte ich einen alten Accesspoint als Client konfiguriert, der sich mit der SSID des Handy Hotspots verbindet. Resultat: WAN 2 bekommt IP via Hotspot. Bei simuliertem Ausfall von WAN 1 (IB) wurde mein ganzes Netz vom Hotspot versorgt. Sogar SCTV2 lief, solange man nicht live schaute, sondern leicht zeitversetzt. (live = Multicast, zeitversetzt = Unicast Stream).

 

Wenn dich die Einstellung für SCTV2 interessieren, kann ich sie hier posten.

 

Gruess

Roli

 

suchender
Level 1
7 von 267

Viele Informationen aufs mal, aber hilft mir gedanklich bereits weiter. Herzlichen Dank.

Versuche mal alles am Wochenende umzusetzten. Hoffe es ist einigermassen gutes Wetter damit die Familie draussen ist. Ansonsten bekomme ich Probleme wenn bei den Kndern das Internet für längere Zeit ausfällt 🙂 

suchender
Level 1
8 von 267

so, nach langem hin und her mit diversen versuchen, hat es nun geklappt. Es läuft alles einwandfrei. mit den VLANs habe ich noch so meine Mühe. Da muss ich mir nochmals Gedanken mache wie ich das haben möchte.

Das grösste Problem ist nun, die Konfiguration für SCTV2. Es läuft etwa 10 Sekunden. Dann friert das Bild ein, bzw. erscheint kurz ein schwarzer Bildschirm, und dan läuft es weiter. Da gibt es wieder vieles zu lesen im Netz, auch gute Beschreibungen, aber ich finde nirgens die benötigten Konfigurationsfelder.

@BurningRolida wäre ich nochmals über Deine Hilfe froh und dankbar.

BurningRoli
Level 3
9 von 267

Du musst auf der USG den igmp-proxy aktivieren und 2 Firewall Regeln hinzufügen. Das aktivieren des Proxy wird über das config.gateway.json File gemacht.

 

Die Grundlagen zum config.gateway.json File findest du hier: 

https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-w...

 

Mit einem beliebigen Texteditor das File config.gateway.json den untenstehendem Code (gilt für die USG 3P) anlegen, wobei .json die Endung ist. 

 

 

{
        "protocols": {
                "igmp-proxy": {
                        "interface": {
                                "eth0": {
                                        "alt-subnet": [ "0.0.0.0/0" ],
                                        "role": "upstream",
                                        "threshold": "1"
                                        },
                                "eth1": {
                                        "alt-subnet": [ "0.0.0.0/0" ],
                                        "role": "downstream",
                                        "threshold": "1"
                                        }
                                     }
                              }
                     }
}

 

 

Anschliessend die Datei an den je nach Controller richtigen Pfad kopieren. Den Code ggf. vorgängig mit einem JSON Validator prüfen, z.B. mit https://jsonlint.com

 

USG neu starten. Sollte sie nicht mehr starten, stimmt was mit dem json File nicht.

 

Anschliessend im Controller 2 Firewall Regeln eintragen:

 

Vorbereitend zur ersten Regel, eine Firewall Gruppe:
Gruppe anlegen.png

 

Regel unter "WAN eingehend" anlegen: bei Quelle - Adressgruppe die zuvor erstellte Gruppe einfügen:

wan in.png

 

Regel unter "WAN Lokal" anlegen:
wan lokal.png

In den Netzwerkeinstellungen des LAN die Funktion IGMP Snooping aktivieren, sonst wird das Netzwerk geflutet. Achtung, die Einstellung kann bei anderen Konfigurationsvorgängen an der USG verloren gehen, aber der Haken bleibt. Das erkennt man, wenn alle LED's am Switch im gleichen Rythmus blinken oder man merkts, wenn das WLAN nicht mehr richtig läuft. Einfach aus - und wieder einschalten. Ist schon seit mehreren Versionen so, scheint ein Bug zu sein.

 

Wenn alles korrekt konfiguriert ist, sollten nach dem Provisionieren der USG keine Stream Unterbrüche mehr vorkommen.

 

Editiert
suchender
Level 1
10 von 267

Hallo BurningRoli

Du schreibst "(gilt für die USG 3P)". Klappt das auch mit einer USG-Pro-4? Oder muss ich da etwas anderes machen? 

BurningRoli
Level 3
11 von 267

Die USG Pro-4 bezeichnet die Ports anders. Dies ist in der Config anzupassen.

 

Bei der USG Pro-4 ist WAN1=eth2, LAN1=eth0,  dann wird warscheinlich LAN2=eth1 und WAN2=eth3 sein (kann's nicht überprüfen).

Die USG 3P hat folgende Zuordnung: WAN=eth0, LAN=eth1, VOIP=eth2.

 

Wenn du ein VLAN Interface hast, das auf den zugreifen soll, dann wird das VLAN nach dem IF geschrieben, z.B. eth0.99 für VLAN99 auf Port eth0.

Kannst auch mehr IF der Config hinzufügen. Wichtig ist, dass das json valid ist.

 

 

Editiert
MVadmin
Level 1
12 von 267

Hallo Roli, mir scheint das du etwas verstehst von der Materie - bei dieser Konstellation scheint soweit alles zu funktionieren. Was ich aber nicht hinkriege ist eine einseitige Kommunikation zwischen 2 VLANs. Ich erstelle VLAN1 und VLAN2 in "Corporate" die sich ja standardmässig miteinander unterhalten können. Danach erstelle ich eine Rules in LAN IN VLAN1 to VLAN2 Drop All (New + Invalid) und eine Rules LAN IN VLAN 2 to VLAN1 Accept All (New + Established), aber egal was ich einstelle (mit Gruppe oder NETv4), die Verbindung zwischen den VLANs ist entweder beidseitig offen oder beidseitig  blockiert. Es muss doch eine Lösung zur Kaskadierung in eine Richtung geben? In dem Ubiquiti-Forum gibt es dazu zwar zwei drei Lösungsansätze die ich verfolgt habe, aber auch diese führen leider nicht zum gewünschten Erfolg. Funktioniert dies bei dir? Vielen Dank für deine Hilfe.

Editiert
BurningRoli
Level 3
13 von 267

Hoi @MVadmin , 

 

Ich verwende keine solche Regel, aber vom Schiff aus würd ich sagen, dass die Regel am falschen Ort ist :smileywink:

 

Hab's kurz getestet: Mach eine Regel in LAN local

 

 

So konnte ich das Gateway von VLAN 51 aus dem LAN anpingen, wenn ich source und destination tausche, war das GW nicht mehr erreichbar.

Die Regel "allow" kannst du dir sparen.

Bei dir ist vlan1 = source, vlan2 = destination.

 

Versuch mal, ob es so passt. 

Gruess

Roli

Editiert
MVadmin
Level 1
14 von 267

Hoi Roli, vielen Dank für deine Hilfe. Ich kann dein Bild leider nicht sehen, aber das macht mich schon sehr neugierig 😉

 

Ich übe schon wieder seit den Morgenstunden, aber egal was ich in LOCAL LAN ändere, es scheint einfach keine Regel zu beissen - bei mir kann ich immer in beide Richtungen (VLAN1toVLAN2 und VLAN2toVLAN1) erfolgreich pingen.

 

Ich habe unter anderem folgende Lösungsansätze getestet, aber wie gesagt leider ohne Erfolg

 

https://community.ubnt.com/t5/UniFi-Routing-Switching/Help-Needed-Setup-several-different-VLAN-s-wit...

 

und

 

https://community.ubnt.com/t5/UniFi-Routing-Switching/firewall-rules-via-new-GUI-for-isolating-VLAN-...

 

Gruess

BurningRoli
Level 3
15 von 267

Hoi @MVadmin ,

 

Mein gestriger Versuch war LAN to VLAN, nicht ganz das gleiche Szenario. Aber dass es so bockt, hab ich nicht erwartet.

Ich habs mit 2 VLAN nachgebaut und hatte es 2mal zum Laufen gebracht. Die restlichen Versuche waren so wie du geschrieben hast, entweder beidseitig geblockt oder beidseitig offen. Dabei ist mir aufgefallen, dass die USG nicht immer provisioniert. Welche Versionen vom Controller und USG verwendest du?

Gruess

MVadmin
Level 1
16 von 267

Hoi Roli, ja das ist auch so langsam mein Verdacht. Mit welchen Einstellungen hast du es zum laufen gebracht? Ich verwende eine Unifi USG mit Version: 4.3.41.4975503 und mit Controller in der Version: 5.4.15_9230. Wenn das den einmal funktioniert, wäre die Idee auf eine USG-PRO-4 mit US-48 umzusteigen. Funktioniert es da besser?

 

Gruess

Editiert
BurningRoli
Level 3
17 von 267

Ich habe 5.6.4 als Controller, gilt als unstable. Mach ein Backup und installier dir die 5.5.14 stable candidate. Der Unterschied der USG 3P und der Pro-4 ist die höhere CPU Leistung, einen Port mehr (2x WAN, 2x LAN) und die Gehäuseart. Das Betriebssystem ist dasselbe, also ist keine Verbesserung zu erwarten.

Gib mir per PM eine Übersicht deines Systems und was du genau machen willst, ev gibt es einen workaround.

 

Vogelfrei_2
Level 2
18 von 267

Hallo zusammen

 

Ich möchte das selbe einrichten bei mir komme aber nicht weiter.

 

Ich habe in Foren gelesen das Thema mit der IP.

Deshalb habe ich die Internetbox standard auf 192.168.1.2 gesetzt und die USG auf 192.168.1.1.

Ich möchte eigentlich einen Port der Internetbox über die USG und die anderen drei Ports direkt zur Swisscom TV Box.

 

So habe ich das ganze verbunden und in mein bestehendes Netzwerk eingebunden. Im Unifi Controller finde ich auch das Gateway, Internet funktioniert aber nicht. So komme ich auch nicht mehr auf die Internet Box drauf.

 

Hoffe es kann mir noch jemand einen Tipp geben wie ich hier starten soll.

 

Danke und Gruss

BurningRoli
Level 3
19 von 267

Hi @Vogelfrei_2,

 

Du hast den richtigen Thread gefunden. Wie ich dir schon in dem von dir erstellten Thread geschrieben habe, steht hier die Lösung drin.

 

Du musst für die IB ein eigenes Subnetz nehmen, das mit deinem LAN NICHT im selben Range liegt. Nimm entweder wie beschrieben 172.16.1.1/24 oder sonst was, aber nicht 192.168.1.1/24. 

 

IB2:

- IP 172.16.1.1/24  //Ich nehme explizit eine B Klasse, meine internen Netze sind C Klassen

- DHCP statische IP für USG auf 172.16.1.254  //das ist die WAN Adresse für die USG, wichtig dass der DHCP der IB läuft. Die USG zieht sich eine Adresse aus dem DHCP Bereich der IB.

- DMZ auf USG setzen

- DDNS von SC aktivieren  //so ist das System von aussen via DNS erreichbar, ist optional

 

USG:

- WAN auf DHCP setzen

 

Lies den Post vom 03.05.2017 19:30 - wenn das funktioniert mach weiter mit dem Post vo07.05.2017 16:06.

 

Für weitere Fragen mach mir eine PM.

 

Gruess Roli

Vogelfrei_2
Level 2
20 von 267

Hi BurningRoli

 

Vielen Dank für deine Hilfestellung erstmals, ich war gestern nochmals damit beschäftigt und dachte schon ich bekomme es nicht hin. Habe es aber gestern tatsächlich mit den Daten von hier geschafft 🙂

 

Nun habe ich ein anderes Problem welches ich nicht ganz verstehe, Ich nutze einen CloudKey, Switch und AP von der Unifi Linie. Dazu habe ich auch die App über den Status, dort funktionierte gestern und auch heute Morgen noch alles. Aber nun komme ich nicht mehr drauf über die App. Bei allen Geräten ist aber der Status blau.

Auch mein NAS ist nicht mehr erreichbar.

 

Heute wurde kurz der Strom abgstellt und es waren alle Geräte offline sonst habe ich aber nicht geändert. An was könnte dies liegen?

Hast du eine Idee wie ich dies wieder hinbekomme?

Nach oben