Unifi USG hinter DrayTek Vigor 130 in Bridged mode erreichen

9. März 2019 Kommentar schreiben

In meinem Heimnetz setze ich ausschließlich Unifi Produkte ein. Um ein doppeltes NAT durch den Router zu verhindern – das USG besitzt kein DSL-Modem – läuft dieses als transparente Bridge. Es ist aus dem Heimnetz regulär nicht erreichbar.

Der Vigor hat die auf dem LAN-Interface die IP 192.168.1.1/24, mein Heimnetz die 10.7.0.0/16. Um ihn zu errreichen muss also im USG eine Route in dieses Netz auf dem WAN Port des USG hinzugefügt werden. Die ist leider über die grafische Oberfläche des Unifi-Controllers nicht möglich

Um die Route hinzuzufügen benötigt es 2 Dinge.

  1. Das WAN Interface des USG benötigt eine IP im Netz des Vigor
  2. Eine NAT-rule muss für das routing zwischen Heimnetz und DSL-Netz angelegt werden

Fangen wir mit der zusätzlichen IP an. Diese konfigurieren wir über die Konsole des USG. Eine Anmerkung dazu: solange das save nicht ausgeführt wurde sind die Änderungen temporär. Ein Neustart des USG lässt sie wieder verschwinden. Nach dem save geht die nur indem man neu provisioniert.

configure
set interfaces pseudo-ethernet peth0 link eth0
set interfaces pseudo-ethernet peth0 address 192.168.1.100/24
set interfaces pseudo-ethernet peth0 description "Draytec"
commit
save
exit

Vom USG aus erreichen wir jetzt bereits das Draytec Modem was ein Ping auf die IP 192.168.1.1 beweist. Aus dem Heimnetz hinter dem USG ist es noch nicht erreichbar, hier fehlt noch die route. Diese kann als NAT-rule testweise ebenfalls über die Konsole des USG gesetzt werden. Wichtig sind hierbei die destination address die zur IP des Draytek passen muss und das outbound-interface welches wir vorhin angelegt haben.

configure
set service nat rule 5000 type masquerade
set service nat rule 5000 destination address 192.168.1.1
set service nat rule 5000 outbound-interface peth0
commit
save
exit

Ab dem Punkt können wir die Konfigurationsseite des Draytek aus dem Heimnetz aufrufen. Leider ist dies noch nicht von Dauer. Beim provisionieren des USG wären die Änderungen wieder verschwunden. Also müssen wir sie permanent machen. Dies geschieht auf dem Controller durch anlegen/anpassen einer config.gateway.json. Unter Debian 9 mit nur einer konfigurierten Site liegt diese beispielsweise unter /usr/lib/unifi/data/sites/default

Die Unifi Hilfeseite zu dem Thema findet ihr hier

{
  "interfaces": {
    "pseudo-ethernet": {
      "peth0": {
        "address": ["192.168.1.100/24"],
        "description": "Access to Modem",
        "link": ["eth0"]
      }
    }
  },
  "service": {
    "nat": {
      "rule": {
        "5000": {
          "destination": {
            "address": ["192.168.1.1"]
          },
          "outbound-interface": ["peth0"],
          "type": "masquerade"
        }
      }
    }
  }
}

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert