Externe IP von Unifi-Device auslesen

Hin und wieder spinnt schon mal das DDNS bei manchen Geräten. Wenn man in diesen Netzen ein Unifi-Gerät auf einem erreichbaren Controller hat, kann man sich aber die externe IP von diesem einfach auslesen. Dazu im Controller auf das Gerät klicken, auf den Reiter „Config“ (Zahnrad) drücken und ganz unten auf „Download Device Info“. Dann erhält man eine JSON, in der man einfach nach „extip“ suchen kann, und schon hat man seine IP gefunden.

Links und Credit

https://community.ui.com/questions/Is-there-a-way-to-get-public-IP-address-of-an-AP/3c8138bb-356d-427a-b18a-63bdbe119c0b

Konfigurieren von OpenVPN auf dem USG

Hier eine Anleitung, die die Schritte ziemlich gut beschreibt: https://medium.com/server-guides/how-to-setup-an-openvpn-server-on-a-unifi-usg-e33ea2f6725d

Lediglich beim Konfigurieren der Client-OVPN-Files gibt es anzumerken, dass die Zertifikate in HTML-Tags gefasst gehören, sprich <ca></ca> für das CA-Zertifikat, <cert></cert> für das client-crt und <key></key> für den client-key.

Wer nicht will, dass der gesamte Traffic über das VPN geleitet wird (zB nur für Wartungsarbeiten), der muss aus dem JSON die Zeile mit der Option „redirect-gateway def1“ löschen. Auch die IP-Adressen müssen angepasst werden an das zu wartende Netzwerk: „push-route“ und „nameserver“ sollen die IPs des zu wartenden Netzwerks sein.

Vergesst nicht, das JSON vorher durch einen Validator zu jagen, ansonsten kann es böse enden und das USG steckt in der „provisioning-loop“ mit anschließendem Neustart fest.

Falls ihr wie in diesem Artikel (https://blog.e9a.at/konfigurieren-von-ddns-mit-eigenem-provider-auf-dem-usg/) gezeigt die „config.gateway.json“ mit diesem Inhalt bereits habt, könnt ihr euch den Punkt „service“ von OpenVPN komplett sparen.

Links und Credit

https://medium.com/server-guides/how-to-setup-an-openvpn-server-on-a-unifi-usg-e33ea2f6725d
https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

Konfigurieren von DDNS mit eigenem Provider auf dem USG

Um sich mit dem USG auch bei dynamischen IP-Adressen verbinden zu können, brauchen wir einen Dynamischen DNS-Provider. Wir verwenden nsupdate.info. Dieser Dienst arbeitet mit dem ddclient. Dieser Client ist auf dem USG vorinstalliert. Lediglich die Konfiugration, die einem der Provider als ganzes ausspuckt, muss man reinkopieren

vi /etc/ddclient.conf

Anschließend kopiert man die Konfig hinein, startet den ddclient einmal manuel mittels dem Befehl

ddclient

Und wenn alles klappt, schreibt er einem „Good“ hin und die IP, die jetzt hochgepusht wurde. Das ist keine Hexerei.

Links und Credit

https://www.nsupdate.info/

Zugriff auf WAN-seitiges Modem-Interface bei USG

Beim Erstellen von Netzwerken müssen wir leider oft auf Doppel-Nating zurückgreifen, um hinter dem A1-Router ein USG nutzen zu können (Modemverwendung zB durch A1-TV nicht möglich). Um trotzdem auf das Webinterface des A1-Routers aus dem Netzwerk des USGs zugreifen zu können, müssen wir eine Firewall-Regel hinzufügen (Das geht leider momentan nur in der CLI. Für Vorschläge, wie das ganze im Webinterface des Controllers geht, sind wir gerne offen).

Konfiguration am USG

Folgende Konfiguration könnt ihr am USG vornehmen (einloggen über SSH). Diese Änderung ist jedoch nach dem nächsten „Provisioning“ vom USG wieder weg.

configure
set service nat rule 5000 type masquerade
set service nat rule 5000 destination address 10.0.0.138
set service nat rule 5000 outbound-interface eth0
commit
save
exit

Konfiguration im Unifi Controller

Um die Konfiguration dauerhaft zu haben, müsst ihr folgendes JSON-Objekt in die Datei „config.gateway.json“ kopieren. Wo genau sich diese Datei findet bzw. wie ihr sie erstellt, steht in diesem Ubiquiti-Artikel: https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

{
"service": {
        "nat": {
            "rule": {
                "5000": {
                    "destination": {
                        "address": ["10.0.0.138"]
                    },
                    "outbound-interface": ["eth0"],
                    "type": "masquerade"
                }
            }
        }
    }
}

Danach klickt im Controller bei USG – Config auf „Force-Provisioning“. Damit werden diese Änderungen auf das USG geladen und sind immer vorhanden.

Anmerkung:

Bei der Verwendung von OpenVPN müsst ihr beachten, dass ihr zusätzlich zu eurem LAN auch die Route „10.0.0.0 255.255.255.0“ erlaubt:

push "route 10.0.0.0 255.255.255.0"
Links und Credit

https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json
https://owennelson.co.uk/accessing-a-modem-through-a-ubiquiti-usg/


USG Adoption – Tipps und Tricks

Heute habe ich ein USG von Ubiquiti in mein bestehendes Heim-Netzwerk integriert. Diese Seite war dabei äußerst hilfreich:
https://help.ubnt.com/hc/en-us/articles/236281367-UniFi-USG-Adoption-How-to-Adopt-a-USG
Allerdings gibt es noch einige Tipps, die es zu beachten gibt:

  • Das USG muss eine bestehende WAN-Verbindung haben
  • Das USG muss im selben Netzwerk wie der Controller sein
  • Ihr legt das ganze Netzwerk lahm, also am besten machen, wenn keiner daheim ist
Links und Credit

https://help.ubnt.com/hc/en-us/articles/236281367-UniFi-USG-Adoption-How-to-Adopt-a-USG