Beim Erstellen von Netzwerken müssen wir leider oft auf Doppel-Nating zurückgreifen, um hinter dem A1-Router ein USG nutzen zu können (Modemverwendung zB durch A1-TV nicht möglich). Um trotzdem auf das Webinterface des A1-Routers aus dem Netzwerk des USGs zugreifen zu können, müssen wir eine Firewall-Regel hinzufügen (Das geht leider momentan nur in der CLI. Für Vorschläge, wie das ganze im Webinterface des Controllers geht, sind wir gerne offen).

Konfiguration am USG

Folgende Konfiguration könnt ihr am USG vornehmen (einloggen über SSH). Diese Änderung ist jedoch nach dem nächsten „Provisioning“ vom USG wieder weg.

Konfiguration im Unifi Controller

Um die Konfiguration dauerhaft zu haben, müsst ihr folgendes JSON-Objekt in die Datei „config.gateway.json“ kopieren. Wo genau sich diese Datei findet bzw. wie ihr sie erstellt, steht in diesem Ubiquiti-Artikel: https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

{
"service": {
        "nat": {
            "rule": {
                "5000": {
                    "destination": {
                        "address": ["10.0.0.138"]
                    },
                    "outbound-interface": ["eth0"],
                    "type": "masquerade"
                }
            }
        }
    }
}

Danach klickt im Controller bei USG – Config auf „Force-Provisioning“. Damit werden diese Änderungen auf das USG geladen und sind immer vorhanden.

Anmerkung:

Bei der Verwendung von OpenVPN müsst ihr beachten, dass ihr zusätzlich zu eurem LAN auch die Route „10.0.0.0 255.255.255.0“ erlaubt:

push "route 10.0.0.0 255.255.255.0"

https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json

https://owennelson.co.uk/accessing-a-modem-through-a-ubiquiti-usg