Subnet in samenwerking met een UDM Pro SE

Ik begeef mezelf op nieuw gebied en ik heb het ook nog niet werkend. Ik wil dus het subnet wat ik gekregen heb van Freedom instellen op mijn UDM Pro SE. Heeft iemand dat al eerder gedaan? Ik heb gezocht hier in het forum maar ik kon niks vinden. Ik zal een screenshot bij dit bericht doen om het te verduidelijken. Ook een link naar de support pagina.

https://helpdesk.freedom.nl/category-detail/hoe-stel-je-subnet-in-op-de-fritz-box

/29, 6 bruikbare ip adressen als ik het goed begrijp. Voeg ik 1 van de ip adressen toe aan een VLAN in het “netwerk” tab kan ik in een VM alleen maar de router pingen. De VM is ge-connect aan dat VLAN natuurlijk.

Dit is een screenshot van het tab “internet” zoals het nu ingesteld staat.

Wat ik voor je kon vinden zijn 2 linkjes:

https://gathering.tweakers.net/forum/list_messages/2001114

https://www.reddit.com/r/Ubiquiti/comments/i9w04v/udmp_firewall_port_forwarding_rules_for_public_29/

Daar lijkt het antwoord te zijn de het instellen van een routed subnet niet heel makkelijk is op een UDM pro… Ik hoop dat er iemand is op de community die dit aan de praat heeft gekregen die je verder kan helpen. :slight_smile:

1 like

Wat ik (op mijn oude home built Firewall), en nu op een OPNsense firewall do is een NAT aanmaken op enkele van de extra adressen uit de extra 8, die worden dan doorgezet naar de juiste aan de binnenkant.

Een van de adressen routeer ik as is door (omdat een NAT daar ernstige complicaties veroorzaakt).
Op deze maniet heb ik alle 8 adressen beschikbaar.
(via de PPP verbinding komen gewoon ALLE 9 adressen binnen).

1 like

Ik heb het werkend en het is super simpel. Ik was alleen gisteren tien dingen tegelijk aan het doen. Het is gewoon het subnet toevoegen aan je wan verbinding en daarna èèn van de ip adressen kiezen in je netwerk met aparte vlan. Ik had al aparte netwerk met daarbij de bijhorende vlan’s. Ik hoefde dus alleen "Internet Source Ip / NAT het goede ip adres te kiezen en klaar!
Dat Unifi spul is echt super. Ik ga daar steeds meer respect voor krijgen.


Nog bedankt voor jullie mee denken! :slight_smile:

…en ik hoop dat iemand wat aan mijn uitleg heeft.

1 like

Scherm­afbeelding 2024-12-20 om 19.50.29

Heel benieuwd, hoe heb je dit binnen OPNSense gedaan? Ik kan ze of allemaal doorzetten (beetje zoals de fritzbox het doet met een gw adres op de opnsense doos) of ze allemaal 1:1 natten, een manier om het te combineren heb ik nog niet ontdekt

OPNsense (PFsense) doorgifte / IP adres regelen (= 8 publieke adressen ook alle 8 gebruiken).
Dit werkt ook voor de Broadcast/Netwerk/GW adressen die je anders kwijt zou zijn bij gebruik van een SUBNET op je WAN.
Let ook op dat je niet ALLE adressen op outbound NAT omzet deze 8 moeten daar niet in gematched worden.
Evt. een expliciete Outbount NAT voor dit adres instellen.
Outbound NAT is bij mij “Hybrid”
De pakketen met de extra adressen worden gewoon naar je PPP link gerouteerd, en hebben geen remote gateway vanuit Freedom, dus alles is in princiepe beschikbaar.

System> Gateway
Add: DMZ_DSHIELD, INterface DMZ, Protocol IPv4, Priority 255, Gateway (IP Adres van Dsield system in DMZ).

System> Routes
Add: /32, gateway DMZ_DSHIELD

Firewall:
Pass rule Interface WAN, met dest=Public IP, all ports en Gateway = DMZ_DSHIELD

Note als je poorten in een Float of Group rule blokeert dan moet je mogelijk de pass in de betrefend Group of Float met WAN interface opemen, voor de blokkade.

Het is een routing issue dus het meeste werk zit in routing opzetten en dan alles doorlaten wat nodig is in de firewall.
DSHIELD is een Honeypot, die een Public IP nodig heeft, en bij mij in een VM draait.

Twee andere adressen worden geNAT (nat inbound + Firewall) naar interne systemen in de DMZ. tbv. Web reverse proxy, en DNS Zone transfers voor externe slaves, DNS resolving voor Lets Encrypt wildcard certificaat, Wireguard.
Deze NAT’ed (Uit het extra blok ) adressen zijn als Virtual IP (Interfaces > VirtualIP) ieder met een /32 benoemd op de WAN poort.
Net als de IPv6 adressen die ik als Public IP in gebruik. De interne mailserver heet een NPTv6 vermelding om het outbound adres van mail die vanaf dat systeem komt te corrigeren.

Ook die paar adressen worden met NAT naar interne adressen omgezet).

1 like

Je gebruikt dus eigenlijk de gw de andere kant op, niet naar buiten, maar naar binnen. Wat heb je als gw adres op de DSHIELD ingesteld? Het gw ip adres van de pppoe verbinding?

Op de DSHIELD is het publieke adres het primaire adres en is het “gateway” adres een alias.
De alias is uitsluitend bedoeld voor het instellen van een Route. en dus MAC adres resolving (ARP) in dat DMZ LAN.

Note: waarom zou op een router een gateways adres alleen naar BUITEN kunnen wijzen.
Voor IP is er geen “binnen” of “buiten”… alleen maar BUUR systemen hetzij een router danwel een systeem.
Ook voor een VMserver, Container server (Docker oid) zul je evt het “LAN” netwerk erbinnen moeten door routeren als je van een richting (bv. “BUITEN” naar een van de containers wil gaan, zeker sl je meerdere systemen op een zelfde poort wil ontsluiten.

Noob hier.

Ik probeer mijn subnet in te stellen op mijn Ubiquiti Unifi USG-Pro-4. Maar kan het kloppen dat dit niet (via de UI) kan? @HomeLabNerd

(IPv6 heb ik uitstaan, omdat dit niet/langzaam werkt op de USG-Pro-4, als ik het goed begrijp)

(Draai de nieuwste versie van de UniFi controller V.9.0.114)

Moet hand matig via de json.

https://community.ui.com/questions/Tool-Map-Multiple-WAN-IP-to-Local-IPs-on-USG/b7daf87d-84aa-4557-8ad8-2ff516252f91