Category Archives: Hardware

UniFi Security Gateway: Add an additional public IP with NAT

The UniFi Controller has no UI configuration to assign an additional IP for the UniFi Security Gateway (USG). Hopefully this will be added from Ubiquiti in the future.

Date: 25.12.2017
Controller Version: 5.6.26
Firmware: 4.4.12.5032482

 

After many hours of reading, try and error I was able to solve this task. This guide is focused on people with network basics, therefore I will not cover technically explanations.

Goal:

NAT Public IP 10.0.0.2 on Port 80/TCP to internal server 192.168.0.2 on Port 8080/TCP.

Solution:

Overview:

  1. Test if the Port is closed
  2. Add the additional IP to the gateway
  3. Create a DNAT rule from WAN to LAN
  4. Create a SNAT rule from LAN to WAN
  5. Create a Firewall rule to allow traffic from WAN to LAN
  6. Apply changes
  7. Test if the Port is now open

NOTE: You can also add this with CLI commands but it will not persist after changes made from the Web-Interface.

Step 1

Test with NMAP from WAN/Internet

nmap -n -Pn -p 80 10.0.0.2

If this Port is open you should check your network setup because something is responding to 80/TCP and the next steps will potentially lead to undesired results.

Step 2-4

We need to create or append config.gateway.json inside the UniFi Controller. Place this file inside the site configuration, e.g. for the default page but the file inside “data/sites/default”

Content of config.gateway.json:

{
    "interfaces": {
        "ethernet": {
            "eth0": {
                "address": [
                    "10.0.0.1/29",
                    "10.0.0.2/29"
                ],
                "firewall": {
                    "in": {
                        "name": "WAN_IN"
                    },   
                    "local": {
                        "name": "WAN_LOCAL"
                    },   
                    "out": {
                        "name": "WAN_OUT"
                    }
                }
            }
        }
    },
    "service": {
        "nat": {
            "rule": {
                "3000": {
                    "description": "DNAT 10.0.0.2 TCP/8080 to 192.168.0.2",
                    "destination": {
                        "address": "10.0.0.2",
                        "port": "80"
                    },   
                    "inbound-interface": "eth0",
                    "inside-address": {
                        "address": "192.168.0.2",
                        "port": "8080"
                    },   
                    "log": "enable",
                    "protocol": "tcp",
                    "type": "destination"
                },
                "5000": {
                    "description": "SNAT 192.168.0.2 TCP/8080 to 10.0.0.2",
                    "log": "enable",
                    "outbound-interface": "eth0",
                    "outside-address": {
                        "address": "10.0.0.2",
                        "port": "80"
                    },   
                    "protocol": "tcp",
                    "source": {
                        "address": "192.168.0.2",
                        "port": "8080"
                    },   
                    "type": "source"
                }
            }
        }
    },
    "firewall": {
        "name": {
            "WAN_IN": {
                "default-action": "drop",
                "rule": {
                    "1000": {
                        "action": "accept",
                        "description": "NAT 10.0.0.2 TCP/8080 to 192.168.0.2",
                        "destination": {
                            "address": "192.168.0.2",
                            "port": "8080"
                        },
                        "log": "enable",
                        "protocol": "tcp"
                    },   
                }
            }
        }
    }
}

Step 5

Now it’s time to apply these rules to the USG. To do this log in to your UniFi Controller and force provisioning

Step 6

Test with NMAP from WAN/Internet

nmap -n -Pn -p 80 10.0.0.2

802.1x Repeater Version 0.2

v0.2 ist fertig, habe den zusätzlichen Router aus v0.1 durch einen besseren WLAN-Stick ersetzt. Es war nicht so einfach einen Stick zu finden der den passenden Chip verwendet um einen AccessPoint zu erstellen. Anschließend noch ein paar Stunden investiert um den Treiber ein wenig zu ändern und am Raspberry Pi kompiliert zu bekommen.

So sieht ihr v0.2:

DSC_6838

Nützliche Links:

802.1x Repeater Version 0.1

Bastle seit ein paar Tagen an einer Möglichkeit für einen Repeater für 802.1x Authentifizierung. Leider gibt es im günstigen Bereich keinen WLAN-Repeater. Somit bleibt dieser hohe Verschlüsselung leider nur Firmen vorbehalten, obwohl dies mit extrem geringen kosten einfach umzusetzen ist. Nähere Informationen kann ich gerne anbieten da ich in meinen Netzwerken diese Verschlüsselung überall verwende.

So sieht die erste Variante aus (v0.1):

DSC_6808_scaledVerwende hier einen Raspberry Pi um mich ins WLAN einzuwählen und vorläufig einen Router um dieses dann weiter zu verteilen. Leider gibt es im normalen Handel keinen USB Stick der den Master oder AP Mode kann da ich das ganze sonst mit zwei USB-Sticks lösen hätte können.

Als Finale Lösung plane ich eine Flotte von Raspberry Pi die ein autonomes (+selbstheilendes) Netzwerk erzeugen um auch in alle Bereiche eine ideal Netzwerkverbindung zu gewährleisten.

Falls jemand interessiert ist stelle ich gerne die Geräte überall auf.

Ziel: Plane einen lokalen mini ISP aufzubauen. Im privaten Bereich erhalten seit längerer Zeit meine Nachbarn Internet über meine Leitung, natürlich gratis.

HP MFP und Microsoft Active Directory

Neulich hatte ich ein großes Problem bei einen MFP von HP (HP MFP 4345) über die interne Webseite eine Anbindung an einen Windows Server 2003 Active Directory zu erstellen, um die Liste der verfügbaren Mailadressen aktuell zu halten.

Leider fand das Gerät über die automatische Suche keine Daten, sowohl die Serversuche als auch die Suche der Einstellungen, daher musste ich den manuellen Weg wählen.

Folgende Einstellungen sind am MFP zu wählen:

  1. Webseite des MFP im IE öffnen
  2. Optional: am Gerät anmelden (link rechts oben)
  3. “Digitales Senden” -> “LDAP-Einstellungen”
  4. markieren “direkten Zugriff …”
  5. LDAP Server Bind-Methode: einfach
  6. öffentliche Anmeldeinf.:
    Beispielszenario: Domain=domain1.at
    Benutzer: administrator
    in der AD-Gruppe: Users
    daher der Anmeldename beim MFP:
    CN=administrator,CN=Users,DC=domain1,DC=at
  7. LDAP-Server: IP des Servers
  8. Anschluss: muss auf 3268 geändert werden
  9. Suchpfad: DC=domain1,DC=at
  10. Abfragemethode: Standardeinstellung für AD
  11. sofern nun alle Daten eingeben wurden sollte der Test erfolgreich
    durchgührt werden können.

Alternativ kann auch ein anderer Benutzer für den LDAP Zugriff im AD erstellt werden.

Viel Spaß beim konfigurieren und ich hoffe es hat bei euch/dir auch
funktioniert. Ihr könnt gerne Kommentare posten.