Prinzipiell ist es unproblematisch das UniFi Security Gateway (USG) hinter einer FRITZ!Box zu betreiben. Diese übernimmt die Aufgabe die Internetverbindung herzustellen und ist wie bei mir für die IP-Telefonie zuständig. Dabei stellt man am USG entweder eine feste IP im Bereich des FRITZ!Box-Netzwerk ein oder lässt sich per DHCP eine solche zuweisen. Anschließend in der FRITZ!Box das USG als Exposed Host und die Installation des Security Gateway wäre abgeschlossen. Doppeltes NAT inklusive.

UniFi Security Gateway & FRITZ!Box, Speedport etc.

Wer seinen Router bisher mit der IP 192.168.1.1 betrieben hat, muss das vor Inbetriebnahme des USG ändern. Auch wenn es sich anders einstellen lässt, so funktionierte bei mir die Konstellation nicht. Erst als die FRITZ!Box auf 192.168.178.1 konfiguriert wurde, verstanden sich das USG und die FB ausgezeichnet.

Doppeltes NAT

double_nat_fb

Das Network Adress Translation (NAT) ist nötig, doppeltes NAT jedoch nicht. Durch NAT teilen sich alle Geräte im eigenen, privaten Netzwerk die öffentliche IP-Adresse des Providers. Für den Provider und andere Geräte im Internet steht physisch nur ein einziges Gerät. Nämlich der Router, das Modem oder eben die FRITZ!Box (All-IP-Gerät) im Internet. Den Datenverkehr ins und aus dem Internet läuft aber das Gerät, welches für NAT verantwortlich ist.

Die einfachste Form der Adressumwandlung wird als statisches NAT bezeichnet. Bei der Adressübersetzung wird eine private IP-Adresse beim Übermitteln vom privaten in den öffentlichen Adressraum in eine öffentliche IP-Adresse umgewandelt. Beim Antwortpaket erfolgt die Wandlung in umgekehrter Reihenfolge.

UniFi Security Gateway

Das UniFi Security Gateway kombiniert Sicherheitsfunktionen einer Firewall mit Routingtechnologie in einer Einheit. Es ist fähig bis zu 1 Million Pakete pro Sekunde zu routen und kann einfach durch den UniFi Controller konfiguriert werden, die auch die UniFi Access Points für WLAN-Netzwerke managt. Der UniFi Controller kann flexible Konfigurationen und große Anwendungen managen. Er kann mehrere LAN- und WLAN-Guppen schaffen und dem jeweiligen UniFi-Gerät zuordnen.

Durch den USG ist es somit möglich, VLANs mit eigenen IP-Adressbereichen zu schaffen. Die Aufgabe der DHCP-Adressvergabe wird dabei vom Security Gateway übernommen.

Da das Security Gateway baut über die WAN-Schnittstelle eine Verbindung ins Internet auf und übernimmt dabei die Aufgaben des NAT. Somit wird bei oben gezeigter Konstellation ein doppeltes NAT geschaffen. Einmal von der FRITZ!Box und einmal vom Security Gateway. 

Ubiquiti USG Netzwerk/Router ( 3 Gigabit-Ethernet-Ports, UniFi-Controller)
  • Integrierte und mit UniFi-Controller verwaltet v4.x
  • Gesamtleitungsrate von 3 Gbit / s für 512-Byte-Pakete oder mehr

Folgen von doppeltem NAT

Einerseits kann doppeltes NAT zu minimalen Geschwindigkeitseinbußen führen und erhöht den Konfigurationsaufwand. So sind Portweiterleitungen unter Umständen doppelt anzulegen, mit der Funktion Exposed Host umgehe ich dieses Problem. Die Ports werden ausschließlich vom Security Gateway zu entsprechenden Geräten im privaten Netzwerk weitergeleitet, das USG selbst steht offen im Internet.

Unter Umständen können VOIP-Geräte im privaten Netzwerk Probleme bereiten, da es in meinem Fall von der FRITZ!Box übernommen wird, gab es solche nicht.

Der Ausweg

Meine Lösung das doppelte NAT aufzulösen besteht darin, die FRITZ!Box in mein privates Netzwerk zu holen und als IP-Client zu degradieren und nur noch als IP-Telefonanlage laufen zu lassen. Am ADSL2/VDSL2-Anschluss musste ein leistungsfähiges Modem her, welches auch ausschließlich ein solches ist.

Nach ausführlicher Recherche sollte es das DrayTek Vigor 130 werden. Die Einrichtung erfolgte enorm einfach und die Latenz hat spürbar abgenommen. 

Draytek v130-B VDSL/VDSL2/ADSL/ADSL2+ Modem - Unterstützt Annex-B, Annex-J und Vectoring
  • unterstützt Annex-J und VDSL2 mit Vectoring Integriertes ADSL2+/VDSL2-Modem
  • 1 x Gigabit-LAN-Schnittstelle IPv6-Unterstützung

UniFi Netzwerk einrichten von A-Z

69,90 

Inkl. 19% MwSt.

Das UniFi Netzwerk einrichten von A-Z, für privat und den geschäftlichen Einsatz. Dabei kommen auch spezielle Eigenschaften der Dream Machine zum Einsatz, als auch einem ordinären UniFi Netzwerk mit Access Points und Switch. Der Aufbau ist zunächst für alle Einsatzzwecke gleich und weitere Kapitel sind hierbei optional. Ob 802.1X und MAC basierte Anwendung mit dynamischer VLAN Zuordnung zum Einsatz kommt oder nicht, kann jeder selbst entscheiden. Zusätzlich zeige ich, wie man ein eigenes Kameranetzwerk mit einer Synology DiskStation und dediziertem LAN-Port realisiert und den Kameras den Internetzugriff verwehrt. Ebenfalls wird ein Netzwerk für die Forschung und Entwicklung als Beispiel angelegt, welches von anderen VLANs komplett abgeschottet ist, dennoch aber Internetzugriff hat. Weiter ein drahtloses Netzwerk, bei dem man sich mit Benutzernamen und Kennwort der Synology DiskStation (lokal, LDAP oder Domäne) anmeldet, statt einem Schlüssel.

Dieser Kurs basiert auf UniFi 6.0.43 in der klassischen Ansicht der UI!

Einfach erklärt in über 2 Stunden Videomaterial. Hier geht es zum gesamten Kurs mit den Beispiel-Lektionen. Bitte lesen Sie für alle Details zum Kurs die detaillierte Beschreibung!