Das UniFi Security Gateway hinter einer FRITZ!Box oder anderem Router betreiben

Prinzipiell ist es unproblematisch das UniFi Security Gateway (USG) hinter einer FRITZ!Box zu betreiben. Diese übernimmt die Aufgabe die Internetverbindung herzustellen und ist wie bei mir für die IP-Telefonie zuständig. Dabei stellt man am USG entweder eine feste IP im Bereich des FRITZ!Box-Netzwerk ein oder lässt sich per DHCP eine solche zuweisen. Anschließend in der FRITZ!Box das USG als Exposed Host und die Installation des Security Gateway wäre abgeschlossen. Doppeltes NAT inklusive.

UniFi Security Gateway & FRITZ!Box, Speedport etc.

Wer seinen Router bisher mit der IP 192.168.1.1 betrieben hat, muss das vor Inbetriebnahme des USG ändern. Auch wenn es sich anders einstellen lässt, so funktionierte bei mir die Konstellation nicht. Erst als die FRITZ!Box auf 192.168.178.1 konfiguriert wurde, verstanden sich das USG und die FB ausgezeichnet.

Doppeltes NAT

double_nat_fb

Das Network Adress Translation (NAT) ist nötig, doppeltes NAT jedoch nicht. Durch NAT teilen sich alle Geräte im eigenen, privaten Netzwerk die öffentliche IP-Adresse des Providers. Für den Provider und andere Geräte im Internet steht physisch nur ein einziges Gerät. Nämlich der Router, das Modem oder eben die FRITZ!Box (All-IP-Gerät) im Internet. Den Datenverkehr ins und aus dem Internet läuft aber das Gerät, welches für NAT verantwortlich ist.

Die einfachste Form der Adressumwandlung wird als statisches NAT bezeichnet. Bei der Adressübersetzung wird eine private IP-Adresse beim Übermitteln vom privaten in den öffentlichen Adressraum in eine öffentliche IP-Adresse umgewandelt. Beim Antwortpaket erfolgt die Wandlung in umgekehrter Reihenfolge.

UniFi Security Gateway

Das UniFi Security Gateway kombiniert Sicherheitsfunktionen einer Firewall mit Routingtechnologie in einer Einheit. Es ist fähig bis zu 1 Million Pakete pro Sekunde zu routen und kann einfach durch den UniFi Controller konfiguriert werden, die auch die UniFi Access Points für WLAN-Netzwerke managt. Der UniFi Controller kann flexible Konfigurationen und große Anwendungen managen. Er kann mehrere LAN- und WLAN-Guppen schaffen und dem jeweiligen UniFi-Gerät zuordnen.

Durch den USG ist es somit möglich, VLANs mit eigenen IP-Adressbereichen zu schaffen. Die Aufgabe der DHCP-Adressvergabe wird dabei vom Security Gateway übernommen.

Da das Security Gateway baut über die WAN-Schnittstelle eine Verbindung ins Internet auf und übernimmt dabei die Aufgaben des NAT. Somit wird bei oben gezeigter Konstellation ein doppeltes NAT geschaffen. Einmal von der FRITZ!Box und einmal vom Security Gateway. 

Ubiquiti USG Netzwerk/Router ( 3 Gigabit-Ethernet-Ports, UniFi-Controller)
  • Integrierte und mit UniFi-Controller verwaltet v4.x
  • Gesamtleitungsrate von 3 Gbit / s für 512-Byte-Pakete oder mehr

Folgen von doppeltem NAT

Einerseits kann doppeltes NAT zu minimalen Geschwindigkeitseinbußen führen und erhöht den Konfigurationsaufwand. So sind Portweiterleitungen unter Umständen doppelt anzulegen, mit der Funktion Exposed Host umgehe ich dieses Problem. Die Ports werden ausschließlich vom Security Gateway zu entsprechenden Geräten im privaten Netzwerk weitergeleitet, das USG selbst steht offen im Internet.

Unter Umständen können VOIP-Geräte im privaten Netzwerk Probleme bereiten, da es in meinem Fall von der FRITZ!Box übernommen wird, gab es solche nicht.

Der Ausweg

Meine Lösung das doppelte NAT aufzulösen besteht darin, die FRITZ!Box in mein privates Netzwerk zu holen und als IP-Client zu degradieren und nur noch als IP-Telefonanlage laufen zu lassen. Am ADSL2/VDSL2-Anschluss musste ein leistungsfähiges Modem her, welches auch ausschließlich ein solches ist.

Nach ausführlicher Recherche sollte es das DrayTek Vigor 130 werden. Die Einrichtung erfolgte enorm einfach und die Latenz hat spürbar abgenommen. 

Angebot
DrayTek Vigor 130 Router (Gigabit Ethernet, ADSL2/2+)
  • Das DSL Modem in diesem Produkt funktioniert nach der Norm Annex B für DSL via ISDN Leitungen (Standard in Deutschland). Es funktioniert nicht nach Annex A (DSL via analoge Leitung in Resteuropa, u.a. auch in Österreich und der Schweiz)Auch VDSL und die neuen IP-Anschlüsse der Deutschen Telekom werden vom Modem unterstützt - so sind Sie bestens auf die Zukunft vorbereitet!