Bei mir betreibe ich mein USG hinter einem Telekom Hybrid-Router. Um den komme ich nicht drum rum, da es kein alternatives Gerät gibt, das im Telekomnetz ADSL und LTE Hybrid zu einer IP verbinden kann. Bei mir läuft doppeltes NAT. Ich leite die Ports, die ich von außen freischalten will per Portweiterleitung in beiden Firewalls durch. Vom Telekomrouter zur USG und von der USG zum Endgerät. Telefonie macht der Hybrid-Router selber, der Rest vom Netz inkl. WLAN-APs hängt hinter der USG. Der Unifi-Controller läuft auf einem Unifi-Cloud-Key.
Ich würde die FB nur noch als Kabelmodem und für die Telefonie verwenden und den Rest den USG machen lassen. Dazu gibt es einige Tutorials im Forum von UBNT.
1 „Gefällt mir“
Vielen, vielen Dank schon mal für eure Antworten!
Meine FB 6490 dient mir nur als DHCP und ich habe eine Gigaset Go 100 Box mit der FB verbunden für die Telefonie… die eigentliche DECT-Funktion der FB nutze ich nicht.
Vom doppelten NAT-Problem habe ich auch gelesen und auch die Problematik mit Dual Stack Lite macht mir sorgen, obwohl ich noch einen vollwertigen IP4-Anschluss habe (kann aber jederzeit umgestellt werden).
Theoretisch müsste in dem Fall ja ein einfaches Kabelmodem reichen, oder? Könnt ihr da was empfehlen… Habe momentan 200mbit, mehr geht nicht. Von daher dürfte DOCSIS 3.1 kein Thema sein.
Moin,
ich bin noch fleißig am recherchieren…
Ich verstehe nicht ganz, warum du ein zusätzliches Kabelmodem (läuft doch bestimmt im Bridgemodus) verwendest und dann im USG NAT deaktivierst. Im Bridgemodus ist doch NAT auch nicht aktiv.
Als weiteren Nachteile sehe ich auch noch, dass man dann insgesamt drei Geräte hat, Modem, FRITZ!Box und USG.
Ich überlege mir, ob ich mir nicht ein eigenes Kabelmodem kaufe, das im Bridge Modus betreibe und mir dann die SIP-Daten von Vodafone geben lasse, um damit dann die Telefonanlage zu konfigurieren. Dahinter dann das USG als Router.
Alternativ hatte ich überlegt, die FRITZ!Box zu lassen und per Firmwareänderung den Bridge Modus zu aktivieren (geht wohl). Dann hätte ich auch kein doppeltes NAT, aber dann scheint es wohl Probleme mit der Telefonie zu geben.
Alles irgendwie nicht so optimal.
1 „Gefällt mir“
Ich habe nicht geschrieben, dass ich ein Kabelmodem habe, ich habe nur geschrieben, dass Du eines brauchst 
Ich setze das USG nicht als Router zum DSL ein (bei mir VDSL), ich habe zwischen Modem und USG noch einen weiteren Router. Falls es Dich interessiert: www.ipfire.org
Das bietet mir deutlich mehr Transparenz und Sicherheit, als FritzBox oder USG es am DSL-Anschluss könnten. Deshalb habe ich beim USG dahinter NAT ausgeschaltet.
Viele Grüße, Dieter
Danke 
Ich denke auch, dass das eine gute Lösung sein könnte…
WAN -> Fritzbox degradiert als Kabelmodem, NAT aktiv, DHCP + WLAN aus -> USG als DHCP, NAT deaktiviert
Die Telefonanlage schließe ich direkt an die FB an.
FB bekommt eine separate IP (z.B. 192.168.0.1) und das USG hat dann den Bereich 192.168.1.0/24.
Macht das Sinn?
Moin Medicus,
genau so läuft es bei mir. Das USG erwartet die IP 192.168.1.1, habe ich irgedwo gelesen. Daher passt es so.
Wobei, mir personlich gefällt eine “0” in der IP-Adresse für die FB nicht, aber das ist Geschmackssache.
VG Peter
Funktioniert beí mir auch top. Kabel Fritz box als Router und Telefonanlage. USG als Exposed Host hinter der Fritz Box, dadurch entfällt doppeltes NAT und hinterm USG vier AP und zwei Switche.
Vielen Dank noch mal für das Feedback.
Ich sehe jetzt noch als Problem, dass meine Telefonanlage ja ip-basiert ist und per LAN-Kabel an die Fritzbox angeschlossen ist und so auch eine IP-Adresse vom FB DHCP bezieht… sie ist aber dann auch mit der FB-Telefonie gekoppelt, um so die Funktionen daraus zu nutzen.
Wenn ich jetzt das USG verbaue, weiß ich nicht genau, wo ich die Telefonanlage hinhängen soll…
Damit eine IP zugewiesen wird, müsste sie ja hinter das USG (neuer DHCP). Dann bekomme ich aber nicht mehr die Verbindung zur FB. Und umgekehrt dürfte es auch nicht gehen, wenn der DHCP an der FB aus ist.
@mosmax
Doppeltes NAT bleibt auch bei Exposed Host, es “fühlt” sich nur nicht so an, da man eben an der Stelle nicht mehr weiterleiten muss, weil einfach alles statisch und ungefiltert an den exposed host weitergeleitet wird
Bei meinem Telekom-Hybrid-Router hab ich das DHCP an gelassen. Die Telefonanlage hängt an einem Port des Telekom-Routers und die USG mit ihrem WAN-Port an einem weiteren. Beide habe eine gefixte IP im DHCP-Range. Bei diesem Routermodel kann man leider keine fixe IP direkt eingeben, sondern nur die DHCP-Adresse fixieren. Ein Exposed-Host gibt es auch nicht.
Alle anderen Netzwerkgeräte hängen hinter der USG, die ebenfalls DHCP macht. Allerdings hat das LAN einen anderen Adressbereich und damit auch der DHCP-Bereich der USG für LAN und WLAN. Funktioniert einewandfrei.
Theoretisch habe ich dadurch doppeltes NAT. Ich habe aber dadurch keine Performance oder Zugriffsprobleme. Lediglich Portfreigaben muss in beiden Firewalls einrichten.
Noch 2-3 Fragen:
-
Könntest du nicht NAT am USG per CLI deaktivieren, dann wäre das Doppelte-NAT-Problem gelöst.
-
Wie läuft das mit VPN? Die Fritzbox hat ja mit dem kostenlosen Myfritz-Dienst den Charme eine DDNS zur Verfügung zu stellen… In den IP-Bereich der FB will ich ja von außen nicht, sondern in den Bereich hinter dem USG. Geht das so einfach?
-
Ich habe aktuell einige Geräte im IP-Bereich 192.168.1.0/24 (FB als DHCP) mit statischer IP. Was passiert, wenn ich jetzt das USG (neuer DHCP mit der IP 192.168.1.1) reinbringe und die FB bekommt einen neuen Bereich? Ich habe Angst, dass ich mir das komplette Netzwerk zerschieße…
Deshalb habe ich bei mir in beiden Netzbereichen das DHCP und da NAT angelassen.
Hinter dem Telekomrouter 192.168.1.0/24 und hinter der USG 192.168.2.0/24.
Damit ist ganz klar, wer für was zuständig ist. Ich kann auch aus dem USG-LAN alle Geräte (ist nur der Telekomrouter und die Telefonanlage) erreichen. Andersrum geht das natürlich nicht.
Ok… bzw. verstehe ich jetzt nicht!?
Wieso kannst du die Geräte vom USG -> FB erreichen und umgekehrt nicht? Stehe gerade komplett auf dem Schlauch… hast du VLAN´s?
Weil die USG eine Firewall ist. Die läßt nur Trafic von innen nach außen zu und nicht umgekehrt. Außerdem ist der Telekomrouter doch die Defaultroute. Alles was nicht 192.168.1.x ist für den im Internet. Das Netzwerk hinter der USG sieht er doch gar nicht.
Deshalb muss ich ja auch zwei Portweiterleitungen einrichten, wenn ich vom Internet etwas hinter der USG erreichen will:
im Telekomrouter:
leite öffentlichen Port 7070 an 192.168.1.USG-IP:7070
in der USG:
leite USG-Port 7070 an 192.168.2.Endgerät-IP:7070
wobei die Portnummer nicht zwingen alle gleich sein müssen.
Ah, ja… klingt logisch! Danke.
Ich habe hier eine gute Anleitung gefunden… ich denke so werde ich es angehen…
Hat jemand Tipps zur Reihenfolge des Vorgehens… Mein momentanes Subnetz ist ja 192.168.1.0/24, das wird ja später auch das USG haben…
Erst das Subnetz der FB ändern (mit allen angeschlossenen Geräten einschließlich statischen IPs)? Das USG nur ins LAN hängen? Brauche ja Zugriff über den CloudKey… bin echt etwas ratlos bezüglich des richtigen Vorgehens, ohne alles zu zerschießen.
Ist wie mit der Henne und dem Ei.
Notfalls kann man mittels putty und seriellem Kabel auf die Konsole des USG zugreifen.
Bis jetzt gabs bei mir noch keine Probleme mit dem Doppelten Nat bzw. USG als Exposed Host hinter der Fritz Box. Sogar meine Überwachungskameras, die um USG Netzwerk sind, können vom Fritz Fone erreicht werden .Das in den Anleitungen angegebene NAT deaktivieren ind er config.gateway.json Datei hab ich mir erspart und bisher noch keine Probleme damit gehabt. Telefonfunktion habe ich auf der Fritz box gelassen. Das wäre ja für deine Telefonanlage auch möglich. Zugriff vom USG auf die Telefonanlage über die Fritz box ist ja möglich.
Zum vorgehen - als erstes das USG mit dem DHCP IP-Bereich 192.168.1.0/24 konfigurieren und dem WLAN der Unify APs den selben WLAN Namen und Key geben. Ich habe mir noch den Unifi Controller gekauft und über den konfigurier ich das ganze. Der hängt auch sofort am USG Netz. Dann auf der Fritz Box WLAN deaktivieren (dann melden sich die WLAN Geräte an den APs an und bekommen die neue IP Adresse vom USG), IP Adresse und DHCP von der Fritz auf z.B. 192.168.178.0/24 ändern, dann den USG WAN Port dort anstecken und dieses auf der Fritz Box als Exposed Host konfigurieren. Telefonanlage beleibt an der Fritte und muss nur neu gestartet werden damit diese eine neue DHCP Adresse bekommt. Ich habe auf der Fritz Box noch eine Statische Route zum USG damit ich per VPN auf der Fritz box dann auch wieder über das USG ins eigene Netz komme. Portfreigaben brauchst du nur im USG einstellen wenn dieses in der Fritzbox als Exposed host eingestellt ist (dadurch leitet die Fritz box alle nicht passenden Port Freischaltungen an das USG weiter).
Dann noch alles was LAN ist an das USG hängen und dort falls feste IPs eingetragen wurden diese aufs USG Netzwerk umstelllen (192.168.1.x)
Die Fritz Box ist ein Leiherät von Vodafone, die 6490 mit Kabelmodem. Denke die Kostenlosen Kabelmodems von Vodafone sins nicht gut zu konfigurieren und du benötigst ja mehrere Rufnummen denke ich wegen Telefonanlage, deshalb würde ich auch an deiner Stelle die Fritte mieten oder kaufen.
2 „Gefällt mir“
Ich habe es genauso gemacht, wie @mosmax. Leider kann der $ch€i$$ Telekom-Hybridrouter (von Huawai) kein Exposed Host. So muss ich jede Portfreigabe bei beiden Firewalls eintragen. Da es nicht allzu viele sind, ist das aber auch kein Akt. VPN ist über L2TP sowohl vom IPhone/IPad als auch von Windows nativ ohne irgendwelche Zusatzprogramme leicht einzurichten. Nur eine DynDNS-Adresse baucht man dann noch.
1 „Gefällt mir“
Ja, danke…
ich werde es jetzt auch ohne Exposed Host lösen… nur ein kleiner Fehler in der Konfiguration der Firewall und man steht mit “nacktem Hintern, gebückt und mit der Seife in der Hand” (hab ich mal irgendwo gelesen;-)) im Internet.
Von der FB (mit dem Myfritz-Dienst hat man eine schöne kostenlose DDNS-Adresse) forwarde ich die Ports zur WAN-seitigen IP des USG und vom USG dann LAN-seitig zu den Clients… das ist schon ok. NAT schalte ich am USG aus.
An der FB bleibt meine Telefonanlage, die bekommt über den FB-DHCP eine Adresse. Genauso werde ich das Gateway der Alarmanlage auch an der FB belassen.
Bin schon in den sonstigen Vorbereitungen:
Den Cloudkey, die APs habe ich geupdate und alle auf den aktuellen Stand gebracht und ein Backup angelegt.
Eine IP-Tabelle mit allen IPs, DHCP/Statisch, LAN/WLAN habe ich mir für den Status Quo erstellt. Ich werden alle statischen IPs (sind nur 22) auf DHCP umstellen, dann das Subnetz an der FB auf 192.168.178.0/24 umstellen.
Dann kommt das USG dran und ich konfiguriere es und erstelle dann das 192.168.1.0/24er Netz.