Liebe Gemeinde,
da ich anhaltende Probleme mit einer stabilen Internet-Verbindung habe und es nicht ausgeschlossen werden kann, dass es das Zusammenspiel zwischen meiner (gemieteten) FritzBox 6660 Cable im Bridge Mode und meiner UDM Pro ist, möchte ich einen Versuch ohne Bridge Modus starten. Dazu bitte ich um Unterstützung, denn ich betreibe zu Hause Services, die aus dem Internet erreichbar sein müssen. Entsprechend habe ich mehrere VLANs eingerichtet, von denen eins vollmundig DMZ genannt wurde und wo die externen Services (http und https) angesiedelt sind.
Unverändert muß auch die UDM als DNS zum Einsatz kommen, da ich auch die integrierten AdBlock- und Custom DNS-Features setze.
Den grundsätzlichen Setup habe ich versucht zu bebildern (s.u.).
- aktuell ist die Fritzbox 6660 im Bridge Modus und Port 2 ist mit WAN1 der UDM Pro verbunden
- die UDM Pro ist Router / Gatway mit 2 Port-Weiterleitungen
- 80 (http) und 443 (https) auf den (einzigen) Host im "DMZ" VLAN
- eine zweite Verbindung zu Port 5 der Fritzbox ist im VLAN "PHONE" und dient dem Aufruf der FritzOS Oberfläche
- UDM Pro 192.168.50.1, FritzBox 192.168.50.2
- ich habe kein Managment Netz für die Infrastruktur, alle Unifi Geräte, mehrere Raspberries, Smart Devices, sowie "private" Clients (Laptops, Tablets, Mobiltelefone) sind im LAN
- die Access Points strahlen 2 WLAN SSIDs aus (privates Netz, Gäste) wobei über 2 Private Pre-Shared Keys Geräte im privaten Netz entweder auf LAN oder ein VLAN namens WORK abgebildet werden. Letzteres ist für die dienstlichen Telefone und Laptops, hat nur Internetzugriff und zusätzlich auf den Netzwerkdrucker (der im LAN ist)
- die UDM Pro bietet VPN-Services via Teleport und L2TP an. Mindestens Teleport wird unverändert benötigt
Netzwerke
NAME | VLAN ID | Subnet |
LAN | 1 | 192.168.30.0/24 |
DMZ | 40 | 192.168.30.0/24 |
PHONE | 50 | 192.168.50.0/24 |
GUEST | 60 | 192.168.60.0/24 |
WORK | 70 | 192.168.70.0/24 |
Topoligie
Fragen
- ohne Bridge Mode muss ich die Port-Freigaben 80/443 in der UDM Pro und der Fritzbox Eintragen, korrekt?
- ist es notwendig, die UDM als "exposed host" zu betreiben, oder lassen sich die Anforderungen (Ports, VPN, etc.) auch ohne diesen Modus realisieren?
- ist es vorteilhaft und sinnvoll das doppelte NAT zu eliminieren und falls ja - welche Netzwerke muss ich als statische Routen in der FB eintragen? Alle?
Vielen Dank für jedwege Unterstützung!