Netzwerk Umbau mit UniFi hinter FritzBox Cable

Hallo erstmal, ich bin Simon & neu hier. Habe mir schon das ein oder andere hier im Forum (und auch im Web) durchgelesen und möchte mir einfach vergewissheit verschaffen dass der Umbau unseres Heimnetzwerkes so gelingt wie ich mir das vorstelle. Folgendes zu den Grundsätzlichen Gegebenheiten:

- Vodafone NRW - Kabelinternet 500 Mbit/s. Privatanschluss, dementsprechend Nativ ipv6, ipv4 über DS-Lite

- FRITZ!Box 6490 Cable (selbst gekauft) - MaxCPE ist = 2 laut der ausgelesenen Sicherungsdatei

läuft grundsätzlich seit 2016 (Bau unseres Hauses) ohne Probleme

- Im Erdgeschoss läuft nur das FRITZ!box eigene WLAN, ist aber manchmal irgendwie nicht das stabilste / schnellste. Mag auch damit zusammenhängen das die Außenwände und Decken aus Stahlbeton sind.

- In allen wichtigen Räumen ist ein 10GbE LAN Kabel verbaut das ich in Zukunft entweder zur Nutzung eines Switches oder AccessPoints verwenden werde.

- Im OG ist eine alte Apple Time Capsule die auch erstmal weiterhin als AP verwendet werden soll (ist über LAN an der FRITZ!Box im Erdgeschoss)

- Im DG ist eine ausgemusterte FRITZ!Box 7490 die ebenfalls erstmal weiterhin als AP (und Printserver) verwendet werden soll (auch über LAN an FRITZ!Box im Erdgeschoss)

Zunächst werde ich mich mit dem Erdgeschoss befassen bzw. dessen WLAN Ausleuchtung nach Einrichtung der UniFi Hardware.

Folgende UniFi Hardware habe ich bereits bestellt und ist auf dem Weg zu mir:

- Cloud Gateway Max 512GB (spätere Einbindung von Kameras, Videotürklingel)

- Switch USW-Flex-2.5G-8-PoE mit 210W AC-Adapter (Strom für die Switche / AP‘s)

- WLAN AP U6+ für Ausleuchtung im vorderen Hausbereich - Flur etc.

- WLAN AP U6 Mesh (die Dose :-)) für Ausleuchtung Wohnbereich / Terrasse & Garten - finde ich etwas hübscher als die UFO‘s

Grundsätzlicher Aufbau wäre meiner Meinung nach wie folgt, da ich die FRITZ!Box ja (zumindest als Modem & DECT Basis) weiter verwende.

FRITZ!Box 6490 Cable > Cloud Gateway Max > Switch USW-Flex > LAN zum AP U6+ sowie Verteilerfeld der einzelnen Räume

So, das wäre der grundsätzliche Aufbau. Was mir am meisten „Sorgen“ bereitet ist der Bereich der FRITZ!Box 6490 und des Cloud Gateways. Bin mir unsicher ob ich die FRITZ!Box in den Bridgemodus bringen soll (ist im aktuellen Zustand nicht vorhanden) durch ändern der Sicherungsdatei (was ja glaube ich bei CPE=2 möglich wäre) oder ob ich einfach alles so lassen soll und das Gateway quasi als Client (mit dann doppeltem NAT - wirklich so tragisch?) an die FRITZ!Box bringe. Wichtig wäre das ich weiterhin unser DECT Fon (ist ein C5 von FRITZ!Box) nutzen kann und auch mal von außen aus dem Mobilfunknetz auf das Gateway komme um in Zukunft evtl. auf Protect zugreifen zu können. Außerdem möchte ich mindestens 3 VLAN‘s erstellen.

Weiterhin stellt sich mir die Frage nach der dann notwendigen Konfiguration der IP Adressen, DHCP an der FRITZ!box an oder aus, DHCP und NAT im Gateway an oder aus? Mit ausgeschaltetem NAT im Gateway und entsprechendem ipv4 Routing in der Fritzbox würde man ja dann das doppelte „Natting“ nicht haben oder irre ich mich da?

Und da hoffe ich auf eure Hilfe und Erfahrung. Vielleicht könnt ihr mir ein paar Vorschläge zur Vorgehensweise machen - wäre euch sehr dankbar.

Quote from Networker

Hallo Simon und willkommen in der Community!

Auf die schnelle mal ein paar Gedanken:

- Doppeltes NAT ist in den allermeisten Fällen kein Problem, lass es einfach so. Sollte es irgendwann doch Probleme geben, könnte man es jederzeit umstellen. Neben der Option, die Fritzbox in den Bridgemode zu schalten, gibt es übrigens auch die Möglichkeit, NAT auf Unifi-Routern zu deaktivieren (ich sehe jetzt gerade eben erst, dass Du diese Option ja selbst erwähnst).

- Wenn Du die Fritzbox als Router betreibst, lässt Du DHCP einfach an. Ihr einziger Client ist dann Dein UCG-Max. Im Unifi-Netz darf der IP-Adressbereich der Fritzbox nicht benutzt werden.

- Die DECT-Geräte können weiterhin über die Fritzbox laufen, ist kein Problem

- Zugriffe von außen würdest Du über VPN realisieren, das ist ebenso unproblematisch. Zugriff auf Protect oder sonstige Ressourcen im Heimnetzt werden damit möglich.

- Deine Idee, die TimeCapsule und eine alte FritzBox als WLAN-APs zu benutzen, ist nicht die beste. Du kannst es natürlich ausprobieren, aber ich würde erwarten, dass es Probleme macht oder mindestens schlecht performt. VLANs laufen darüber sowieso nicht.

Display More

Vielen Dank für deine Antworten.

Dann werde ich (sofern ich dann bald alles installiert habe) das NAT im Gateway ausschalten & eine entsprechende Route in der FRITZ!box einrichten. Bezüglich des Adressbereiches: Sagen wir die FRITZ!Box hat die IP 192.168.178.1 , würde es dann genügen wenn ich dem Gateway in der FRITZ!Box die IP 192.168.2.0 geben würde und im Gateway dann den IP Bereich ab dieser IP einstelle?

Die (alten) WLAN AP’s hängen ja dann im Netzwerk des Gateways, ich schätze das würde zumindest übergangsweise erstmal funktionieren.

Quote from Peterfido

Die Kameras gehen über die Protect App oder per Browser über unifi.ui.com auch ohne VPN und trotz doppeltem NAT von unterwegs.

Super das macht es einfach. Bin noch nicht direkt mit Unifi unterwegs daher kannte ich diese Möglichkeit nicht. Danke!

Quote from Tomcat

BridgeModus: probiere es aus, wenns funktioniert ist gut, sonst schalte den eben wieder ab.

maxCPE=2 kann funktionieren, aber garantieren kann dir das keiner, genauso wie bei bei ner gekauften Box es gehen kann oder auch nicht.

DoppeltesNAT: im Grund merken die meisten nichts davon, ist nur dann nervig, wenn du Dienste ins Internet freigeben willst.
Ich würde mal den Weg versuchen, den Unifi mitlerweile ermöglichst, das doppelteNAT zu umgehen.

DECT ist unabhängig von der Konfiguration des Internetzugangs, weil die Fritzbox sich im BridgeMdous immer die erste IP-Adresse des Anschluss greift dafür.

DHCP: muss immer das Unifi-GW machen, erst Recht wenn du VLAN nutzen willst, die Fritzbox kann kein VLAN.

Display More

Danke für deine Hilfe.

Ich schätze ich werde dann die Möglichkeit nutzen, das NAT im Gateway auszuschalten.

Also würdest du DHCP in der FRITZ!Box ausschalten und dem Gateway eine feste IP geben und dann den Rest über das Gateway machen bzw. dort DHCP laufen lassen?

Quote from Tomcat

Ja, feste IP's zwischen Fritzbox und GW und alles andere macht das Gateway dann.

Auch darf der IP-Bereich zwischen Fritzbox und GW nicht identisch sein mit dem restlichen LAN

z.B:

Fritzbox: 192.168.0.1 / 24

GW-WAN: 192.168.0.2

LAN hinterm Gateway dann:

192.168.10.x/24

192.168.20.x/24

usw.

Display More

Habe dazu nochmal eine Frage:

Angenommen es wäre alles eingerichtet, ich hätte dem Gateway eine feste IP (192.168.0.2) in der FRITZ!Box gegeben & hätte NAT im Gateway ausgeschaltet.

Wie müsste ich dann die ipv4 Routen in der FRITZ!Box einrichten sodass ich in Zukunft nicht bei jedem neu dazugekommenen VLAN eine neue Route hinzufügen muss?

Ich meine man könnte einfach als Route einen größeren IP-Bereich der Netzwerke des Gateways angeben aber bin mir nicht sicher wie ich das dort eingeben muss…

Quote from Doktor

Ich hatte fast den identischen Aufbau. Doppetes NAT ist nicht mehr notwendig, da Du das NAT im UCM abschalten kannst.

Fritzbox: Dort ein statisches Routing für das Netz der UCM einrichten und im UCM das NAT abschalten. Lief super.

DHCP habe ich auch vom UCM machen lassen, wobei ich als DNS-Server einen AdGuard habe laufen lassen auf einer Proxmox-Instanz. War ein reibungsloses Zusammenspiel.

Das hört sich gut an, freue mich darauf. Habe heute fast alles von Ubi geliefert bekommen. Nur die AP‘s fehlen mir noch, die hab ich woanders bestellt da günstiger…

Jetzt muss ich nur noch Zeit finden um das alles anzugehen und zu installieren

Den DNS Server werde ich erstmal Standard belassen aber ich wollte in Zukunft noch einen Raspi ins Netz hängen wo ich dann ein paar Docker Container laufen lasse.

Vielleicht lasse ich dann ein pihole oder wie du erwähnt hast, adguard laufen…

Aber eins nach dem anderen

Es gibt ja auch das ad blocking direkt im Gateway, hast du das mal ausprobiert?

Quote from Naichbindas

Hallo

Soweit ich weiss musst du leider für jedes Netzwerk das du im Unifi hast eine statische Route extra in der Fritzbox anlegen.

Eine Route für alle Netzwerke oder für weitere zukünftige gibt es glaube in diesem Fall nicht.

Weil es muss ja genau geregelt werden in welches Netzwerk was gehen soll, daher ist das wohl nur mit 1 Route Pro Netzwerk möglich.

Gut, wenn das nicht anders möglich ist ist das ja dann auch kein Hexenwerk.

Wenn ich das default Netz habe & dazu noch 3 VLAN‘s, dann sinds ja im Endeffekt 4 Routen die ich der FRITZ!Box geben muss.