Fragen zu VPN und WAN Lastenausgleich

    Servus zusammen,

    ich komme bei dem Thema Site2Site VPN aktuell nicht weiter. Folgendes Konstrukt:

    2 Standorte jeweils Fritz Box als Modem und dahinter ein Gateway Ultra. Nun ist so, dass das Gateway als Exposed Host hinterlegt ist und aktuell natürlich eine Interne IP der Fritte bekommt. Dadruch kann ich das Gateway nicht aus dem Internet erreichbar machen, da der DDNS die Interne IP zieht. Kann ich das umgehen? Wenn ja wie? Ich stehe gerade auf dem Schlauch.

    Vielen Dank.


    2. Frage bezüglich WAN Lastenausgleich:

    Das Gateway bietet ja beim WAN Modus an Failover oder Lastenausgleich. Könnte ich daher auch 3 WAN Anschlüsse definieren und hier mit 3 mal WAN ins Gateway fahren und dieses macht den Lastenausgleich automatisch? Dann könnte man ja auch z.B. einen WAN Anschluss mit LTE definieren über eine Fritte mit LTE? Habe ein wenig recherchiert und bin auch auf die Peplink Router gestoßen, macht das Unifi Gateway das gleiche? Oder ggfls. 3 DSL Anschlüsse nutzen? Versteh ich das richtig?

    VG

    Andi

    Moin Andi,


    meine Erfahrungen sind:

    • Exposed Host bzw. selbstständige Portfreigaben an der Fritzbox in Kombination mit einem Unifi Cloud Gateway funktioniernen nicht sauber --> mach einfach selbe die Portfreigaben dann kannst du dir sicher sein, dass es funktioniert --> Port 4500 + 500 UPD + ESP für das Unifi Cloud Gateway freigeben.
    • Trage deinen DynDNS einfach in der Fritzbox ein oder verwende die MyFritz Adresse, das funktioniert super.
      • Alternativ kannst du auch ein anderes Gerät nutzen, dass DynDNS aktualisiert, z.B eine NAS (falls im Einsatz)
    • Mir sind nur 2 WAN anschlüsse bekannt. Ich versehe auch nicht was du vor hast?!?

    VG Steven

    Quote from badboy66

    Moin Andi,


    meine Erfahrungen sind:

    • Exposed Host bzw. selbstständige Portfreigaben an der Fritzbox in Kombination mit einem Unifi Cloud Gateway funktioniernen nicht sauber --> mach einfach selbe die Portfreigaben dann kannst du dir sicher sein, dass es funktioniert --> Port 4500 + 500 UPD + ESP für das Unifi Cloud Gateway freigeben.
    • Trage deinen DynDNS einfach in der Fritzbox ein oder verwende die MyFritz Adresse, das funktioniert super.
      • Alternativ kannst du auch ein anderes Gerät nutzen, dass DynDNS aktualisiert, z.B eine NAS (falls im Einsatz

    Ich möchtes das Site2Site ja zwischen den Unifi-Geräten und nicht zwischen den Fritten. Sonst komme ich ja nicht auf die Geräte hinterlab von Unifi?

    Exposed Host funktioniert bei mir ansonsten wunderbar.

    Quote from badboy66
    • Mir sind nur 2 WAN anschlüsse bekannt. Ich versehe auch nicht was du vor hast?!?

    VG Steven

    Ich kann ja weitere definieren, deshalb die Frage. Was hab ich vor? Mehrere WANS zusammen mit Lastenausgleich nutzen? So könnte man ggfls. 3x DSL 100 oder 250 Mbit zusammenfassen wenn es nicht anders vorhanden ist.

    Du hast eine öffentliche IP Adresse die an der Fritzbox ankommt, wenn du Exposed Host für das UCG aktivierst, werden alle öffentlichen Anfragen dieser IP Adresse an die UCG weitergeleitet. Somit funktioniert auch IPsec Site-to-Site wunderbar. Habe ich in genau dieser Konstellation auch im Einsatz.


    Beispiel

    FritzBox A mit MyFritz Adresse xyz1234.myfritz.net

    FritzBox B mit MyFritz Adresse xyz9876.myfritz.net


    UCG A (hinter FritzBox A) :

    UCG B (hinter FritzBox B) :

    oh ok cool, das teste ich gleich mal vielen Dank.

    so hier die Möglichkeit :) Habe 3 WANs angeschlossen

    Mein Netzwerk

    MacBook Pro 14" M2 • 1000/500 Glasfaser • Zyxel 5G Telekom 1050/200 • Zyxel DSL50/20

    UDM-SE • 8 Unifi Switche - 7 Unifi Wifi - 12 Unifi Kameras • 11 Sites

    The content cannot be displayed because it is no longer available.

    Ich habe eine Glasfaser Leitung WAN 1 - 5G Router WAN 2 und DSL Leitung WAN3. Die WAN3 ist aber mit IP vom Zyxel Router da dran hängt.

    Mein Netzwerk

    MacBook Pro 14" M2 • 1000/500 Glasfaser • Zyxel 5G Telekom 1050/200 • Zyxel DSL50/20

    UDM-SE • 8 Unifi Switche - 7 Unifi Wifi - 12 Unifi Kameras • 11 Sites

    The content cannot be displayed because it is no longer available.

    Quote from And1

    1.

    Kann ich das umgehen? Wenn ja wie? Ich stehe gerade auf dem Schlauch.


    2. Frage bezüglich WAN Lastenausgleich:

    Zu 1. ich habe hie im Forum beschrieben wie ich die Fritzbox hinter die udm gebracht habe (mit einem Modem). Die Fristzbox fungiert dann nur noch als Telefonanlage

    Zu 2. Du kannst über die standardmäßig vorgesehnen WAN-Ports hinaus, auch die übrigen Ports als WAN Port definieren und dann eine entsprechende Anzahl von ISPs verbinden. Dann gibt es noch ein LTE Failover-Device von UNIFI, das nicht an einen WAN-Port kommt. Wenn Du einen herkömmliches LTE-Modem verwendest, dann kommt es an einen WAN-Port. Einen LTE Router, würde ich nicht verwenden - dann hast du wahrscheinlich zweifaches NAT


    Liebe Grüße,

    Petra

    Quote from And1

    was würdest denn davor empfehlen? Noch hab ich die Auswahl... Draytek Modem? Unifi kann ja keine DSL Einwahl direkt.

    Die Einwahl (PPPoE) schon, die Quadraturamplitudenmodulation auf VDSL aber nicht. ;) Und ja, das heißt wirklich so. ^^

    Die Vigors sind stabil und performant, damit macht man nichts falsch. Man kann aber auch problemlos eine Fritzbox o.ä. vorschalten, wenn man sie sowieso noch im Bestand hat. Doppeltes NAT ist fast nie ein tatsächliches Problem, das ist ein Schreckgespenst, das hier nur ständig durchs Forum geistert. Bei Bedarf kann man in Unifi Routern sonst auch NAT abschalten.

    Sobald es um Mobilfunk geht, gibt es gar keine "Modems", hier wird demnach zwangsweise mit Router-Kaskade gearbeitet. Bei Coax hat man glaube ich keinerlei Auswahl, aber das von petra92 genannte TC4400 ist das Gerät, was man als "Nicht-Router" nehmen kann und was wohl auch manche hier im Forum verwenden. Da Coax in Deutschland mittlerweile wohl zwangsweise "Vodafone" bedeutet, würde ich mich bei so einer Lösung auf jeden Fall auf Diskussionen mit einer überwiegend inkompetenten und auch mal dummdreisten Hotline einstellen.

    Quote from Networker

    . Doppeltes NAT ist fast nie ein tatsächliches Problem, das ist ein Schreckgespenst, das hier nur ständig durchs Forum geistert. Bei Bedarf kann man in Unifi Routern sonst auch NAT abschalten. ... Da Coax in Deutschland mittlerweile wohl zwangsweise "Vodafone" bedeutet, würde ich mich bei so einer Lösung auf jeden Fall auf Diskussionen mit einer überwiegend inkompetenten und auch mal dummdreisten Hotline einstellen


    Habe schlechte Erfahrung mit doppeltem NAT bei VPN-Verbindungen und dyndns . Ich habe davon gehört, dass man Fritzboxen (zumindest die eigenen) in den Bridgemode versetzen kann, habe es aber nicht bereut, Nurmodems anzuschaffen. Ich kan mich erinnern, dass ich ein paar Telefonate mit Vodafone zur TC4400 führen mußte. In der Tat waren die Callcenteragents eher daran gewöhnt, etwas zur Zwangs -Fritzbox zu erzählen. Jetzt weiss ich wieder was das Problem war: Mein Problem hatte nichts mit der TC4400 zu tun, die lies sich eigentlich leicht konfigurieren (Evt war da was mit der MAc-Adresse die bei Vodafone iengetragen werden musste - Das haben die aber anstandslos gemacht) . Ich hatt eein Problem mit der Fritzbox als Telefonanlage hinter der UDM. Da konnte mir Vodafone tatsächlich nicht helfen. Die Lösung fand sich hier im Forum (etwas mit Portverbdinung alle 30 Sekunden aufrechterhalten).

    Edited 2 times, last by petra92 (October 24, 2025 at 1:16 PM).

    Quote from petra92

    Habe schlechte Erfahrung mit doppeltem NAT bei VPN-Verbdinungen

    Und was konkret? Es ist technisch nicht wirklich nachvollziehbar.

    Wenn Du von Deinen Systemen aus VPN-Verbindungen irgendwohin aufbaust, werden diese überhaupt nichts vom doppelten NAT mitbekommen. Wenn es um eingehende VPN-Verbindungen geht, terminiert man diese natürlich auf dem "inneren" Router und auch dann bemerkt das VPN überhaupt nichts vom Doppel-NAT.

    Quote from Networker

    Und was konkret? Es ist technisch nicht wirklich nachvollziehbar.

    Es ist 3-4 Jahre her, dass ich versucht habe mit einer Fritzbox vor der UDM zurecht zu kommen. Ich hatte Probleme im Zusammenhang mit VPN, Site to Site VPN und dyndns, kann mich aber an die Details nicht mehr erinnern. Es kann gut sein, dass sich die Probleme die ich hatte technisch hätten lösen lassen. ich konnte es nicht und bin mit der Modem-Lösung ohne doppeltes NAT nach dem Motto keep it simple happy.

    Quote from Networker

    Die Einwahl (PPPoE) schon, die Quadraturamplitudenmodulation auf VDSL aber nicht. ;) Und ja, das heißt wirklich so. ^^

    Die Vigors sind stabil und performant, damit macht man nichts falsch. Man kann aber auch problemlos eine Fritzbox o.ä. vorschalten, wenn man sie sowieso noch im Bestand hat. Doppeltes NAT ist fast nie ein tatsächliches Problem, das ist ein Schreckgespenst, das hier nur ständig durchs Forum geistert. Bei Bedarf kann man in Unifi Routern sonst auch NAT abschalten.

    Sobald es um Mobilfunk geht, gibt es gar keine "Modems", hier wird demnach zwangsweise mit Router-Kaskade gearbeitet. Bei Coax hat man glaube ich keinerlei Auswahl, aber das von petra92 genannte TC4400 ist das Gerät, was man als "Nicht-Router" nehmen kann und was wohl auch manche hier im Forum verwenden. Da Coax in Deutschland mittlerweile wohl zwangsweise "Vodafone" bedeutet, würde ich mich bei so einer Lösung auf jeden Fall auf Diskussionen mit einer überwiegend inkompetenten und auch mal dummdreisten Hotline einstellen.

    also dann 3x Vigor oder Fritte auf das Gateway. Können das alle Unifi Gateways mittlerweile? DreamMachine auch etc? wo sehe ich das?

    Bezüglich LTE war nur interesse halber. Es gibt ja auch eine Fritte LTE - Wäre dann ja das gleiche?


    Vielen Dank schon mal für die Infos, dass hilft mir weiter.


    VG

    Quote from Networker

    Und was konkret? Es ist technisch nicht wirklich nachvollziehbar.

    Wenn Du von Deinen Systemen aus VPN-Verbindungen irgendwohin aufbaust, werden diese überhaupt nichts vom doppelten NAT mitbekommen. Wenn es um eingehende VPN-Verbindungen geht, terminiert man diese natürlich auf dem "inneren" Router und auch dann bemerkt das VPN überhaupt nichts vom Doppel-NAT.

    Das Problem hatte ich ja auch. Wenn ich einen DDNS auf dem Unifi eintrage, zieht sich dieser die interne IP weil er die externe nicht kenn. Außer man richtet das wohl auf dem "Hauptrouter" Fritte mit ein. Ich bin noch nicht zum Test gekommen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login