Gateway Konfiguration in Zusammenhang mit Fritzbox

    Hallo, ich bin gerade umgestiegen von Fritzbox auf Unifi Gateway Ultra. Ich betreibe das Gateway hinter der FB und habe am Gateway NAT ausgeschaltet. Der Umstieg hat soweit problemlos funktioniert. An der FB habe ich eine IPv4 Route eingestellt.
    Jetzt möchte ich VLAN konfigurieren. Ich habe bei der Recherche gelesen, dass es zwei Möglichkeiten gibt:
    -ich mache das Gateway in der FB zum exposed Host und brauche keine Routen
    -ich lasse es so wie es konfiguriert ist und muss für jedes VLAN eine Route in der FB einstellen.

    Ich bin zwar IT afin, aber kein Netzwerker und habe mir die Infos über Suche und meinen Freund ChatGPT zusammen getragen,

    Welche Option ist besser bzw. einfacher zu konfigurieren, auch bzgl. Firewall Regeln. Als Port habe ich nur 443 offen, um über Reverse Proxy auf meine Synology Dienste bzw. HomeAssistant zu kommen.
    Viele Grüße

    Jürgen

    jutrouvain Da hat die KI wieder einen Bock geschossen.

    "ich mache das Gateway in der FB zum exposed Host und brauche keine Routen" Das ist falsch. Der Exposed Host ist lediglich eine Portweiterleitung aller nicht anderweitig weitergeleiteten oder von der Fritzbox selbst verwendeten Ports. Das hat überhaupt nichts mit dem Grund für das anlegen der statischen Routen durch das Abschalten des NAT zu tun. Hiermit sorgst Du dafür, dass bei Bedarf einer Portweiterleitung, nur noch im Unifi Gateway Hand angelegt werden muss.

    Es bleibt also nur die Möglichkeit der Fritzbox die IP Bereiche, die in Unifi VLANs verwendet werden, in der Fritzbox mit statischen Routen bekannt zu machen. Das Gateway der statischen Route muss dabei auf die WAN IP des Unifi Gateways zeigen. Kent die Fritzbox das VLAN nicht, werden die Pakete an das Standardgateway der Fritzbox gesendet, also ins Internet zum Provider. Dieser droppt die Pakete dann einfach, da private IPv4 Adressen im Internet nicht geroutet werden.

    Wenn man möchte, dann kann man natürlich die Routen auch zusammen fassen. Es gibt ja nur 3 private IP Adressbereiche, die hinter dem Unifi Gateway liegen können.Wäre dann eine Route pro IP Bereich die da wären.

    10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16

    DoPe ok, habe ich (hoffentlich) verstanden. D.h. statische Routen sind auf jeden Fall erforderlich und bei exposed host spare ich mir lediglich die doppelte Portweiterleitung. Im Moment habe ich ja den 443 sowohl in der FB als auch im Gateway weitergeleitet. Mit exposed host entfällt die Weiterleitung in der FB und ggf das Abschalten des NAT im Gateway?

    Quote from jutrouvain

    Mit exposed host entfällt die Weiterleitung in der FB und ggf das Abschalten des NAT im Gateway?

    Die separate Weiterleitung in der Fritzbox entfällt (kann also gelöscht werden), da der exposed Host den Port entsprechend umleitet, wenn es für den Port keine andere Weiterleitung gibt. Die Weiterleitung im Unifi Gateway wird benötigt.

    Exposed Host hat nicht direkt was mit dem NAT des Unifi Gateways zu tun. Warum hast Du das NAT denn deaktiviert?

    Quote from DoPe

    Die separate Weiterleitung in der Fritzbox entfällt (kann also gelöscht werden), da der exposed Host den Port entsprechend umleitet, wenn es für den Port keine andere Weiterleitung gibt. Die Weiterleitung im Unifi Gateway wird benötigt.

    Exposed Host hat nicht direkt was mit dem NAT des Unifi Gateways zu tun. Warum hast Du das NAT denn deaktiviert?

    um doppeltes NAT zu vermeiden. Hatte ich auch gelesen, bzw. in einem Video gesehen. Würdest du in jedem Fall exposed Host umsetzen oder so lassen, wie ich es habe. Ich habe in der FB noch wireguard eingestellt. Das scheint aber alles so zu funktionieren. Oder soll ich wireguard besser auf dem gateway platzieren?

    Doppeltes NAT stört so gut wie nie, sagen die Helden mit ihren Videos nur niemanden, weil sie sonst auf Sensationshasche verzichten müssten.

    Vermutlich würde ich die Portweiterleitungen einzeln eintragen. Ich benutze aber selbst keine Portforwardings und hab ein Modem vor dem Unifi. Das ist aber eine Frage des persönlichen Geschmacks ob Einzelforward oder Exposed Host. Man sollte allerdings wo immer es geht auf Portweiterleitungen verzichten. Man bekommt das meiste auch über eine VPN hin und reißt sich so keine Löcher in die Firewall.

    Ich würde Wireguard definitiv auf dem Unifi terminieren lassen. Sehr wahrscheinlich befinden sich die Geräte auf die man zugreifen will eher nicht im Fritzbox Netz.

    Quote from DoPe

    Doppeltes NAT stört so gut wie nie, sagen die Helden mit ihren Videos nur niemanden, weil sie sonst auf Sensationshasche verzichten müssten.

    Sehe das auch wie mein Vorredner. Hatte jahrelang eine UDM-P hinter einer Fritzbox mit Doppel-Nat, bis dann das Glasfaser-Modem kam. Heute habe ich neben Glasfaser noch einen DSL-Anschluss mit Fritzbox an der UDM-P als Backup, auch mit Doppel-Nat.

    Und ja, ich habe keine Port-Weiterleitungen, die ich dann doppelt eintragen müsste. Ich verzichte auf Port-Weiterleitungen so lange es geht.

    Doppel-Nat hat für mich den Vorteil bei Internetproblemen auch mal schnell ein Notebook oder Tablet parallel zum Anschluss an den Unifi Router anzuschliessen, damit lässt sich schnell klären ob es ISP Probleme gibt und die Abgrenzung zum ISP ist auch klar gegeben. Bei meinem Glasfaseranschluß war ich geneigt diesen direkt per SFP-Modul mit der UDM-P zu verbinden, habe aber aus oben genannten Gründen davon abgesehen. Es war mehr so ein Fall von „…hey das verbinde ich direkt, bin ja Tekki-Nerd, macht Spass und ist interessant…“

    Doppeltes NAT beißt nicht. Es behindert die von z.B. einer Spielekonsole über UPNP selbsterstellten Portweiterleitungen. Da das oft variable Ports sind, ist es schwierig, diese auf beiden Routern manuell einzurichten. Allerdings hatte ich schon zu den Zeiten, als nur eine Fritzbox der Router war, verboten. Gerade bei Online-Spielen auf Spielekonsolen muss man oft, wenn nicht immer, monatlich abdrücken. Dann sollen auch deren Server die Spiele hosten.

    Feste Portweiterleitungen kann man manuell auf beiden / allen Routern einrichten. Zugriff aus das NAS, HA, Wasauchimmer, sollte man per VPN lösen. Portweiterleitungen machen meines Erachtens nur für das VPN selbst Sinn, wenn keine Dritten da auf Dienste (z.B. Webserver) zugreifen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login