Unitymedia Ubiquiti UniFi Dream Machine Pro - kein doppeltes NAT - Best Practice

[KraxelHuber]

Hallo zusammen,

im Rahmen einer Aufwertung meines bestehenden Unitymedia/Vodafone Business-Kabelvertrags beabsichtige mir eine Ubiquiti UniFi Dream Machine Pro zuzulegen. Nun habe ich schon viel über die bestehenden Probleme bzgl. doppeltes NAT etc. gelesen.

Mein aktuelles Setup sieht so aus, dass ich eine eigene FritzBox Cable 6490 betreibe, die ich auch zur Telefonie verwende. Daneben werkelt bereits ein Ubiquiti UniFi AP AC Pro.

Nun frage ich mich, welche Hardwarekombination bzw. welches Router-Setup reibungslos mit der UDM Pro läuft?

- Macht es Sinn weiterhin eine eigene FritzBox zu betreiben? Die kann ich nicht in den Bridge Mode versetzen. Sollte ich stattdessen eine Fritzbox von Unitymedia bzw. Vodafone nutzen?
- Ist es sinnvoller eine feste IP Adresse zu buchen? Diese ist bisher nicht vorhanden, ich nutze den DynDNS Dienst von Strato. Hier habe ich auch meine Domain.
- Welche Möglichkeiten der Telefonie gibt es, sollte ich etwas anderes als eine FritzBox einsetzen? Ich nutze zu Hause ausschließlich Fritz!Fons. Damit ist dieses Thema vermutlich nicht ganz einfach. Mein Verständnis ist, dass die Fritz!Fons eine FritzBox voraussetzen, richtig?

 

[Tom_123]

Hi,

in der von dir beschriebenen Situation bietet sich in der Tat die Provider-Fritte an, welche den Bridge-Mode unterstützt. An dieser kannst du dann deine UDM direkt mit einer öffentlichen IPv4 Adresse + IPv6 Prefix betreiben. Auch kannst du die Provider-Fritte dann direkt für die DECT-Telefonie nutzen.

Ansonten eigenes Kabelmodem (Technicolor TC4400 oder Arris TM3402B) und die FB 6490 Cable hinter der UDM dann als DECT-Station weiternutzen.

 

[c@p]

Du kannst an der UDM auch das NAT abschalten und als Exposed Host hinter der Fritzbox betreiben, das funktioniert auch problemlos.

Ich hab neben dem Kabelanschluss (FB 6660) auch noch einen DSL (FB 7590) und dahinter hängt als Exposed Host ein USG. Wan1 Kabel, Wan 2 DSL, NAT ist da ausgeschaltet und in den Friten jeweils eine statische Route zum USG hinterlegt. Funktioniert alles genauso wie direkt am Anschluss.

 

[h00bi]

NAT abschalten und als Exposed Host hinter der Fritzbox betreiben,

widerspricht sich das nicht?
Wenn man die UDM exposed, dann ist doch keine NAT-FW mehr davor. Dann kann (und sollte) man NAT in der UDM an lassen.
Oder versteh ich da was falsch in deinem Posting?

 

[boba]

Exposed host ist nichts anderes als Komplett-NAT für sämtliche Ports auf den exposed host. Der hat ja weiterhin eine interne IP Adresse 192.168.x.y, kann also von außen ausschließlich via NAT erreicht werden. Anders ginge es gar nicht.

 

[c@p]

widerspricht sich das nicht?
Wenn man die UDM exposed, dann ist doch keine NAT-FW mehr davor. Dann kann (und sollte) man NAT in der UDM an lassen.
Oder versteh ich da was falsch in deinem Posting?

NAT hat erst mal mit der Firewall und Exposed Host gar nichts zu tun und das macht dann die Fritzbox weiterhin bei Übergabe der Daten ins Internet, nur Doppel-NAT also NAT bei der Fritzbox und am USG kann zu Problemen führen. Die Firewall beim USG ist natürlich an, die muss ja wegen Exposed Host auch aktiv sein. Weil NAT am USG aus ist braucht man in der Fritzbox die statische Route zum USG, weil sonst nur Pakete rausgehen, aber die Fritzbox mit den Antworten nichts anfangen kann und diese blockiert.

 

[Gast40437]

Hm soweit ich mich eingelesen habe kannst du bei der UDM (pro) das NAT aber nicht mehr abschalten, da es kein config.json mehr gibt (im Gegensatz zur USG).

Ich hab mir das TC4400 geholt, dahinter die UDM base und meine eigene 6490 hängt als IP Client an der UDM und macht Telefon und ein bisschen Thermostate.

So hab ich auch Backup Optionen (da kein Gbit).

Geht das TC4400 kaputt -> 6490 wieder freischalten lassen

Geht die UDM kaputt -> 6490 an das TC4400

Hat die 6490 einen defekt hätte ich kein Telefon bis ich Ersatz beschafft habe.

Generell sollte selbst mit doppeltem NAT vieles funktionieren, hauptsächlich gibt es Probleme wohl mit Online-Spielen und den Server Verbindungen.

Ich selbst hatte einen Tag doppeltes Nat und beim Surfen, Video-Streaming und Home Office keine Probleme.

Migration:
Umstellen auf Dual Stack ->Power Upload gebucht

TC4400 aktivieren lassen und Fritzbox weiterhin als Router nur hinter dem TC4400

UDM hinter der Fritzbox konfiguriert und laufen lassen -> alles auf die UDM umgezogen -> UDM ans TC4400 gehängt und Fritzbox als IP-CLIENT konfiguriert.

Bis auf ein paar Probleme beim Telefon (es müsste auf eine IPV4 URL umgestellt werden, hatte noch eine IPV6 von DS-LITE) hat alles gut geklappt.

 

[h00bi]

Bei Consumer Geräten ist doch i.d.R. Firewall = NAT. Sprich NAT aussschalten, Firewall anlassen gibts dort gar nicht. Wenn das bei der UDM geht, okay.

Generell sollte selbst mit doppeltem NAT vieles funktionieren, hauptsächlich gibt es Probleme wohl mit Online-Spielen und den Server Verbindungen.

Es funktioniert alles was keine Portweiterleitungen braucht oder anders gesagt alles was mit DS-Lite (über ipv4) funktioniert.

Alternativen wären hier:
a) Versuchen eine Connect Box zu bekommen und diese zu bridgen -> Kostet nur 10€ ist aber eher nicht dauerhaft weil man irgendwann ne VF Station bekommt.
b) TC4400 kaufen

 

[c@p]

Hm soweit ich mich eingelesen habe kannst du bei der UDM (pro) das NAT aber nicht mehr abschalten, da es kein config.json mehr gibt (im Gegensatz zur USG).

Stimmt, jetzt wo du es sagst, allerdings weiß ich nicht ob es dann vielleicht über die Benutzeroberfläche abschaltbar ist. Soweit hab ich mich mit der UDM noch nicht auseinandergesetzt. Bei der Edgerouter Serie kann man NAT über die Oberfläche mit einem Mausklick abschalten. Das sind auch sehr gute Geräte nur die Config über CLI ist halt manch mal etwas aufwendig und kompliziert. Aber normal konfiguriert man ja einmal und dann läuft es so.

Aber Grundsätzlich finde ich Doppel-Nat jetzt auch nicht so schlimm, wie es immer dargestellt wird. Bei meiner Internetnutzung merk ich zum beisiel keinen Unterschied ob Doppel oder nicht.