Ubiquiti Security Gateway kaufen

[MetalForLive]

Hallo zusammen,

ich bin momentan am überlegen mit ein Ubiquiti Security Gateway zu zulegen.

Momentan habe ich eine Fritzbox 7412 im Einsatz, diese macht DHCP, Telefonie (Dect) und baut ein VPN zu meinen Eltern/Schwester auf.

Was ich mir erhoffe:
- Sehen welche Client wie viel Traffic im Netzwerk verursacht
- besseres Load Balancing bzw. QoS als bei der Fritzbox (wenn ich z.B. mit der Xbox etwas runterlade, kann ich am Handy keine Youtube oder Facebook Videos mehr schauen)

Jetzt ist die Frage ob der Plan so aufgeht wie ich es mir erhoffe.
Das ganze soll dann so aussehen:



Ich bin mir jetzt nicht ganz sicher wie ich das am dümmste anstelle.
Ich möchte eigentlich kein Transfernetz zwischen dem Gateway und der Fritzbox, da ja die Fritzbox noch den Telefoniedienst bereit stellt, das ganze soll im 192.168.20.0er Netz bleiben.

Irgendwie steh ich gerade aufem Schlauch, gibt es eine andere Möglichkeit außer ein separates Modem zu kaufen, VPN über das Gateway laufen zu lassen und die Fritzbox wegen Dect hinter das Gateway zu klemmen ?

Edit:
Einen Ubiquiti Unifi AP AC Pro habe ich bereits, der Controller hierzu befindet sich auf dem Fileserver der momentan bei den Eltern steht.

 

[razzy]

Also du möchtest einen Router hinter einen Router klemmen ?
Dann brauchst du eigentlich ein "Transfer"-Netz, und hast doppeltes NAT.
Die Firtzbox kann man leider afaik nicht mehr als Modem benutzen, zumindest bei meiner 7490 der Fall.

Ich würde hier sagen, entweder das USG oder die Fritte als Gateway. Bei dem USG brauchst du aber wiederrum dann ein Modem ála Draytek Vigor 130 (bei VDSL) oder ähnliches.

Du kannst natürlich, falls du das bei dir kannst, einen SPAN Port auf dem Switch konfigurieren, daran evtl ein Raspberry oder ähnlich hängen und dann schauen wieviel Traffic jeder IP innerhalb deines Netzwerks verbraucht.

 

[Katao]

zu den IP Adressen bei den USGs kann ich dir nur sagen die brauchen zwingend die 192.168.1.1
Jedenfalls bis vor kurzem (Feb) war das so.
Ich hab bei mir daheim auch vor 3 Monaten alles umgestellt.
Anders wird das leider nicht funktionieren - schau dir mal bei iDomix die Videos dazu an.
Da ist auch das doppelte NAT erklärt.
Als Modem kann ich die Vigor 130 auch nur empfehlen - hab 2 Stück am USG 4P hängen (Failover)
und das läuft perfekt :-)

FB ist dadurch dann natürlich zur reinen Telefonanlage degradiert.

 

[MetalForLive]

Hmm, dann lass ich das Ganze glaube erst mal so wie es ist.
ggf. hol ich mir das GW und spiel erst mal ein wenig mit rum.


Bei der Fritzbox kann man auch ein Device als Exposed Host konfigurieren, glaube dann sind auch alle Ports auf das Gerät freigegeben.
Wie sich das ganze dann aber verhält wegen doppeltem NAT etc. weiß ich nicht genau.

Ergänzung (10. Mai 2017)

Habe gerade gelesen, die Fritzbox unterstützt PPPoE Passthrough.
Das Security Gateway soll das auch können.

 

[snaxilian]

Exposed Host hat mit deinem Ziel nichts gemeinsam und bedeutet (vereinfacht gesagt) lediglich, dass alle eingehenden Anfragen an deine öffentliche IP-Adresse an den Exposed Host weitergeleitet werden und man nicht für jeden Dienst eine Portweiterleitung einrichten muss. "Fritzbox exposed host" bei Google eingegeben hätte dir das auch wunderbar erklärt aber wozu selber suchen...

Die USG als zweiten Router kann man zwar machen aber wie gesagt wäre dann entweder ein Transfernetz notwendig oder du musst allen Geräten in deinem Netz als Gateway die IP der USG setzen außer der USG, die bekommt die Fritzbox. Kann man so machen, sollte man aber nicht, da dies nicht wirklich sicher ist und sehr leicht zu umgehen.

Bei der Routerkaskade wirst du auch mit QoS nicht glücklich werden, die USG "sieht"an ihrem WAN-Port ja 1 GBit anliegen und warum sollte dann ein QoS stattfinden? Außer man kann die USG "überreden" dass sie von der korrekten Internetgeschwindigkeit ausgeht.

Desweiteren: Die Fritzbox kann nicht als reines Modem mit PPPoE Passthrough betrieben werden. Was diese Funktion korrekterweise bedeutet sofern aktiviert: Geräte in deinem LAN dürfen durch die Fritzbox hindurch eine weitere PPPoE Verbindung aufbauen aber die erste Einwahl ins Internet erfolgt durch die FB.
Typischer Nutzungsfall: Dein Arbeitgeber ermöglicht dir Homeoffice und anstatt eines VPNs wählst du dich von deinem PC aus per PPPoE ins Firmennetz ein.
Wird heute zwar kaum noch so gemacht aber möglich ist es. Wenn du also die USG als Router + Firewall inkl. QoS usw. nutzen willst, brauchst ein reines Modem davor.

 

[t-6]

Dito zum sog. "PPPoE-Passthrough" der Fritzbox. Als wirklich reines Modem scheint man die (nicht mehr?) einsetzen zu können. Es muss anscheinend IMMER zunächst eine Verbindung über die Fritzbox aufgebaut werden, und erst dann kann ein hintergeschaltes Gerät/Router eine weitere Session aufbauen.
Aber: Das machen viele Internetprovider nicht mit. Heißt, du bräuchtest quasi eine Wegwerf-PPPoE-Einwahl für die Fritzbox, und dann kann dein hintergeschalteter Router die "richtige" Sitzung aufbauen.

Das ist doch alles scheiße.

Weiterhin haben wir nur Probleme mit Routerkaskaden wenn ein hintergeschalteter Router einen L2TP-Tunnel terminieren soll. NAT-T, ESP-Weiterleitungen, dedizierte Portweiterleitungen, Exposed Host und drei mal um den See laufen - ist alles Gruscht und einfach nicht zuverlässig

 

[Raijin]

Ein USG ist im Prinzip ein ER-Lite mit anderer GUI. Das OS darunter und die Hardware sind aber weitestgehend gleich. Bei EdgeOS kann man das QoS sehr gezielt konfigurieren - u.a. eben auch die zur Verfügung stehende Bandbreite.

Sofern nicht explizit die Integration des Routers in die UniFi-Software gewollt ist, würde ich auch eher zum ER-Lite bzw ER-X greifen. Beim USG ist die GUI auf das Nötigste beschränkt. Möchte man fortgeschrittene Einstellungen vornehmen, kann man dies fast nur über CLI machen, die Konsole.
Der Nachteil der ERs ist eben, dass sie im UniFi-Controller nicht auftauchen. Ob das gut oder schlecht ist, sei mal dahingestellt. Ich persönlich kann auch gut mit UniFi ohne USG leben.

 

[MetalForLive]

Das ist irgendwie alles suboptimal.
Saubere Lösung wäre also: Modem kaufen, USG dahinter hängen als Hauptrouter und die Fritzbox zur TK Anlage degradieren.
Damit wäre ich aber auch nicht so glücklich.
Ich glaube ich lass es alles erst mal so wie es ist.

 

[Raijin]

Hm.. Wenn das Routing stimmt, braucht man eigentlich kein NAT zwischen USG/ER und Fritzbox. Die Fritzbox braucht ne Route ins LAN hinter dem USG und dann müsste es laufen.

Die Frage ist nur ob die Fritzbox das so zulässt. Wenn man beispielsweise ein Portforwarding auf einen Server im LAN hinter der USG einrichtet, müsste dort als Ziel-IP ja die LAN-IP hinterm USG als Ziel stehen - diese ist dann nicht im Subnetz der Fritzbox. Wenn das Webinterface dies prüft und ablehnt, klappt es nicht. Rein netzwerktechnisch wäre das aber dennoch ok, weil Portweiterleitungen (=DNAT) vor dem Routing abgehandelt wird.

Das NAT bzw. Routing läuft so:

1. DNAT (zB Portweiterleitung auf Server-IP @USG)
2. Routing (Route zu USG-LAN via USG-IP @Fritzbox)
3. SNAT (zB Masquerade - trifft hier nicht zu)

Der Server wiederum antwortet per Standardroute zum USG, dies wiederum leitet zu seinem Gateway weiter (Fritzbox), die Fritzbox macht (S)NAT Richtung www.

Consumer-Router sind allerdings ziemlich kastriert und auf einen einzigen Zweck zugeschnitten, 1x WAN, 1x LAN. Ob die Fritzbox auch so ein Szenario wie oben beschrieben zulässt, kann ich mangels Fritzbox nicht beurteilen.