Frage

Optimale Konfiguration für A1 Hybrid Box und Unifi Security Gateway (USG)


Benutzerebene 2
Abzeichen
Ich möchte gerne zwischen meine A1 Hybrid Box und meine Endgeräte das Unifi Security Gateway (USG) hängen. Das USG ist ein leistungsfähiger, managerbarer Router (siehe auch https://www.ubnt.com/unifi-routing/usg/).

Wie konfiguriere ich meine A1 Hybrid Box am optimalsten? Ich habe gelesen, dass es nicht ideal ist das USG in die DMZ der A1 Hybrid Box zu hängen, weil sonst die Bonding Funktionalität nicht funktioniert d.h. das USG dann nur via DSL kommuniziert? Stimmt das? Oder würde sich das nur für eingehende Verbindungen z.B. wenn ich einen eigenen Server betreiben will, auswirken und bei ausgehenden Verbindungen würde sowieso die volle Bonding Funktionalität der A1 Hybrid Box nutzbar sein?

Welche Alternativen gibt es sonst um das USG so optimal wie möglich einzubinden? Mit grundsätzlichen Netzwerkkonfig-Fragen bin ich durchaus vertraut (DHCP würde dann klarerweise das USG machen etc. das ist mir alles klar) - mir gehts nur um die Frage welche Möglichkeiten am idealsten in Kombination mit der A1 Hybrid Box sind?

Liebe Grüße Michael

26 Antworten

Benutzerebene 7
Abzeichen +8
Hallo @michaelmrak
Die HybridBox sollte, soweit ich weiß, mit DMZ kein Problem haben. Zumindest nicht mit "normalen" Routern. Wie es jetzt speziell mit dem USG aussieht, weiß ich leider nicht genau, aber es sollte keine Probleme geben würde ich sagen.
Die HybridBox kann allerdings den SingleUser-Modus nur eingeschränkt nutzen. Also durch die DSL Einwahl eines in Serie geschalteten Router, geht die Bonding Funktion verloren.

Hoffe ich konnte dir etwas weiterhelfen.
NerdTech
Benutzerebene 2
Abzeichen
@NerdTech also ausgehende Verbindungen via USG nutzen Bonding (d.h. das automatische Zuschalten von DSL z.B. bei einem von intern initiierten Download oder Videostream)? Verstehe ich das so richtig?

Klingt plausibel, der USG ist einfach ein Endgerät welches die ausgehende Verbindung initiiert und Bonding schaltet sich bei Bedarf zu, richtig?

Liebe Grüße Michael
Benutzerebene 7
Abzeichen +8
Hallo @michaelmrak
Sämtliche Verbindungen, welche auf der Heimnetzwerk-Seite des Hybrid Modems ihren Ursprung haben können das Bonding Feature der HybridBox nutzen. Das heißt, sämtliche Geräte, welche mit der HybridBox über Lan oder W-Lan verbunden sind, können ohne Einschränkung die Bonding Funktion, ohne sie es bemerken nutzen.
Die einzigen Einschränkungen, bezüglich Bonding gibt es, wenn man von Außen auf das Heimnetzwerk zugreifen will (So kann man nur die DSL Leitung nutzen, wenn man auf die NAS Zuhause, von außen, zugreifen will. Diese Einschränkung betrifft nicht nur eine NAS, sondern auch alle anderen Geräte.), oder einen Router zur DSL Einwahl verwenden will, um nicht bei zwei Geräten Ports, usw einstellen zu müssen.

also ausgehende Verbindungen via USG nutzen Bonding (d.h. das automatische Zuschalten von DSL z.B. bei einem von intern initiierten Download oder Videostream)? Verstehe ich das so richtig?

Auch bei allen ausgehenden wird Bonding nicht unbedingt verwendet, dass liegt aber bei der HybridBox und man kann keinen Einfluss darauf haben. Aber in der Regel können alle ausgehenden Verbindungen Bonding nutzen. Wenn die HybridBox meint, dass mehr Bandbreite gebraucht wird, wird LTE zugeschaltet.

Klingt plausibel, der USG ist einfach ein Endgerät welches die ausgehende Verbindung initiiert und Bonding schaltet sich bei Bedarf zu, richtig?


Richtig, das USG ist für die HybridBox ein Endgerät, welches die Anfragen aus dem Heimnetzwerk, an die HybridBox weiterleitet und somit ausgehende Verbindungen einleitet. Es sollte sich LTE über Bonding dazuschalten, wenn die HybridBox es für nötig hält.

Hoffe ich konnte dir etwas weiterhelfen.
LG NerdTech
Benutzerebene 2
Abzeichen
Großartig, dann setze ich das USG einfach in die DMZ und baue hinter dem USG ein eigenes Subnetz für alle meine Endgeräte. Denke so passt es, richtig?

Da ich keine Server etc. die vom Internet erreichbar sein müssen habe ist dies denke ich die beste Variante, alles ausgehende geht einfach via USG an die HybridBox und von dort ins Internet.

DANKE jedenfalls für Deine Hilfe :-)

Liebe Grüße Michael
Hallo michaelmrak!
möchte mir auch einen Unifi USG einrichten, und möchte dich fragen wie du mit deiner Konstellation (USG-HybridBox) zufrieden bist.

Danke für Deine Antwort
LG Chris
Benutzerebene 2
Abzeichen
Hallo Chris, das lässt sich in einem Satz zusammenfassen: Es funktioniert perfekt :-)

Liebe Grüße Michael
Großartig, dann setze ich das USG einfach in die DMZ und baue hinter dem USG ein eigenes Subnetz für alle meine Endgeräte. Denke so passt es, richtig?
Das bedeutet dann aber doppeltes NAT, wenn ich das richtig verstehe. Gibt's dadurch einen Performanceimpact?
Benutzerebene 2
Abzeichen
Richtig. An der Hybrid Box hängt nur das UniFi-Security-Gateway in der DMZ. Ich habe auf der Hybrid Box sonst auch alles ausgeschaltet (also z.B. kein WIFI).

Performanceimpact merke ich keinen, die Hybrid Box hat ja nicht viel zu tun außer alles an das UGS weiter zu routen.
Ich habe ebenfalls vor eine USG zu kaufen.

@michaelmrak in einem deiner Beiträge schreibst du, dass du für die USG ein eigenen Subnetz aufbaust (also zb 192.168.1.x statt 192.168.0.x, richtig?)
Ist das unbedingt nötig, wenn ja wofür? Kommt es dazu zum Double-NAT? Kannst du aus dem Subnetz heraus trotzdem noch das A1 Modem erreichen um es neuzustarten, falls es Probleme gibt?

danke
Benutzerebene 7
Abzeichen +8
@h4nc
Wenn man die HybridBox im Hybrid Modus verwendet, dann geht es nur mit Doppel-NAT und eigenem Subnetz. Bei allen anderen A1 DSL Modems und auch der HybridBox, wenn man diese nur mit DSL nutzt, kann man die Doppel-NAT mit dem Single User vermeiden.
LG
@NerdTech ich dachte wo gelesen zu haben, dass wenn man DMZ nutzt (wurde dann als exposed host bezeichnet) kein Double NAT Auftritt.

Sollte Double NAT nicht eigentlich vermieden werden. Ist es trotzdem möglich Geräte von außen mittels Duckdns zu erreichen?

Ist die USG in der DMZ sicherheitstechnisch ein Problem, oder regelt dass dann die Firewall der USG.
Benutzerebene 7
Abzeichen +8
@h4nc
Die DMZ von den Consumer Routern ist nur eine generelle Portweiterleitung für alle Ports. In diesem Fall würde eine Doppel-NAT auftreten und das USG würde als einzige Firewall agieren. Natürlich wäre eine Portweiterleitung auf beiden (HybridBox + USG) etwas sicherer evtl, außer man will es etwas bequemer haben (auch im Bezug auf UPnP).
Du hast es also über die DMZ gelöst.

Gibt es durch das Double NAT irgendwelche Probleme.

Bin begeistert vom UniFi Controller und würde deshalb gerne alles darüber laufen lassen.
Welche Vorteile siehst du in der USG im Vergleivb zum A1 Hybriden als Router?
Benutzerebene 7
Abzeichen +6
würde mein(e) router/firewall nicht in der dmz stehen (korrekterweise exposed host da es ja keine zone ist sondern nur ein einzelner host) würde vpn nicht funken
es besteht ein unterschied zu portweiterleitungen da dann auch alle protokolle weitergeleitet werden
protokolle weiterzuleiten bieten ja die a1 router nicht an
wenn benötigt ist 'dmz' daher die einzige möglichkeit

wenn beide router sauber 'natten' sind die oft angesprochenen doppel-nat probleme meist geschichte
Danke, habe noch zwei weitere Fragen:

1) handelt es sich bei DMZ wirklich um ein Sicherheitsrisiko wenn eh direkt dahinter die USG steht (die ja alles blocken sollte)?

2) Kann ich den A1 Hybrid Router aus dem USG Subnetz erreichen? Zb um ihn neuzustarten?
Benutzerebene 7
Abzeichen +6
1)
kein risiko da ja an einen router mit firewall weitergeleitet wird
setze voraus die firewall ist zumindest gleichwertig bzw. deren konfig funkt und beim admin zumindest ein paar grundlegende netzwerkkenntnisse
2)
ja
Danke sehr!

kannst du noch eine Sache verdeutlichen:


wenn beide router sauber 'natten' sind die oft angesprochenen doppel-nat probleme meist geschichte


Wie stelle ich sich, dass neue „sauber“ natten. Bzw. wie erkenne ich, dass nicht sauber genattet wird?

Vielen Dank.
Benutzerebene 7
Abzeichen +6
viele a1 kunden haben doppel-nat (dazu gehören auch business kunden)
da der provider vermehrt schon selbst nat betreibt um ip adressen zu sparen
oder aus gründen der sicherheit (wird so argumentiert ... halt aber nix davon)
nennt sich übrigens cg-nat (carrier-grade nat)
also nat auf betreiber ebene plus nat am eigenen anschluss = doppel-nat
sofern einer nicht zugriff von außen benötigt merkt er das nicht
betroffen sind oft online spiele welche je nach umsetzung stark vom nat typ abhängen
ansonsten gibt es wenig anwendungen welche ein problem damit haben und meist eine lösung dazu
die mehrheit hat kein problem damit

probleme mit nat sind schwierig zu beschreiben da sich diese unterschiedlich darstellen
je nach verwendeten dienst und netzwerkaufbau

vermeiden kannst es in deinen fall sowieso nicht außer du bleibst im netz vom hybrid
falls du z.b. probleme mit der spielekonsole bekommst musst sie halt wieder ins netz vom hybrid hängen


sofern einer nicht zugriff von außen benötigt merkt er das nicht


leider benötige ich den Zugriff von außen (über Ddns). So nutze ich es derzeit. Heißt das, dass das Double NAT zwangsweise zu Problemen führen wird? Oder nur eventuell? Sollte ich es einfach ausprobieren?
Benutzerebene 7
Abzeichen +6
heisst es nicht
von problemen habe ich in diesen zusammenhang nicht geredet
nur davon das man überhaupt nicht merkt das man doppel-nat hat außer man braucht zugriff von außen
cg-nat muss halt abgedreht werden vom provider
macht man selbst doppel-nat muss man halt selbst tätig werden
cg-nat muss halt abgedreht werden vom provider
macht man selbst doppel-nat muss man halt selbst tätig werden


da muss ich leider nochmal nachhaken.

Was ist CG nat. Wenn A1 das abdrehen müsste, machen die da mit?
Wenn nicht wie kann ich selbst tätig werden? Evtl reichen Schlagbegriffe.

Danke!
Benutzerebene 7
Abzeichen +6
was das ist habe ich schon gestern erklärt
du hast kein cg-nat
das gibt es nicht bei hybrid
das war nur als beispiel angeführt zum thema doppel-nat
Leider ist mir trotzdem nicht klar was du mit “muss man selbst tätig werden” meinst.
Benutzerebene 7
Abzeichen +6
um nat zu überwinden sind bestimmte einstellungen (tätigkeiten) notwendig
da du von außen auf ein gerät (host/server) im netz der usg zugreifen willst
dmz beim hybrid einrichten ... diese zeigt auf das usg
und auf dem usg portweiterleitung(en) auf den host/server einrichten der sich im zweiten netz befindet
Alles klar, danke!

Antworten