Doppeltes NAT - FritzBox --> Unifi Security Gateway - Nachteile?

[darkiop]

Guten Abend, als ich mir das USG von Unifi gekauft hatte, dachte ich mir ich leben mal eine weile mit der doppelten NAT Situation und ersetze das FritzBox Modem Irgendwann durch einen Modem.

Aktuell gibt es das DrayTek Vigor 130 beim großen Fluss für 100€, im Warehouse Deal sogar für 84€ - 20%.

Ich frage mich allerdings, ob es überhaupt notwendig ist, denn ich habe an meinem Anschluss mit einer festen IPV4 IP keinerlei Probleme - Zur Zeit werden über die Leitung aber auch keine Online Spiele oder ähnliches gespielt. Mein komplettes Netzwerk ist mit den Unifi Geräten aktuell sehr stabil.

An die Netzwerker, was meint ihr dazu? Mit welchen Nachteilen lebe ich denn aktuell die Ich gar nicht bemerke?

 

[TheCadillacMan]

Doppeltes NAT ist nicht immer wirklich nötig.
Möglichkeit 1: NAT im USG ausschalten und statische Routen zwischen FritzBox und USG einrichten. Dann macht nur die FirtzBox NAT.
Möglichkeit 2 (sofern DSL/PPPoE): PPPoE-Passtrough in der FritzBox einschalten und PPPoE-Verbindung im USG einrichten. Das ist sozusagen ein "Bridge-Mode-Light".

 

[LieberNetterFlo]

wenns dich nicht stört würd ich an deiner Stelle nichts machen. Den 130er würd ich sowieso nicht mehr kaufen, wenn dann gleich den 160er

siehe http://draytek.com/download_de/Produktkatalog/draytek-produktkatalog-2018.pdf Seite 15

 

[alxa]

Situationen, wo es bei kaskadierten Routern im Defaultzustand ein Problem geben kann:

bei ipv4
- wenn du zuhause einen Server (web, vpn...) betreiben willst, der vom Internet erreichbar sein soll.
- wenn du Onlinespiele spielen willst, die nur zum Mitspielerfinden einen zentralen Server nutzen, aber zur eigentlichen Spielesession ein dezentrales peer-to-peer UDP-Netzwerk zwischen den Teilnehmern aufbauen. Gleiches gilt auch z.B. bei Internettelefonielösungen, die proprietäre peer-to-peer Protokolle ohne zentralen Server nutzen. Das ist aber nicht pauschal ein Problem, sondern hängt von der konkreten Implementierung in beiden Routern und der Client-Software ab, ob es über kaskadierte Router klappt.

bei ipv6
- wenn dein Anbieter dir am Übergabepunkt nur einen 64bit IPv6 Prefix zuteilt, dann hast du ab dem zweiten Router kein IPv6 mehr. Vodafon Kabel Deutschland ohne feste IP ist leider so ein Negativbeispiel, nur in dieser Zusatzoption ist aktuell ein 56bit Prefix dabei, der IPv6 Subnetting über kaskadierte Router daheim ermöglicht.

 

[Raijin]

Leider lässt sich NAT beim USG nicht so ohne weiteres abschalten. Früher musste man das über einen manuellen Eingriff in die Konfiguration machen, der dann aber bei jedem Update durch den Controller übergebügelt wurde.

Ich habe mal gelesen, dass es zumindest geplant war/ist, einen "NAT-Haken" in den Unifi-Controller einzubauen. Da ich kein USG habe und stattdessen die .. .. sagen wir mal etwas professionelleren EdgeRouter bevorzuge, kann ich nicht beurteilen ob diese Funktion bereits den Weg in den aktuellen Controller gefunden hat. Für eine entsprechende Rückmeldung wäre ich dankbar.

Wenn das mit Unifi mittlerweile geht, wäre das auf jeden Fall die beste Lösung. Etwaige Portweiterleitungen in der Fritzbox kann man nämlich auch direkt auf IPs hinter dem USG leiten, eine statische Route in dessen Subnetz vorausgesetzt. Sofern das für dich aber nicht relevant ist, weil du keinen Bedarf für Portweiterleitungen hast und/oder sonst keine Nachteile durch Doppel-NAT merkst, lass es so. Im schlimmsten Falle musst du Portweiterleitungen dann doppelt anlegen, Fritzbox --1--> USG --2--> Ziel.

 

[darkiop]

Vielen Dank für die Infos, das passt. Werde alles so lassen wie es ist.

VPN Server läuft und der connect auf diesen auch ohne Probleme. Falls bzgl. Online Spiele mal ein Problem auftauchen sollte wird dann reagiert.

@TheCadillacMan Werde ich mal durchtesten. Zur Möglichkeit eins, den statischen Routen, muss ich mich noch einlesen was genau der technische Hintergrund ist und wie ich die Routen zu verstehen habe.

@Raijin ich schau später/morgen mal im UniFi Controller ob es die Möglichkeit gibt.
Mein VPN Server ist aktuell über eine doppelte Portweiterleitung zu erreichen.

 

[snaxilian]

@TheCadillacMan PPPoE Passthrough funktioniert so nicht mehr. Die "erste" Einwahl muss weiterhin die FB erledigen, nur weitere Verbindungen können dahinter liegende Geräte machen.

@alxa: Auch das mit IPv6 stimmt so nicht, dann ist nur prefix delegation nicht korrekt konfiguriert.

@darkiop: Die häufigsten Probleme wurden schon genannt. Wenn dich keins davon betrifft ist doch super und du kannst es so lassen

 

[alxa]

[
@alxa: Auch das mit IPv6 stimmt so nicht, dann ist nur prefix delegation nicht korrekt konfiguriert.

hm, aber wenn du nur einen einzigen 64bit Prefix hast, bleiben 0bit für delegation über , lassen sich also nicht mehr weiter unterteilen (ausser man wurschtelt am standard vorbei oder nutzt NAT64).
Been there, tried that :-(

 

[t-6]

Um die Sache etwas zu vereinfachen: Leg in deiner Fritzbox das USG als "Exposed Host" fest. Das leitet direkt alle Ports auf das USG weiter, so dass du keine doppelten Portweiterleitungen (gewissermaßen) mehr brauchst.

 

[snaxilian]

@alxa Öhm *kopf kratz* Stimmt. Ich hatte irgendwie überlesen, dass der TE vom Provider nur ein /64 bekommt, aber offensichtlich gibt es ja Provider, die so geizig sind.

@t-6 Ist in dem Fall dann nicht auch die Fritzbox selbst nicht mehr von außen erreichbar? Ist zumindest zu erwähnen für den Fall, dass der TE das integrierte VPN nutzt oder sonstige Funktionalitäten von extern aus.

 

[t-6]

...ich geh jetzt mal davon aus, dass die Fritzbox jetzt eigentlich nur noch überzüchtetes Modem spielt und letztlich das USG bereits alles relevante abbekommt.
Aber joar; Erreichbarkeit über HTTPS der Fritzbox könnte ein Problem sein. Wobei ich meine mich dunkel daran zu erinnern, dass trotz Exposed Host die Fritzbox jenen Port doch wiederum abfängt.

 

[Raijin]

Da zumindest der VPN-Server hinter dem USG sitzt, könnte man die Fritzbox zumindest "von innen nach außen" erreichen. Man käme durch die Einstellung exposed host zwar nicht direkt auf die Fritzbox, aber dann eben via VPN.

 

[darkiop]

@snaxilian Hast du nicht überlesen, IPV6 ist kein Thema - mein Provider war so nett und hat mir eine fixe IPV4 geschaltet und mir somit das DS-Lite erspart. Des weiteren nutze ich den VPN des USG bzw. gerade im Testen einen weiteren OpenVPN-Server. Dafür ist auf der FritzBox nicht die Exposed-Host Funktion aktiv, sondern eben nur die benötigten Weiterleitungen

@t-6 @Raijin Völlig ausreichend für mich, das die FritzBox nur von Innen erreichbar ist. Im Gegenteil - fühlt sich auch etwas sicherer an

Ich habe ja auch keine Probleme, meine Frage war ja eher in die Richtung - "Habe ich Probleme die ich nicht erkenne und ggf. ein Grund dafür wären ein Modem zu kaufen". Trotzdem ein sehr Informativer Thread, Danke dafür!

 

[h00bi]

Ich würde daran erstmal auch nichts ändern.
Wenn du irgendwann auf Supervectoring umstellst, DANN würde ich aber gleich schauen dass du einen Speedport nimmst (Modembetrieb möglich) oder das neue Vigor 160 Modem kaufst (wenn es bis dahin ausgeliefert wird) um das doppelte NAT loszuwerden.

 

[Raijin]

schauen dass du einen Speedport nimmst (Modembetrieb möglich)

Wobei man da ganz genau hinsehen muss. Mein Speedport (W921V) kann nur VoIPen, wenn er auch routet und nicht im Modembetrieb. Wenn VoIP ein Thema ist, sollte man sich explizit schlau machen ob das bei den neueren Speedports möglich ist, was ich jedoch vorsichtig bezweifle.

 

[h00bi]

Guter Hinweis, aber ich bin jetzt davon ausgegangen dass das nicht relevant ist, denn das Vigor 130 was in Betracht gezogen wurde kann das ja auch nicht.
Auch die Speedport Smart können im Modem Modus nicht VOIPen (laut OK-Forum).

 

[darkiop]

Super, auch danke für diese Info - ich habe keine Telekomanschluss, sondern einen "lokalen" Anbieter hier vor Ort: Inexio.

Falls es mal zu Problemen kommt werde ich mir den Vigor 160 definitv anschauen.