Unifi DM hinter IB4 ohne doppeltes NAT

Veingioka91

Hallo zusammen, ich habe vor eine UDM hinter meine IB4 anzuschliessen und WLAN und LAN über Unifi laufen zu lassen. Da das Routing und die Firewall bei Unifi viel spannender und ausführlicher ist als bei der IB4 soll das auch darüber laufen. Die IB sollte dann natürlich das Internet aus einem Ethernet-Port ungenattet rauslassen. Aber DECT und Festnetztelefonie soll trotzdem über die IB4 laufen. Ausserdem würde ich die TV-Boxen an einen der anderen 4 Ethernet-Anschlüssen der IB anschliessen, da das einfacher ist mit dem speziellen Protokoll die sie benötigen. Also nun meine Frage, wie kann ich das Internet auf einem LAN-Port ungenattet rauslassen?

user109

@Veingioka91 siehe hier:

https://community.swisscom.ch/t5/Router-Hardware/UDMPRO-Unifi-mit-Internetbox-3-10gb/td-p/678257

kaetho

@Veingioka91 die einschlägigen Links hat dir @user109 ja bereits gegeben.

Als Ergänzung:

- Mit der IB wirst du nie ungenattet auf die UDM (oder auf einen anderen Router hinter der IB) kommen, weil die Internetboxen keinen Bridge Mode zulassen, nur einen "Exposted Host" oder wie das die IB nennt "DMZ-Mode". -> die UDM gehört also in die DMZ, und das WLAN auf der Internetbox am besten ganz abgeschaltet

- Die ganzen spannenderen Routings, Firewalls usw. der UDM kannst du dann so uneingeschränkt nutzen, natürlich auch das ganze LAN und WLAN mit all seinen erweiterten Einstellmöglichkeiten.

- Einzig DDNS machst du auf der Internetbox, weil die UDM keine öffentliche IP erhält, die direkt aus dem Internet ansprechbar ist.

- Die TV Boxen würde ich auch direkt an die Internetbox hängen. Wenn du diese alle mit einer direkten LAN-Verbindung anhängen kannst, ohne Switch usw, dann brauchst du das separate VLAN für IPTV im Unifi-Netz gar nicht. Das kommt erst zum Einsatz, wenn du IPTV auch über Switches laufen lassen willst, die im Unifi-Netz miteingebunden sind.

Die UDM's sind aber (endlich) auf der 3er Version. Die sollte mittlerweile auch mit IPTV-Streams umgehen können, hier angesprochen und hier bestätigt.

Aus reinem Gwunder: wo erwartest du Probleme, wenn du auf ein ungenattetes Netz verzichten tust?

POGO 1104

@Veingioka91 schrieb:

.....Also nun meine Frage, wie kann ich das Internet auf einem LAN-Port ungenattet rauslassen?

Sowas geht bei den Swisscom Internetboxen nicht.

Veingioka91

Hallo zusammen,

Gibt es eine Möglichkeit die IB4 im IP-Client Modus laufen zu lassen. Also über LAN einen Internetzugang zu gewährleisten und dann mit SIP-Credentials die DECT Funktion zu nutzen. Ist das möglich, da ich die IB4 nicht als Router verwenden möchte, aber als DECT Station.

Werner

@Veingioka91 schrieb:

Hallo zusammen,

Gibt es eine Möglichkeit die IB4 im IP-Client Modus laufen zu lassen. Also über LAN einen Internetzugang zu gewährleisten und dann mit SIP-Credentials die DECT Funktion zu nutzen. Ist das möglich, da ich die IB4 nicht als Router verwenden möchte, aber als DECT Station.

Nein.

Nein, denn die IB4 ist ein All-in-One Router, hat keinen WAN-Eingang, ausser die FTTH-Schnittstelle und stellt ihre Funktionalität mit wenigen Ausnahmen auch nicht modularisiert zur Verfügung.

Also verwende sie am besten ganz einfach so, wie sie von der Swisscom für den Betrieb vorgesehen ist, und kaskadiere dann Dein eigenes Netz dahinter, denn das doppelte NAT, welches ich selbst übrigens bereits seit über 10 Jahren auch habe, hat bis jetzt in der Praxis noch nie zu irgendwelchen nicht überwindbaren Herausforderungen geführt.

Falls Du die IB4 aber doch vollständig ersetzen möchtest, z.B. mit einer Nokia XGS-PON Bridge, führt der Weg für die Telefonie dann üblicherweise über eine zusätzliche Gigaset GO Box 100 welche man dann als dedizierte VOIP-fähige DECT-Basisstation mit den externen SIP-Credentials der Swisscom füttern kann.

Veingioka91

Hallo Werner,

vielen Dank für deine detaillierte Antwort, mit der ich vieles Anfangen kann. Wie hast du das bei dir aufgebaut? Hast du den DMZ Modus für deinen Router hinter der IB aktiviert? Und wie funktioniert das mit DHCP. Managest du das auf der IB?

kaetho

Hoi Veingioka91

ja, der kaskadierte Router gehört in die DMZ, das aktivierst du auf der IB

Der kaskadierte Router erhält dann an seinem WAN-Port die (hier im Beispiel meine UDMpro) 192.168.1.6

DHCP für die Geräte, die direkt an der Internetbox hängen, macht nach wie vor die Internetbox, also z.B. für die TV-Boxen, die du in deinem Startpost angesprochen hast und natürlich für den WAN-Port der UDMpro. Ich habe bei mir auf der IB3 einfach die IP-Adressen anhabd der MAC-Adresse noch fixiert.

DHCP für die Geräte, die dann hinter dem kaskadierten zweiten Router hängen, macht dann der dafür zuständige kaskadierte Router.

Werner

@Veingioka91

Das wichtigste bei einem kaskadierten Netz ist, dass sich die IP-Adressbereiche der 2 Netze nicht überschneiden, denn in beiden Netzen läuft weiterhin ein DHCP-Server, welcher pro Netz seinen eigenen Clients jeweils eine IP vergeben soll.

Das Standardnetz einer Swisscom Internetbox ist 192.168.1.0 mit der Routeradresse 192.168.1.1.

Einem nachgelagerten Netz gibst Du jetzt auf seinem Router z.B. einfach den überschneidungsfreien Adressbereich 192.168.7.0 mit der Routeradresse 192.168.7.1.

Damit sind die 2 Netze mal grundsätzlich eigenständig, wobei man mit Clients aus dem kaskadierten Netz 192.168.7.0 durchaus auf Ressourcen im Netz 192.168.1.0 zugreifen kann, weil der Router mit der IP 192.168.1.1 (also die IB4) auch gleichzeitig als Gateway zum Internet agiert und gleichzeitig natürlich auch seine eigenen Clients kennt.

Umgekehrt wird man aber aus dem Netz der IB4 (ohne den Spezialfall von statischen Routen) nicht auf Ressourcen im nachgelagerten kaskadierten Netz zugreifen können, da die IB4 in diesem Fall als Client im eigenen Netz nur den kaskadierten Router, aber nicht seine einzelnen Clients kennt.

Der nachgelagerte Router ist das einzige Gerät, welches als Schnittstelle in beiden Netzen jeweils eine IP-Adresse besitzt.

Durch die Kaskade entsteht ein gewisser zusätzlicher Schutz für die Ressourcen im internen Heimnetz, welches dann auch vollständig providerunabhängig verwaltet werden kann.

Portweiterleitung von der IB4 auf den internen Router braucht man nur in jenen Situationen, in welchen man direkt aus dem Internet durch die IB4 hindurch direkt auf sein nachgelagertes internes Netz zugreifen will.

Selbst habe ich da lediglich 3 manuelle Portweiterleitungen definiert und diese ermöglichen den Zugriff aus dem Internet auf 3 unterschiedliche VPN-Server im kaskadierten internen Netz.

Alternativ zu manuellen Portweiterleitungen kann man auch den DMZ-Modus von der IB4 auf den nachgelagerten Router freischalten, dies bewirkt dann, dass die Ports unabhängig von Einzelbedürfnissen gleich bündelweise zu Tausenden ins interne Netz weitergeleitet werden.

Persönlich bevorzuge ich aber aus Transparenzgründen die gezielte Portweiterleitung und bei einer einstelligen Zahl von benötigten Ports ist das auch kein grosser einmaliger Aufwand.

Kommt noch hinzu, dass wenn man mal mehr als ein einzelnes Netz hinter dem Zugangsrouter kaskadieren will, was ich auch schon hatte, das DMZ-Konstrukt sowieso nicht mehr eingesetzt werden kann, da es auf ein einzelnes Netz beschränkt ist.

Marmic

Werner

Danke für die ausführlichen Informationen. Ich wechsle (vermutlich) von UPC/Sunrise zu Swisscom, sprich auf Glasfaser/10Gbit.
Aktuell habe ich bereits ein komplexeres Netzwerk am laufen (die UPC-Box wird als Bridge betrieben) mit einer UDM-Pro -> versch. Unifi-Switches, diversen ACs und Kameras, mit VLANs sowie die Telefonie mit einer Fritzbox als Telefonieanlage, etc.
Der Adressbereich bei mir ist zur Zeit auf 192.168.1.0 (UDM-Pro auf 192.168.1.1) festgelegt; und zusätzlich verschiedene VLANs auf 192.168.20.x; 192.168.30.x, … etc.

Nun, ich möchte bei einem allfälligen Wechsel auf Swisscom möglichst wenig umändern; daher meine Frage:

ich würde, gemäss den hier aufgeführten Hinweisen, die UDM-Pro ins "DMZ" von der IB4 vorsehen
damit ich nicht viel ändern müsste, wäre es möglich, im IB4 einen ganz anderen IP-Adressbereich als Standard festzulegen?
Bsp. 192.168.100.0 mit der Routeradresse 192.168.100.1 ==> und dann mit UDM Pro z.b. den Adressbereich 192.168.1.0 (und mit der 192.168.1.1) zu vergeben?
Somit müsste ich nicht alle meine Devices (zum Teil mit fixen IP-Adressen resp. in div. Services entsprechend konfiguriert) ändern
Und kann ich dann weiterhin meine div. VLANs, so wie ich sie zur Zeit aktiv am laufen habe, so weiter betreiben?
Da ich viele Geräte in anderen VLANs im Betrieb habe (sog. Shelly's für mein Smarthome), möchte ich nicht alles neu konfigurieren…
TV kann ich ja sehr wohl über die IB4 laufen lassen, falls es zu mühsam wäre, diese auch über das Unifi-Netzwerk zu kriegen
Und die Telefonie möchte ich analog bisher auch über die Fritzbox laufen lassen, welche sich auch hinter der UDM-Pro befindet…

Ist das so möglich wie ich mir das vorstelle?

Falls das nicht möglich sein sollte, wäre Swisscom leider nachwievor keine Option für mich. Was schade wäre, da ich doch gerne vom neuen Glas-Anschluss profitieren möchte…
Danke schon mal.

POGO 1104

Marmic damit ich nicht viel ändern müsste, wäre es möglich, im IB4 einen ganz anderen IP-Adressbereich als Standard festzulegen?
Bsp. 192.168.100.0 mit der Routeradresse 192.168.100.1 ==> und dann mit UDM Pro z.b. den Adressbereich 192.168.1.0 (und mit der 192.168.1.1) zu vergeben?

Ja, kein Problem. Ich betreibe meine IB4 auch mit der IP 192.168.111.1. und zwar aus VPN-Gründen, um IP-Kollisionen zu vermeiden. Einen 2. Router hab ich aber nicht.
Deine anderen Anforderungen sollten auch gut erfüllbar sein (dein bisheriges UDM Netz wie bisher) - habe aber selbst keine Erfahrung damit.

Werner

Marmic

Die wichtigsten Fragen hat Dir @POGO 1104 ja schon positiv beantwortet, also möchte ich nur noch kurz etwas zur Frage des Unterschieds zwischen Bridge Mode (Dein heutiger Zustand) und Routerkaskade (Dein zukünftiger Zustand) mit zwei getrennten Netzen ergänzen:

für alle Definitionen im Netz Deiner UDM Pro ist es bei sauberer Netztrennung und Einsatz des DMZ-Modus (oder alternativ mit gezielten Portweiterleitungen) eigentlich so ziemlich egal, ob das vorgeschaltete Internet-Gateway eine Bridge oder ein vorgeschalteter Router ist
für alle Remote-Zugriffe aus dem Internet via DynDNS musst Du aber berücksichtigen, dass Deine UDM Pro von der Swisscom Internetbox auf ihrer WAN-Schnittstelle nicht die öffentliche IPv4-Adresse, sondern die private LAN-Adresse der UDM im Netz der IB erhalten wird. Dies ist aber nicht weiter tragisch solange Du nicht auf die Idee kommst direkt auf der UDM einen DynDNS-Client zu aktivieren, welcher dann mit der WAN-Adresse der UDM den externen DynDNS falsch „füttert“. Solltest Du also einen DynDNS nachführen wollen, mache das direkt auf der Swisscom Internetbox, oder falls es aus irgendwelchen Gründen trotzdem im nachgelagerten UDM-Netz sein soll, benutze einen DynDNS-Service, welcher die öffentliche IPv4 nicht direkt „hart verdrahtet“ aus der WAN-Schnittstelle ausliest, sondern via einen externen Internetservice nachführt.

Lori-77

@Marmic

Du kannst auch die UniFi Pro direkt ans Glas anschliessen

siehe hier

https://community.swisscom.ch/d/846365-udm-pro-als-router-ohne-bridgemodem-erneuter-aufruf/11

TV geht mit UniFi, (Muliticast)

Telefon musst du über SIPbDaten von Seisscom lösen

Gruss Lorenz

Marmic

Danke euch allen für eure Rückmeldungen.

Betreffend DMZ resp. UDM-Pro hinter der IB4, wie ich euch verstanden habe:

somit sollte eigentlich bis auf einen Punkt alles wie bisher laufen, wenn ich euch richtig verstanden habe. Ohne grosses Ändern meiner div. VLANs, IP-Adressen etc.
betreffend diesem einen Punkt (sprich Zugriff von aussen) - ich nutze zum Beispiel die Unifi-App, welche auch von aussen auf meine UDM-Pro zugreift. Zudem nutze ich aktuell den Unifi-seitigen Teleport für den VPN/Remote-Zugriff auf mein Netzwerk. Auch das wird wohl dann nicht mehr funktionieren… Richtig? Resp. ich müsste andere Wege gehen, wenn ich das richtig verstanden habe.

Betreffend UDM Pro direkt am Glas:

Ja, das hatte ich gelesen. Wäre auch eine Möglichkeit. Jedoch hat mich der Preis von 250 CHF abgeschreckt :-) . Aber ev. sollte ich dies auch noch prüfen, ob das trotzdem ein Szenario wäre

Grüsse
Martin

Werner

Marmic

Selbst habe ich keine UDM, sondern einen Asus Merlin Router hinter der Internetbox kaskadiert, zu Deinen UDM-spezifischen Fragen weiss aber sicher @kaetho Bescheid, welcher die Kombination IB/UDM selbst schon länger betreibt.

cybi

Also wenn du eh schon ein komplettes Netzwerk am laufen hast würde ich eher auf eine Bridge setzen und die IB im Schrank verstauen.

Ist die sauberste Lösung dein Netzwerk zu betreiben.

Werner

cybi

„Saubere Lösung“ ist ja ein relativer Begriff, denn mit der Internetbox vorne dran sind die Swisscom-spezifischen Themen Access auf den Swisscom-Backbone, Festnetztelefonie, Mulicast-IPTV von blue TV und der Providersupport für den Access (wenn es ihn dann mal braucht) bereits automatisch sauber gelöst.
Ziehst Du diese vier Services direkt in das UDM-eigene Netz rein schaffst Du Dir vier neue Herausforderungen, welche dann unter Umständen im UDM-Umfeld gemäss allen UDM-Diskussionen hier im Forum ganz schön „bockig“ sein können.

Meine eigenen Netze beginnen deshalb immer an einer Ethernet-WAN-Schnittstelle des eigenen Netzes zu einem Provider-CPE, welche dann auch eine klare Verantwortungstrennung zwischen dem internen Netz und dem Internetzugang und den Services des jeweiligen Providers erlaubt.

cybi

Werner

Ist ja perfekt wenn es für dich seit Jahren so funktioniert. Ich verstehe deinen Ansatz schon.

Meine Empfehlung, die Internet-Box (IB) durch eine Bridge zu ersetzen, erachte ich als die bessere Lösung für ein sauberes Netzwerkdesign, ich kann dir auch sagen wieso.

Vorteile der Bridge-Lösung:

1. Direkte öffentliche IP für die UniFi Dream Machine (UDM):
• Die UDM erhält eine externe IP-Adresse, was doppeltes NAT vollständig eliminiert.
• Dies erleichtert die Konfiguration von Diensten wie VPN, Portweiterleitungen und Firewalls.

2. Optimale Nutzung der UDM-Funktionen:
• Die UDM kann alle Netzwerkaufgaben (Routing, DHCP, Firewall) selbst übernehmen, ohne durch die IB eingeschränkt zu werden.
• Erhöhte Netzwerkstabilität, da keine Interaktion zwischen zwei Routern nötig ist.

3. Keine Notwendigkeit für DMZ:
• Der DMZ-Modus ist nur ein Kompromiss, um doppeltes NAT zu umgehen, und bringt oft Einschränkungen und potenzielle Sicherheitsrisiken mit sich.

4. Einfachere Fehlerdiagnose:
• Mit der Bridge-Lösung hast du eine klarere Netzwerkstruktur. Probleme können schneller erkannt und gelöst werden, da nur ein Router aktiv ist.

5. Zukunftssicherheit:
• Die UDM kann problemlos mit anderen Technologien oder Upgrades kombiniert werden, ohne dass du von den Funktionen der IB abhängig bist.

aber natürlich verstehe ich auch deine Argumente welche durchaus ihre Berechtigung haben

Herausforderungen bei der Bridge-Lösung:

• Telefonie und IPTV:
• Viele Provider, einschließlich Swisscom, benötigen ihre eigene Hardware für Funktionen wie VoIP und TV. Du müsstest sicherstellen, dass diese Dienste mit der Bridge-Lösung kompatibel bleiben (z. B. durch VLAN-Konfigurationen auf der UDM).

• Swisscom-Restriktionen:
• Manche Provider erlauben keine vollständige Bridge-Funktion oder blockieren den Zugang zu bestimmten Funktionen.

Deshalb halte ich an meiner Meinung fest, meine Empfehlung ist aus technischer Sicht klar überlegen. Sie reduziert Komplexität, erhöht die Performance und bietet eine saubere Netzwerkarchitektur. Der einzige Knackpunkt sind Dienste wie Swisscom TV und VoIP. Wenn der Nutzer diese nicht benötigt oder sie separat konfiguriert werden können, ist die Bridge-Lösung definitiv der beste Ansatz.

Schlussendlich muss ja jeder selber für sich entscheiden wie er es machen will, wollte einfach auch mal meinen Standpunkt klar erläutern damit andere für sich abwägen können wofür sie sich entscheiden.

Grüsse und guten Rutsch

Marmic

cybi Danke für deine ausführlichen Informationen. Auch das kann ich gut nachvollziehen.

Welchen Router resp. "Bridge" würdest du denn empfehlen? Gibt es hierzu Erfahrungen? Nur damit ich dann besser für den einen oder anderen Ansatz, welche beide ihre Berechtigung haben, entscheiden könnte.

Werner

cybi

Für ein „Naked Internet“ ohne Provider-spezifische Services gibt es aus meiner Sicht keinen einzigen Grund ein blue Internet Abo zu benutzen, denn da bist Du bei Init 7 ganz ohne Provider-CPE rein technisch gesehen viel besser aufgehoben, oder falls das an einem spezifischen Standort unmöglich wäre, dann vielleicht noch bei Wingo (der Discountmarke von Swisscom), Teleboy, iWay, etc. dann ist es bei deckungsgleichen Leistungen wenigstens nur noch halb so teuer wie ein blue Internet Abo 🙂

kaetho

cybi Ist ja perfekt wenn es für dich seit Jahren so funktioniert. Ich verstehe deinen Ansatz schon.

Meine Empfehlung, die Internet-Box (IB) durch eine Bridge zu ersetzen, erachte ich als die bessere Lösung für ein sauberes Netzwerkdesign, ich kann dir auch sagen wieso.

Da "muss" ich einiges entgegenhalten 😉 . Deine Argumente ziehen bei mir nicht. Für mich (als Heimanwender in einem Haushalt mit 9 Personen) und einem DSL-Anschluss (400/120) gilt: höchste Verfügbarkeit bei möglichst bester Performance und schneller Hilfe, wenn's mal klemmt.

Vorteile der Bridge-Lösung:

Direkte öffentliche IP für die UniFi Dream Machine (UDM):
• Die UDM erhält eine externe IP-Adresse, was doppeltes NAT vollständig eliminiert.
• Dies erleichtert die Konfiguration von Diensten wie VPN, Portweiterleitungen und Firewalls.

Das doppelte NAT hat heute in Bezug auf DSL/IB/UDM keinerlei Relevanz mehr. Die Geschwindigkeitseinbusse wegen 2x NATen fällt bei aktueller Hardware nicht mehr ins Gewicht.
Wo wird die Konfiguration erleichtert? Auf der UDM? Die Konfiguration auf der UDM ist und bleibt genau gleich "aufwändig" oder "kompliziert", oder eben auch "einfach". Du hast ein "WAN in", und was da daherkommt ist egal ob das nun von der IB kommt oder gebridget ist.

Optimale Nutzung der UDM-Funktionen:
• Die UDM kann alle Netzwerkaufgaben (Routing, DHCP, Firewall) selbst übernehmen, ohne durch die IB eingeschränkt zu werden.
• Erhöhte Netzwerkstabilität, da keine Interaktion zwischen zwei Routern nötig ist.

Das kann die UDM auch so, egal ob diese direkt am Netz hängt oder an einer IB. Routing, Firewall, DHCP, Portweiterleitungen ect., nichts wird durch einen vorgeschalteten Router eingeschränkt.
Die UDM übernimmt normalerweise bei einer solchen Installation die komplette Kontrolle des Heimnetzes. Wenn dann etwas auf die Netzwerkstabilität schlagen soll, dann ist das entweder alleiniges Verschulden durch Die UDM oder durch Fehlkonfiguration durch den Admin.
Und wenn mal am Hausanschluss nicht klappt, hat man mit der Hotline keinen Stress, wenn diese eine IB als Gegenstelle sieht 😉

Keine Notwendigkeit für DMZ:
• Der DMZ-Modus ist nur ein Kompromiss, um doppeltes NAT zu umgehen, und bringt oft Einschränkungen und potenzielle Sicherheitsrisiken mit sich.

Einfachere Fehlerdiagnose:
• Mit der Bridge-Lösung hast du eine klarere Netzwerkstruktur. Probleme können schneller erkannt und gelöst werden, da nur ein Router aktiv ist.

Zukunftssicherheit:
• Die UDM kann problemlos mit anderen Technologien oder Upgrades kombiniert werden, ohne dass du von den Funktionen der IB abhängig bist.

Die "DMZ" umgeht kein doppeltes NAT, sie stellt nur sicher, dass nicht konfigurierte Ports auf der IB an das in der DMZ liegende Gerät weitergeleitet werden. Und wo siehst du Sicherheitsrisiken? Die sind mit einer UDM in der DMZ nicht grösser als wenn die UDM direkt eine öffentliche IP erhält.
Die Netzwerkdiagnose bleibt genau gleich einfach. Die Netzwerkstruktur bleibt genau gleich analysierbar. Eine vorgeschaltete IB hat da keinen Einfluss. Ausser, man weiss nicht, was man tut 😉
Genau deshalb schaltet man doch einen eigenen Router nach: man bleibt, unabhängig vom Providergerät unabhängig. Raucht dieser ab, oder wird eine Anschlusstechnologie gewechselt, wechselt man einfach den Providerrouter aus und gut ist. Idealerweise bleibt der Providerrouter in den Defaulteinstellungen, bei Swisscom nimmt man also die UDM von der 192.168.1.1 weg.

aber natürlich verstehe ich auch deine Argumente welche durchaus ihre Berechtigung haben

Herausforderungen bei der Bridge-Lösung:

• Telefonie und IPTV:
• Viele Provider, einschließlich Swisscom, benötigen ihre eigene Hardware für Funktionen wie VoIP und TV. Du müsstest sicherstellen, dass diese Dienste mit der Bridge-Lösung kompatibel bleiben (z. B. durch VLAN-Konfigurationen auf der UDM).

Richtig: Swisscom-TV und Telefonie ist ein Thema. Beides bringt die IB mit, beides kann problemlos genutz werden, unabhängig von der UDM in der DMZ. Ich gehe dan den Weg über VLAN. Für die Telefonie entweder DECT, oder auch hier über VLAN und einen Cisco ATA 191 für mehr als zwei Analoganschlüsse (und mit den lokalen SIP-Einstellungen).

• Swisscom-Restriktionen:
• Manche Provider erlauben keine vollständige Bridge-Funktion oder blockieren den Zugang zu bestimmten Funktionen.

Ich habe noch keine einzige Einschränkung festgestellt, die einen Betrieb der UDM in der DMZ verunmöglichen. Was wird blockiert?

Deshalb halte ich an meiner Meinung fest, meine Empfehlung ist aus technischer Sicht klar überlegen. Sie reduziert Komplexität, erhöht die Performance und bietet eine saubere Netzwerkarchitektur. Der einzige Knackpunkt sind Dienste wie Swisscom TV und VoIP. Wenn der Nutzer diese nicht benötigt oder sie separat konfiguriert werden können, ist die Bridge-Lösung definitiv der beste Ansatz.

So klar ist das aus meiner Sicht nicht. Die Komplexität (wenn man einen Router vor der UDM als starken Komplexitätserhöher der Installation ansehen will) wird etwas höher, ja. Aber man gewinnt dadurch einiges an Flexibilität und kann so das Konzebt "das Beste aus beiden Welten" verwenden.

Einige Argumente dafür sind:
- DSL-Teil der IBen ist nach wie vor optimiert aufs Swisscom-Netz und man hat so die Gewähr, das maximum an Speed und Zuverlässigkeit aus der Leitung zu holen.
- SIP-Telefonie über die lokal generierten Daten bietet mehr Sicherheit als wenn man einen SIP-Client direkt offen betreibt.
- DDNS auf der IB ist stabil, zuverlässig (ich stelle diesbezüglich keinen Unterschied zu Infomaniak fest) und kostenlos.
- Das doppelte NAT hat keinen Einfluss auf Ping-Werte ins Netz. Und der WAN-Anschluss der UDM richtig auf die DSL-Leitung eingestellt, bringt auch unter Vollast der DSL-Leitung sehr tiefe PING-Werte im unteren, einstelligen Bereich, was grad für Onlinegamer wichtig ist.
- Probleme am Hausanschluss werden ohne "aber Sie haben einen Fremdrouter…" behandelt.
- jede/r mit einem Swisscomabo erhält kostenlos eine (zum Zeitpunkt des Vertragsabschlusses) aktuelle IB, die am dafür vorgesehenen Anschluss ohne weiteren Konfigurationsaufwand funktioniert (und Wenn ein Technologiewechsel ansteht, der den bestehenden Router unbrauchbar macht, wird dieser kostenlos wieder brauchbar gemacht. Warum also zusätzlich nochmals Geld für ein weiteres Gerät ausgeben, das bei einem allfälligen Technologiewechsen wieder neu gekauft werden muss?
- Und die UDM (in meinem Fall eine pro) hinter der IB kann ihren Funktionsumfang voll ausfahren

Schlussendlich muss ja jeder selber für sich entscheiden wie er es machen will, wollte einfach auch mal meinen Standpunkt klar erläutern damit andere für sich abwägen können wofür sie sich entscheiden.

Genau. Deshalb habe ich mich unter meinen Netzvoraussetzungen für diese Kombi entschieden 😉

Marmic

Hmm, ja ich verstehe euch.

Auf der einen Seite möchte ich autonom agieren können und das Netzwerk so verwalten, wie ich mir das vorstelle. Und ja, das kann auch mühsam sein, wie ich in der Vergangenheit schon erlebt hatte (Stichwort Telefonie selber handeln). Aber ich habe das ganze bisher immer gut in den Griff bekommen; bei Swisscom wie auch bei UPC. Aber da waren halt immer Bridge-Mode möglich.

Ich sehe aber auch die Herausforderung, bei Problemen die Verantwortung klar zu definieren, wenn "gebridget" wird.
Und daher, wenn das so geht wie beschrieben, sprich den IB4 als Gateway zu nutzen (und meinen Router via DMZ einzubinden) und dahinter dann autonom zu agieren, dann habe ich fast alles erschlagen und ich muss, so wie ich verstanden habe, kaum etwas ändern.
Mit Ausnahme:

Telefonie: mit SIP-Daten vermutlich wohl auch möglich, ins dahinter liegende Netz und da auf die Fritzbox zu gelangen. Für mich schon ein muss, da ich meine Geräte und Telefonfunktionen an der Fritzbox nutze (quasi als Telefonzentrale)
==> oder ganz auf Festnetztelefonie zu verzichten… und Geld sparen…. hierzu muss ich aber noch "Überzeugungsarbeit" leisten :-)
TV: vermutlich, wie geschrieben am einfachsten direkt über die IB4; ansonsten kann ich immer noch versuchen via UDM. Was mir am liebsten wäre
==> oder ganz auf TV zu verzichten; das hatte ich bisher auch bei UPC, da ich via KODI und TVHeadend meine TVs "gefüttert" habe
Remote-Zugriff ==> ich vermute, hier habe ich wohl die grössten Herausforderungen. Aber da kann ich mich noch rantasten

Tja, und das mit Glas direkt in die UDM-Pro zu führen kann ich ja mal auf später verschieben…. :-) Aber auch eine spannende Idee, was aber natürlich wieder die Thematik von Werner hochbringt (Verantwortung der Services und Handling der verschiedenen Funktionen)

POGO 1104

Marmic
Der/die Zyxel PM7300 wird immer wieder als taugliche XGS-PON Bridge genannt und ist auch offiziell von Swisscom zertifiziert…..

Nächste Seite »