Skip to main content
Warum O2 Service
Frage

doppeltes NAT bei DSL Modem/Router Fritzbox 7690 und Unifi Dream Router 7 Firewall Setup


Hallo liebe Community,

meine Fragestellung bezieht sich auf das Thema des Doppelten NAT zwischen Modem/Router (Fritzbox) und dahinter liegender Firewall (UniFi Dream Router 7)

Mein Setup sieht folgendermaßen aus.

Für meinen DSL-Anschluss verwende ich als Modem/Router einen AVM FRITZ!Box 7690. Dieses Modell ist einer von zwei AVM FRITZ Modellen (FRITZ!Box 7530 AX und FRITZ!Box 7690) welche o2 auch als Miet-Router für DSL-Anschlüsse anbieten.

Den Vigor Draytek 130 finde ich persönlich nicht so sympathisch und das Webinterface sieht für mich doch schon sehr in die Jahre gekommen aus.

Für die Fritzbox habe ich mich entschieden, da ich diese meiner Auffassung nach für die Telefonie benötige. Auf meinen DSL-Anschluss sind mehrere Telefonnummern aktiviert.

Bitte korrigiert mich, wenn ich falsch liege, aber aktuell bin ich der Auffassung, dass meine virtuellen Telefonnummern auf der Fritzbox eingerichtet werden müssen und die Fritzbox dann als eine Art SIP-Schnittstelle für die Haustelefone agiert.

Außerdem habe ich schon Erfahrung mir Fritzboxen und finde den Funktionsumfang und die Möglichkeiten sehr umfangreich und ansprechend.

Das restliche Netzwerk (2x 24 Port PoE Switches und 4x Access Points) habe ich mit UniFi Hardware realisiert.

 

Nun zu meiner Konkreten Fragestellung. Gerne würde ich meine public IP (laut Technikerauskunft bei o2 DSL eine semi-statische IPv4 Adresse) direkt an meinen WAN-Port des UniFi Dream Router 7 (UDR-7) anliegen haben.

Da es aber meines Wissens, ein Modem für den Technologiewechsel von DSL auf LAN benötigt und PPPoE über DSL nicht funktioniert, komme ich um NAT (sogar 2x) nicht herum.

Auch benötige ich die Fritzbox für die Telefonie und kann sie daher nicht leicht durch ein „transparentes“ Modem alla Vigor Draytek 130 ersetzen.

Fritzbox in den Bridge Modus versetzen habe ich auch schon überlegt, wird auch hier (https://www.youtube.com/watch?v=AGq9uHw3xF8, https://ittweak.de/bridge-mode-in-fritzbox-aktivieren-mit-einem-trick/) sehr gut beschrieben. Allerdings scheint dieser Modus bei neueren Boxen bzw. FritzOSen teils nicht mehr möglich zu sein. Ich habe es persönlich für FRITZ!OS: 8.02 mit der AVM FRITZ!Box 7690 allerdings nicht getestet.

 

Um das doppelte NAT (1x Fritzbox, 1x UniFi) zu vermeiden gibt es seit einiger Zeit, durch ein Update von UniFi, die Möglichkeit einer Lösung. In diesen Videos (https://www.youtube.com/watch?v=JJ94kGeNSaw, https://www.youtube.com/watch?v=hSmrcHbl03U) wird es sehr gut erklärt und beschrieben, wie man die Konfiguration vornimmt.

Gerne würden mich Stimmen aus der Community interessieren, hat jemand solch ein oder ähnlich Setup am Laufen und kann mir vielleicht eine kleine Hilfestellung geben?!

 

Zu Info, mein o2 DSL-Anschluss ich noch nicht aktiv, da aktuell erst an der Hauseinspeisung des DSL-Kabels gearbeitet wird. Glasfaser ist aktuell leider nicht für unsere Adresse verfügbar, weder ist ein Ausbau geplant.

 

Vielen Dank!

15 Antworten

schluej
Superstar
  • 15876 Antworten
  • 7. Juni 2025

Moin,

kann der UniFi routing (statisch)?

Dann richte doch ein Routing ein.

Mich würde mal interessieren warum man den Unifi zusätzlich zur FB benötigt?


Hi ​@schluej 

natürlich kann der UniFi Dream Router 7 Routing.
Die von mir verlinkten Videos greifen genau das Thema Routing als Lösungsmöglichkeit auf.
Ich benötige den UniFi Dream Router 7 damit ich meine gesammte UniFi Netzwerkhardware damit manage.

Weiters verwende ich in meinen Netzwerk VLANs welche eine saubere Segmentierung garantieren.
Die Firewall Regeln zwichen den VLANs werden ebenfalls mit dem UniFi Dream Router 7 abgebildet.

Hier ein kleiner Auszug der Features die der UDR-7 aufweist.

Security

  • Stateful Firewall
  • Application-Aware Layer 7 Firewall
  • DPI & Traffic Identification
  • Zone-Based Firewall Advanced Filtering (Regions, Domains, Apps)
  • Content Filtering
  • Intrusion Prevention (IPS/IDS)
  • Ad Blocking
  • IDS/IPS Signatures 20,000+ with CyberSecure
  • VLAN/Subnet-based Traffic Segmentation

Site-to-Site VPN

  • Site Magic
  • IPsec
  • OpenVPN
  • VPN Server:
  • Identity Endpoint One-Click VPN
  • Teleport Zero-Configuration VPN
  • WireGuard
  • OpenVPN
  • L2TP

VPN Client

  • OpenVPN
  • WireGuard

Details dazu findest du hier https://eu.store.ui.com/eu/en/products/udr7.


schluej
Superstar
  • 15876 Antworten
  • 7. Juni 2025

Zu Zwangsrouter Zeiten habe ich das auch so eingerichtet.

Bei meinem Router war als client im Netz der FB mit einem LAN Port.

Die FB hat alle Verbindungen an meinen Router durchgereicht.

In meinem Router habe ich die FB als GW eingetragen und die Daten für extern an die FB geroutet.

Am Port zur FB habe ich dann die FW aktiviert. 


o2_Senay
  • Moderatorin
  • 3926 Antworten
  • 14. Juni 2025

Hallo ​@wolfgang.reidlinger vielen Dank, dass du dich mit diesem Thema hier meldest. Ich muss gestehen, dass dieses Thema für mich etwas außerhalb meines Fachwissens liegt, aber ich freue mich sehr, dass du dich mit schluej dazu ausgetauscht hast 😊. 

Da wir seit deinem letzten Beitrag vor 7 Tagen nichts mehr von dir gehört haben, wollte ich mich erkundigen, ob es inzwischen Neuigkeiten gibt oder ob du vielleicht eine Lösung gefunden hast. Falls du noch Unterstützung benötigst, stehen wir dir gern zur Verfügung und versuchen, soweit es uns möglich ist, weiterzuhelfen😌.

Liebe Grüße,

Senay


Ich wuerde folgendes zumindest mit in Erwaegung ziehen:

  1. bridged modem fuer den DSL Link, da gibt es welche von Draytek, und Zyxel, aberauch eine FB 7520 (Typ A) laesst sicvh unter OpenWrt flashen und als bridged modem einrichten.
  2. UDR als Hauptrouter, der per PPPoE die Verbindung zum ISP aufbaut.
  3. Separate SOP/VoIP Basisstation innerhalb Deines Netzwerks (dafuer kann man z.B. eine aeltere Frotzbox hernehmen, dafuer Internetzugang ueber einen LAN Port mit DCHP einrichten).

 


o2_Senay
  • Moderatorin
  • 3926 Antworten
  • 23. Juni 2025

@wolfgang.reidlinger, leider hast du dich hier länger nicht mehr gemeldet. Lass uns wissen, wenn du weiterhin unsere Unterstützung hier benötigst. Du kannst dich gerne jederzeit erneut melden🙂

LG, Senay


Vielen Dank ​@pufferueberlauf0 für deine technisch fundierte Antwort und deine Vorschläge. Kommende Woche haben wir den vor-Ort Termin mit den O2 Techniker (via HELFERLINE), danach kann ich hier mehr berichten.

Bzgl. Punk a. - bridged Modem, aus Kostengründen hätte ich mich da für das DrayTek Vigor167 (https://www.draytek.de/vigor167.html) entschieden. Kannst du vlt. bestätigen, ob das für mein Setup und für O2 als ISP ausreichend ist.


schluej
Superstar
  • 15876 Antworten
  • 23. Juni 2025

@wolfgang.reidlinger die, die das DrayTek zum laufen bekommen haben, sind wohl zufrieden.


@schluej gibt es bei den DrayTek Vigor167 bekannt Probleme oder gestaltet sich die Einrichtung als verhältnismäßig mühsam? Habe leider mit diesem Hersteller keine Erfahrung.


@pufferueberlauf0 bzgl. Punk a. - bridged Modem, beim Zyxel meinst du wahrscheinlich konkret den Zyxel VMG4005-B50A (https://www.zyxel.com/de/de/products/dsl-cpe/vdsl2-17a-bonding-and-35b-single-line-bridge-vmg4005-b50a) oder?
Vielen Dank!


Klaus_VoIP
Legende
  • 32267 Antworten
  • 23. Juni 2025

Draytek gilt schon als semi-professionell, d.h. manche Einstellungen sind besser möglich, allerdings kann es verwirren und bei zu viel Einstellungsmöglichkeiten erhöht sich auch leicht die Fehlerquote. Allerdings hätte ich beim schlichten Modembetrieb keine Bedenken!


Bzgl. Punk a. - bridged Modem, aus Kostengründen hätte ich mich da für das DrayTek Vigor167 (https://www.draytek.de/vigor167.html) entschieden. Kannst du vlt. bestätigen, ob das für mein Setup und für O2 als ISP ausreichend ist.

Ich habe das selber nie benutzt, ich vermute dass das laufen wird, aber wirklich bestaetigen kann ich das nicht.

@pufferueberlauf0 bzgl. Punk a. - bridged Modem, beim Zyxel meinst du wahrscheinlich konkret den Zyxel VMG4005-B50A (https://www.zyxel.com/de/de/products/dsl-cpe/vdsl2-17a-bonding-and-35b-single-line-bridge-vmg4005-b50a) oder?
Vielen Dank!

Da hatte ich noch gar nicht im Detail nachgesehen, aber das sieht passend aus.


o2_Senay
  • Moderatorin
  • 3926 Antworten
  • 24. Juni 2025

@wolfgang.reidlinger es freut mich sehr, dass du die soviel Unterstützung hier erhältst. Ich hoffe sehr, dass der Technikereinsatz nächste Woche alles zu deiner Zufriedenheit klärt und das Problem schnell behoben wird 😊. E

Bezüglich deines neuen Geräts, dem DrayTek Vigor167, sobald du es getestet hast, würden wir uns sehr freuen, wenn du deine Erfahrungen hier mit uns teilst. Dein Feedback könnte auch anderen bei ihrer Entscheidung helfen.

Vielen Dank nochmal für dein Engagement und deine Geduld. Wir drücken die Daumen, dass alles reibungslos läuft, und stehen dir bei Fragen jederzeit gern zur Verfügung😌


Ich habe mich jetzt doch für den DrayTek Vigor167 (https://www.draytek.de/vigor167.html) entschieden.

Dieses Modem unterstützt viele Standards (Annex A, Annex B, Annex J, Annex M, Annex Q) und scheint auch so gut mit Unifi Dream Router / Dream Machine zu funktionieren. Hier gute Videos welches die Einrichtung erklärten (https://www.youtube.com/watch?v=Z9XZHZQ9XpUhttp://youtube.com/watch?v=jV_ILLIBNdQ)

Der Zyxel VMG4005-B50A (https://www.zyxel.com/de/de/products/dsl-cpe/vdsl2-17a-bonding-and-35b-single-line-bridge-vmg4005-b50a) unterstützt anscheind nur Annex A welches für O2 als ISP bzw. für alle deutschen ISP nicht passen würde. Bitte korrigiert mich wenn ich falsch liege, ist meine eigene Nachforschung und keine Aussage eines ISP bzw. Technikers.

Ich berichte nochmals nach dem Termin mit dem Techniker und der hoffentlich erfolgreichen Einrichtung.


o2_Senay
  • Moderatorin
  • 3926 Antworten
  • 24. Juni 2025

@wolfgang.reidlinger, sehr gut, dass du dich für den DrayTek Vigor167 entschieden hast und dich gut informiert hast. Die Videos sind sicher für viele, die sich das Gerät anschaffen möchten, sehr hilfreich. Vielen Dank für die geteilten Links🙂


Deine Antwort