Fritzbox Bridge Mode mit UniFi Gateway: So vermeiden Sie doppeltes NAT und holen alles aus Ihrem Netzwerk heraus.

Die Fritzbox ist kein reines Modem – sie ist ein Router. Und wenn hinter einem Router ein zweiter Router steht, entsteht doppeltes NAT (Double NAT). Das bedeutet: Beide Geräte übersetzen Netzwerkadressen, beide führen eine eigene Firewall, beide vergeben IP-Adressen per DHCP. Für einfaches Surfen fällt das kaum auf. Aber sobald VPN-Verbindungen, Portfreigaben, VoIP-Telefonie, Kamerazugriff von außen oder Site-to-Site-Verbindungen zwischen Standorten ins Spiel kommen, wird doppeltes NAT zum Showstopper.

Die gute Nachricht: Es gibt mehrere bewährte Wege, das Problem zu lösen – vom Exposed Host über den Fritzbox Bridge Mode bis hin zur vollständigen Ablösung der Fritzbox durch ein UniFi Cloud Gateway Fiber am Glasfaseranschluss. Welcher Weg der richtige ist, hängt vom Anschlusstyp (DSL, Kabel, Glasfaser) und den gewünschten Funktionen ab.

NAT (Network Address Translation) ist die Übersetzung zwischen der öffentlichen IP-Adresse des Internetanschlusses und den privaten IP-Adressen im lokalen Netzwerk. Jeder Router macht NAT – das ist seine Kernaufgabe. Doppeltes NAT entsteht, wenn zwei Router hintereinander geschaltet sind und beide unabhängig voneinander NAT durchführen.

Das typische Szenario: Die Fritzbox bekommt vom Provider die öffentliche IP-Adresse und vergibt intern Adressen aus dem Bereich 192.168.178.0/24. Das UniFi Cloud Gateway hängt an einem LAN-Port der Fritzbox, bekommt von ihr eine interne Adresse (z. B. 192.168.178.2) und vergibt seinerseits Adressen aus einem eigenen Bereich (z. B. 192.168.1.0/24). Alle Geräte hinter dem Cloud Gateway müssen nun durch zwei NAT-Übersetzungen, um ins Internet zu gelangen.

Das führt zu konkreten Problemen: VPN-Verbindungen (WireGuard, IPSec, Site Magic) funktionieren nicht oder nur eingeschränkt, weil die VPN-Endpunkte die öffentliche IP nicht kennen. Portfreigaben müssen doppelt eingerichtet werden – einmal auf der Fritzbox und einmal auf dem Cloud Gateway. DynDNS zeigt die falsche IP an, weil das Cloud Gateway nur die interne Fritzbox-IP sieht. VoIP-Telefonie und Kamerazugriff von außen scheitern häufig komplett. Und die Performance leidet, weil das Cloud Gateway doppelt NAT berechnen muss, obwohl es nur einmal nötig wäre.

Es gibt drei etablierte Methoden, um das Problem zu lösen. Jede hat ihre Vor- und Nachteile, und die richtige Wahl hängt vom Anschlusstyp und den individuellen Anforderungen ab.

Die von AVM offiziell unterstützte und sicherste Methode ist die Einrichtung des UniFi Cloud Gateways als Exposed Host in der Fritzbox. Dabei leitet die Fritzbox sämtlichen eingehenden Datenverkehr aus dem Internet ungefiltert an das Cloud Gateway weiter. Die Fritzbox macht weiterhin NAT und bleibt der primäre Router mit der öffentlichen IP – aber alle Anfragen landen direkt beim Cloud Gateway, das dann mit seiner eigenen Firewall und IDS/IPS den Datenverkehr filtert.

So richten Sie den Exposed Host ein:

Verbinden Sie den WAN-Port Ihres UniFi Cloud Gateways mit einem LAN-Port der Fritzbox. Vergeben Sie dem Cloud Gateway eine feste IP-Adresse im Fritzbox-Netz (z. B. 192.168.178.2) – entweder statisch am Gateway oder als feste Zuweisung im DHCP der Fritzbox. Öffnen Sie die Fritzbox-Oberfläche unter http://fritz.box und navigieren Sie zu Internet → Freigaben → Portfreigaben. Klicken Sie auf Gerät für Freigaben hinzufügen und wählen Sie das Cloud Gateway aus der Geräteliste. Aktivieren Sie die Option Exposed Host (manchmal auch als „Selbstständige Portfreigaben" oder „Alle Geräte-Ports freigeben" bezeichnet). Bestätigen Sie mit Übernehmen.

Richten Sie anschließend in der Fritzbox unter Heimnetz → Netzwerk → Netzwerkeinstellungen → Statische Routingtabelle eine statische Route in das UniFi-Subnetz ein (z. B. 192.168.1.0/24 über 192.168.178.2), damit die Fritzbox weiß, wie sie Antwortpakete an Geräte hinter dem Cloud Gateway zurückschicken soll.

Vorteile: Offiziell von AVM unterstützt, kein Risiko für die Fritzbox, Telefonie und DECT funktionieren weiter, Fritzbox behält ihre Verwaltungsoberfläche. Nachteile: Technisch ist es immer noch doppeltes NAT – aber durch den Exposed Host werden alle Ports weitergeleitet, sodass die typischen Probleme (VPN, DynDNS, Portfreigaben) gelöst sind. Das Cloud Gateway kennt allerdings nicht die öffentliche WAN-IP, sondern nur seine Fritzbox-interne IP.

Seit UniFi Network 8.x können Sie das NAT auf dem Cloud Gateway direkt über die Benutzeroberfläche deaktivieren. In diesem Setup macht nur noch die Fritzbox NAT – das Cloud Gateway arbeitet als reiner Router ohne Adressübersetzung. Das UniFi-Netzwerk wird dann als zusätzliches Subnetz hinter der Fritzbox betrieben.

So gehen Sie vor: Navigieren Sie im UniFi Controller zu Settings → Routing → NAT und deaktivieren Sie das Source-NAT für das WAN-Interface. Richten Sie in der Fritzbox unter Heimnetz → Netzwerk → Statische Routingtabelle Routen in alle UniFi-Subnetze ein (inkl. aller VLANs), mit dem Gateway auf die WAN-IP des Cloud Gateways. Richten Sie das Cloud Gateway in der Fritzbox zusätzlich als Exposed Host ein, damit eingehende Verbindungen korrekt weitergeleitet werden.

Vorteile: Kein doppeltes NAT mehr – die CPU des Cloud Gateways wird entlastet, da sie kein NAT berechnen muss. Alle Geräte hinter dem Cloud Gateway sind aus dem Fritzbox-Netz direkt erreichbar (und umgekehrt). Nachteile: Erfordert statische Routen in der Fritzbox für jedes VLAN. Der UniFi Controller zeigt unter Umständen an, dass der Internetdienst nicht verfügbar sei, obwohl alles funktioniert.

Der sauberste Weg an DSL-Anschlüssen: Die Fritzbox stellt nur noch die DSL-Verbindung her und reicht die PPPoE-Einwahl an das UniFi Cloud Gateway durch. Das Gateway baut den PPPoE-Tunnel selbst auf, erhält die öffentliche IP-Adresse direkt vom Provider und übernimmt alle Routing- und Firewall-Funktionen. Die Fritzbox fungiert dann nur noch als DSL-Modem – mit der Möglichkeit, weiterhin DECT-Telefone und Fax zu betreiben.

So richten Sie PPPoE Passthrough ein: Öffnen Sie die Fritzbox-Oberfläche und navigieren Sie zu Internet → Zugangsdaten → Internetzugang. Ändern Sie den Zugangsdatentyp auf Anderer Internetanbieter und aktivieren Sie PPPoE Passthrough (der genaue Menüpunkt variiert je nach Fritzbox-Modell und FritzOS-Version). Verbinden Sie den WAN-Port des Cloud Gateways mit einem LAN-Port der Fritzbox. Tragen Sie im UniFi Controller unter Settings → Internet → WAN den Verbindungstyp PPPoE ein und hinterlegen Sie die Zugangsdaten Ihres Providers. Am Telekom-Anschluss setzen Sie zusätzlich die VLAN-ID 7 am WAN-Interface des Cloud Gateways.

Vorteile: Die sauberste Lösung – kein doppeltes NAT, das Cloud Gateway hat die öffentliche IP, alle VPN- und Portfreigabe-Funktionen arbeiten einwandfrei, Fritzbox bleibt als DECT-Basis nutzbar. Nachteile: PPPoE Passthrough ist nicht bei allen Fritzbox-Modellen und FritzOS-Versionen verfügbar. Bei einigen Kabelanbietern (z. B. Vodafone) funktioniert es nicht, da der Provider nur eine PPPoE-Einwahl pro Leitung zulässt. Am einfachsten gelingt es an Telekom-DSL-Anschlüssen.

Tipp: Wer einen Glasfaseranschluss (FTTH) hat, kann die Fritzbox vollständig umgehen: Das UniFi Cloud Gateway Fiber wird direkt per SFP+ an den ONT des Providers angeschlossen. Kein Modem, kein Bridge Mode, kein Exposed Host – einfach eine saubere Verbindung. Mehr dazu in unserem Artikel Glasfaser-Router mit UniFi Cloud Gateway.

Neben dem doppelten NAT gibt es einen zweiten Grund, warum ein UniFi Cloud Gateway hinter der Fritzbox sinnvoll ist: Die Fritzbox unterstützt keine echten VLANs. Sie kennt lediglich ein separates Gastnetzwerk auf LAN-Port 4 – und das war es. Eine echte Netzwerksegmentierung, bei der verschiedene Gerätegruppen (Mitarbeitende, Gäste, IoT, Kameras, VoIP, Management) in getrennten Netzen mit eigenen Firewallregeln laufen, ist mit der Fritzbox nicht möglich.

Wer seinen Suchbegriff „Fritzbox VLAN" oder „Fritzbox VLAN einrichten" in Google eingibt, findet genau deshalb vor allem Forum-Posts mit der immer gleichen Antwort: Es geht nicht. Die Fritzbox ist nicht VLAN-fähig – weder die 7490, noch die 7590, noch die 7590 AX.

Mit einem UniFi Cloud Gateway und UniFi Switches lassen sich beliebig viele VLANs erstellen und über VLAN-Tags sauber an die einzelnen Switch-Ports und WLAN-SSIDs zuweisen. Jedes VLAN bekommt ein eigenes Subnetz, einen eigenen DHCP-Server und eigene Firewall-Regeln. So lässt sich z. B. sicherstellen, dass IoT-Geräte wie smarte Lampen oder Staubsaugerroboter keinen Zugriff auf das Unternehmensnetz haben – selbst wenn sie kompromittiert werden.

Wer einen Telekom-Anschluss (DSL oder Glasfaser) betreibt und die PPPoE-Einwahl auf dem UniFi Cloud Gateway durchführen möchte, muss am WAN-Interface des Gateways die VLAN-ID 7 konfigurieren. Die Telekom transportiert den PPPoE-Datenverkehr nämlich nicht ungetagged, sondern innerhalb von VLAN 7. Ohne diese Einstellung kann das Gateway den PPPoE-Server des Providers nicht erreichen und die Einwahl schlägt fehl.

Im UniFi Controller konfigurieren Sie die VLAN-ID unter Settings → Internet → WAN → VLAN ID. Tragen Sie dort den Wert 7 ein. In Kombination mit dem PPPoE-Verbindungstyp und den Telekom-Zugangsdaten (Anschlusskennung + T-Online-Nummer + Mitbenutzernummer, zusammengesetzt als Benutzername, und dem persönlichen Kennwort) baut das Cloud Gateway dann die Internetverbindung direkt auf.

Bei Deutsche Glasfaser und vielen anderen Glasfaseranbietern wird statt PPPoE das DHCP-Verfahren verwendet – dort ist keine VLAN-ID und kein PPPoE-Benutzername erforderlich. Das Cloud Gateway bezieht seine IP-Adresse automatisch per DHCP vom Provider.

DSL-Anschluss (Telekom, 1&1, Vodafone DSL, o2): Exposed Host ist die einfachste und sicherste Methode. Wer maximale Kontrolle will, nutzt PPPoE Passthrough mit VLAN 7 (Telekom) – das Cloud Gateway bekommt dann die öffentliche IP direkt. Die Fritzbox bleibt als DSL-Modem und DECT-Basis erhalten.

Kabelanschluss (Vodafone Kabel, Pyur): Exposed Host ist hier die empfohlene Methode, da Kabelanbieter meist nur eine PPPoE-Einwahl erlauben und keinen Bridge Mode unterstützen. Bei einer vom Provider gestellten Fritzbox ist der Bridge Mode oft nicht verfügbar (MAX CPE=1).

Glasfaseranschluss (Telekom FTTH, Deutsche Glasfaser, 1&1 Fiber): Die beste Lösung ist die vollständige Ablösung der Fritzbox durch ein UniFi Cloud Gateway Fiber, das direkt per SFP+ an den ONT angeschlossen wird. Falls die Fritzbox wegen DECT-Telefonie behalten werden soll, wird sie einfach als IP-Client (normales Netzwerkgerät) an einen UniFi Switch angeschlossen und behält ihre Telefoniefunktion.

Wer sich grundsätzlich fragt, ob ein Wechsel von der Fritzbox zu UniFi sinnvoll ist, findet in unserem Artikel Fritzbox Alternative: Warum UniFi Cloud Gateways die bessere Wahl sind einen umfassenden Vergleich.

Die Konfiguration von Bridge Mode, Exposed Host, PPPoE und VLAN-Segmentierung ist für erfahrene Netzwerkadministratoren keine Raketenwissenschaft – aber die Kombination aus Fritzbox-Eigenheiten, Provider-spezifischen Einstellungen und UniFi-Konfiguration birgt genug Stolperfallen, um einen ganzen Nachmittag zu kosten. Oder länger.

Die InSys AG als autorisierter UniFi Enterprise Partner übernimmt die komplette Migration: von der Analyse des bestehenden Anschlusses über die Netzwerkplanung und VLAN-Konzeption bis zur Inbetriebnahme und Dokumentation. Auf Wunsch betreiben wir Ihre UniFi-Umgebung anschließend als Managed Service – inklusive Monitoring, Firmwareupdates und Konfigurationsänderungen.