Glasfaser-Router mit UniFi Cloud Gateway: So schöpfen Sie Ihren FTTH-Anschluss voll aus.

Wer heute einen Glasfaseranschluss von der Telekom, Deutsche Glasfaser, 1&1, Vodafone oder einem regionalen Provider bekommt, erhält in der Regel einen ONT (Optical Network Terminal) und dazu einen Provider-Router – oft eine Fritzbox oder einen Speedport. Diese Geräte stellen die Internetverbindung her, sind aber für professionelle Anforderungen nicht ausgelegt: Kein IDS/IPS, keine echte Netzwerksegmentierung per VLAN, kein zentrales Management, keine Möglichkeit zur Integration von Kameras oder Zutrittskontrolle.

Die UniFi Cloud Gateways von Ubiquiti sind genau dafür gebaut. Das Cloud Gateway Fiber kann den Provider-Router vollständig ersetzen und wird direkt per SFP+ an den ONT oder sogar per GPON-SFP-Modul direkt an die Glasfaser angeschlossen – ganz ohne Fritzbox dazwischen. Für Anschlüsse bis 1 Gbit/s reichen auch das Cloud Gateway Ultra oder Cloud Gateway Max hinter dem ONT per Ethernet-Kabel.

In diesem Artikel zeigen wir, wie die Einrichtung an den drei großen deutschen Glasfaser-Providern funktioniert, welches Cloud Gateway für welchen Anschluss das richtige ist und wann sich der Einsatz eines SFP+-Moduls lohnt. Wer sich grundsätzlich fragt, ob ein Wechsel weg von der Fritzbox sinnvoll ist, findet in unserem Artikel Fritzbox Alternative: Warum UniFi Cloud Gateways die bessere Wahl sind einen umfassenden Vergleich.

Ein Glasfaseranschluss mit 1 Gbit/s oder mehr verdient besseres als einen Consumer-Router. Die Fritzbox 5590 Fiber – das aktuell leistungsfähigste Glasfaser-Modell von AVM – hat intern nur Gigabit-LAN-Ports. Das bedeutet: Selbst wenn der Anschluss 1 Gbit/s liefert, können einzelne kabelgebundene Geräte die volle Bandbreite nicht ausnutzen, sobald Overhead durch Firewall, NAT und Routing entsteht. Ein 2,5-GBit- oder 10-GBit-Backbone ist mit der Fritzbox schlicht nicht möglich.

Darüber hinaus fehlen der Fritzbox alle Features, die ein professionelles Netzwerk ausmachen: echte VLAN-Segmentierung, eine IDS/IPS-Firewall mit Bedrohungserkennung in Echtzeit, Site-to-Site-VPN (Site Magic) zur Vernetzung mehrerer Standorte und die Möglichkeit, Kameras, Zutrittskontrolle und IoT-Sensoren über dieselbe Oberfläche zu verwalten. All das bietet ein UniFi Cloud Gateway – und zwar ohne laufende Lizenzkosten.

UniFi Cloud Gateway Ultra (ca. 129 €) – Für Glasfaseranschlüsse bis 1 Gbit/s, bei denen der ONT per Ethernet-Kabel angeschlossen wird. Der Ultra hat einen 2,5-GBit-WAN-Port und bietet IDS/IPS mit 1 Gbit/s Durchsatz. Ideal für kleine Unternehmen, Praxen und Home Offices, die keine Kameraaufzeichnung benötigen. Die Fritzbox wird nicht mehr als Router gebraucht, kann aber als DECT-Basis im Netzwerk verbleiben.

UniFi Cloud Gateway Max (ca. 199 €) – Wie der Ultra, aber mit 2,5-GBit-Ports an allen Anschlüssen, 2,3 Gbit/s IDS/IPS-Durchsatz und einem NVMe-SSD-Slot für die lokale Aufzeichnung von UniFi Protect Kameras. Die richtige Wahl, wenn neben dem Glasfaseranschluss auch Videoüberwachung geplant ist.

UniFi Cloud Gateway Fiber (ca. 279 €) – Das leistungsstärkste Desktopgateway von Ubiquiti und die ideale Lösung für Glasfaseranschlüsse. Mit zwei 10-GBit-SFP+-Ports, einem 10-GBit-RJ45-Port, vier 2,5-GBit-Ethernet-Ports und einem PoE+-Port. Der IDS/IPS-Durchsatz von 5 Gbit/s mit über 55.000 Bedrohungssignaturen übertrifft die Dream Machine Pro Max – in einem Gerät, das auf den Schreibtisch passt statt ins Rack. Über die SFP+-Ports lässt sich das Fiber direkt per GPON-SFP-Modul an die Glasfaser anschließen – der ONT des Providers wird dann überflüssig. Alternativ wird der ONT per Ethernet oder SFP+ angebunden. Ein NVMe-Slot für Kameraaufzeichnung ist ebenfalls vorhanden.

Für noch größere Umgebungen stehen die Dream Machine Pro Max (Rackmount, 5 Gbit/s IDS/IPS, Dual-HDD, Hochverfügbarkeit) und das Enterprise Fortress Gateway (25 Gbit/s, SSL Deep Packet Inspection, bis 500 Geräte) bereit.

Variante 1: ONT → Ethernet-Kabel → Cloud Gateway (einfach). Der ONT des Providers (z. B. Telekom Glasfaser Modem 2, Nokia ONT bei Deutsche Glasfaser) wandelt das Glasfasersignal in ein Ethernet-Signal um. Von dort geht ein normales Netzwerkkabel in den WAN-Port des Cloud Gateways. Diese Variante funktioniert mit jedem Cloud Gateway (Ultra, Max, Fiber) und erfordert keine SFP+-Module oder Modem-Registrierung.

Variante 2: GPON-SFP-Modul direkt im Cloud Gateway Fiber (ohne ONT). Das Cloud Gateway Fiber hat SFP+-Ports, in die ein GPON-SFP-Modul (z. B. Zyxel PMG3000-D20B oder LuLeey LL-XS2510) eingesteckt werden kann. Das Glasfaserkabel wird dann direkt vom Hausübergabepunkt in das SFP-Modul geführt – ohne separaten ONT. Der Vorteil: Ein Gerät weniger im Netzwerk, weniger Stromverbrauch, weniger Fehlerquellen. Der Nachteil: Das SFP-Modul muss beim Provider als neues Modem registriert werden (Modem-ID/GPON-SN durchgeben), was je nach Provider-Hotline unterschiedlich reibungslos verläuft. Bei der Telekom funktioniert die Registrierung über die Glasfaser-Hotline oder das Kundencenter.

Die Telekom nutzt an ihren FTTH-Anschlüssen PPPoE (Point-to-Point Protocol over Ethernet) für die Einwahl und transportiert den Datenverkehr innerhalb von VLAN 7. Für die Konfiguration auf dem UniFi Cloud Gateway benötigen Sie die PPPoE-Zugangsdaten, die Sie bei Vertragsabschluss per Post erhalten haben.

Schritt-für-Schritt-Einrichtung:

Verbinden Sie den ONT (Glasfaser Modem 2) per Ethernet-Kabel mit dem WAN-Port des Cloud Gateways – oder stecken Sie ein registriertes GPON-SFP-Modul in einen SFP+-Port des Cloud Gateway Fiber. Öffnen Sie den UniFi Controller und navigieren Sie zu Settings → Internet → WAN. Stellen Sie den Verbindungstyp auf PPPoE. Tragen Sie als VLAN-ID den Wert 7 ein. Tragen Sie den Benutzernamen im Telekom-Format ein: Anschlusskennung + Zugangsnummer + #0001@t-online.de (z. B. 001234567890123456789#0001@t-online.de). Tragen Sie das persönliche Kennwort ein, das Sie im Telekom-Kundencenter festgelegt haben. Bestätigen Sie mit Apply Changes.

Wichtiger Hinweis: An vielen Telekom-Anschlüssen ist EasyLogin aktiv. Das bedeutet, dass die Einwahl auch mit falschen oder leeren Zugangsdaten funktioniert – der Anschluss wird anhand der Leitung identifiziert. Verlassen Sie sich darauf aber nicht dauerhaft und tragen Sie immer die korrekten Zugangsdaten ein.

Wenn die Verbindung steht, zeigt der UniFi Controller unter Internet die öffentliche IPv4-Adresse an. IPv6 wird automatisch per DHCPv6 zugewiesen, sofern der Anschluss Dual-Stack unterstützt.

Deutsche Glasfaser nutzt an seinen FTTH-Anschlüssen DHCP statt PPPoE. Das bedeutet: Kein Benutzername, kein Passwort, keine VLAN-ID. Das Cloud Gateway bezieht seine IP-Adresse automatisch vom Provider.

Schritt-für-Schritt-Einrichtung:

Verbinden Sie den Nokia ONT (oder das vom Provider bereitgestellte Modem) per Ethernet-Kabel mit dem WAN-Port des Cloud Gateways. Navigieren Sie im UniFi Controller zu Settings → Internet → WAN. Stellen Sie den Verbindungstyp auf DHCP (das ist die Standardeinstellung). Lassen Sie VLAN-ID, Benutzername und Passwort leer. Bestätigen Sie mit Apply Changes.

Wichtig: Nach einem Modem- oder Router-Wechsel bei Deutsche Glasfaser muss der ONT und das neue Gateway für mindestens 60 Minuten ausgeschaltet bleiben, bevor die neue Hardware eine IP-Adresse zugewiesen bekommt. Das liegt am DHCP-Lease des Providers. Schalten Sie zuerst den ONT wieder ein und warten Sie, bis er ein grünes Dauerlicht zeigt. Schließen Sie dann das Cloud Gateway an.

Deutsche Glasfaser vergibt in der Regel eine IPv6-Adresse per DHCPv6 und eine IPv4-Adresse per CGNAT oder Dual-Stack – je nach Tarif und Region. Aktivieren Sie im UniFi Controller unter Settings → Internet → WAN → IPv6 die Option DHCPv6, um die IPv6-Adresse korrekt zu beziehen.

1&1 nutzt an seinen Glasfaseranschlüssen (sowohl im eigenen Netz als auch im Telekom-Netz) in der Regel PPPoE mit VLAN 7 – vergleichbar mit der Telekom-Konfiguration.

Schritt-für-Schritt-Einrichtung:

Verbinden Sie den ONT per Ethernet-Kabel mit dem WAN-Port des Cloud Gateways. Navigieren Sie im UniFi Controller zu Settings → Internet → WAN. Stellen Sie den Verbindungstyp auf PPPoE. Tragen Sie die VLAN-ID 7 ein. Tragen Sie als Benutzernamen die 1&1-Zugangsnummer ein (Format: 1und1/Zugangsnummer@online.de). Tragen Sie das PPPoE-Passwort ein – bei 1&1 ist das nicht der Startcode, sondern das Passwort, das Sie im 1&1 Control-Center unter „Zugangsdaten" selbst festlegen können.

Achtung bei DS-Lite: Einige 1&1-Glasfaseranschlüsse werden mit DS-Lite bereitgestellt. UniFi Cloud Gateways unterstützen kein deutsches DS-Lite. Falls Ihr Anschluss DS-Lite nutzt, kontaktieren Sie 1&1 und bitten Sie um Umstellung auf Dual-Stack – das ist in der Regel kostenlos möglich. Alternativ muss eine Fritzbox oder ein anderer Router als Bridge vorgeschaltet werden, der DS-Lite beherrscht. Mehr dazu in unserem Artikel Fritzbox Bridge Mode mit UniFi Gateway.

Die meisten Telekom-Glasfaserkunden erhalten das Glasfaser Modem 2 als ONT. Dieses kompakte Gerät wandelt das Glasfasersignal in ein Ethernet-Signal um – mehr tut es nicht. Es ist kein Router, kein Switch und kein WLAN Access Point. Es hat einen Glasfaseranschluss (SC/APC) auf der einen Seite und einen 2,5-GBit-Ethernet-Port auf der anderen. Genau das macht es zum idealen Vorschaltgerät für ein UniFi Cloud Gateway.

So verbinden Sie das Glasfaser Modem 2 mit dem Cloud Gateway:

Schließen Sie das Glasfaserkabel vom Hausübergabepunkt (APL/GF-TA) an den SC/APC-Anschluss des Glasfaser Modem 2 an. Verbinden Sie den Ethernet-Port des Modems per Netzwerkkabel mit dem WAN-Port des Cloud Gateways. Beim Cloud Gateway Ultra und Max ist das der dedizierte WAN-Port. Beim Cloud Gateway Fiber können Sie wahlweise den 10-GBit-RJ45-Port oder einen der 2,5-GBit-Ports verwenden – den 10-GBit-Port zu nutzen bringt keinen Vorteil, da das Glasfaser Modem 2 maximal 2,5 Gbit/s per Ethernet liefert. Konfigurieren Sie im UniFi Controller die WAN-Verbindung mit PPPoE, VLAN-ID 7 und Ihren Telekom-Zugangsdaten – wie im vorherigen Abschnitt beschrieben.

Sobald das Glasfaser Modem 2 ein grünes Dauerlicht zeigt, ist die Glasfaserverbindung zum Provider aktiv. Das Cloud Gateway baut dann darüber die PPPoE-Einwahl auf und erhält die öffentliche IP-Adresse direkt vom Provider.

Häufiges Problem: Das Cloud Gateway zeigt „Offline" oder „WAN nicht verbunden", obwohl das Modem grün leuchtet. Ursache ist fast immer eine fehlende oder falsche VLAN-ID. Prüfen Sie, ob VLAN 7 im UniFi Controller unter Settings → Internet → WAN korrekt eingetragen ist. Ohne VLAN-Tag erreicht das PPPoE-Paket den Telekom-Server nicht.

Zugriff auf die Verwaltungsoberfläche des Glasfaser Modem 2: Das Modem hat eine eigene Weboberfläche unter der IP-Adresse 192.168.100.1. Diese ist aus dem UniFi-Netzwerk heraus nicht direkt erreichbar, da das Modem in einem separaten Subnetz sitzt. Falls Sie auf die Modem-Oberfläche zugreifen müssen (z. B. für Firmware-Updates oder Diagnose), richten Sie im UniFi Controller ein zusätzliches VLAN mit dem Subnetz 192.168.100.0/24 ein, weisen Sie dem Cloud Gateway die IP 192.168.100.2 zu und legen Sie das VLAN auf den WAN-Port. Alternativ können Sie einen Laptop temporär direkt per Kabel an das Modem anschließen und die IP 192.168.100.x manuell vergeben.

Wer das Glasfaser Modem 2 ganz loswerden möchte, kann auf das Cloud Gateway Fiber mit einem GPON-SFP-Modul umsteigen – wie im Abschnitt „Zwei Wege, das Cloud Gateway am Glasfaseranschluss anzuschließen" beschrieben. Das spart ein Gerät, einen Stromanschluss und einen potenziellen Fehlerpunkt. Für die meisten Installationen ist das Glasfaser Modem 2 aber ein unkomplizierter und zuverlässiger Begleiter.

Wenn das Cloud Gateway die Internetverbindung direkt über den ONT aufbaut, wird die Fritzbox als Router überflüssig. Sie kann aber problemlos im Netzwerk verbleiben – als DECT-Basisstation für Schnurlostelefone und als Fax-Gerät. Dazu wird die Fritzbox einfach per Ethernet-Kabel an einen UniFi Switch angeschlossen und im IP-Client-Modus betrieben. Die SIP-Zugangsdaten für die Telefonie werden weiterhin in der Fritzbox konfiguriert – sie telefoniert dann über das UniFi-Netzwerk, ohne Routing- oder Firewall-Funktionen zu übernehmen.

Das WLAN der Fritzbox sollte in diesem Setup deaktiviert werden, da die UniFi Access Points mit WiFi 7 eine deutlich bessere Abdeckung und Verwaltung bieten. So vermeiden Sie Funkstörungen durch zwei konkurrierende WLAN-Netze am gleichen Standort.

Die Konfiguration eines UniFi Cloud Gateways am Glasfaseranschluss ist im Prinzip überschaubar – aber Provider-spezifische Eigenheiten (EasyLogin, DS-Lite, Modem-Registrierung, GPON-SN-Abgleich) und die anschließende VLAN-Konzeption, Firewall-Konfiguration und Access-Point-Planung machen den Unterschied zwischen einem funktionierenden Netzwerk und einem professionellen Netzwerk.

Die InSys AG als autorisierter UniFi Enterprise Partner übernimmt die komplette Einrichtung: von der Auswahl des richtigen Cloud Gateways und SFP-Moduls über die Provider-Konfiguration und VLAN-Planung bis zur Inbetriebnahme von Kameras, Zutrittskontrolle und WiFi 7 Access Points. Bundesweit, vor Ort oder remote. Auf Wunsch betreiben wir Ihre UniFi-Umgebung anschließend als Managed Service.