Die Welt der Heim- und Kleinbüronetzwerke wird immer komplexer, aber auch leistungsfähiger. Viele von uns schätzen die Zuverlässigkeit, Benutzerfreundlichkeit und die hervorragenden Telefonie-Funktionen ihrer AVM Fritzbox. Gleichzeitig zieht es immer mehr Anwender zur Ubiquiti Unifi-Plattform, die für ihre skalierbaren WLAN-Lösungen, das zentrale Management und erweiterte Netzwerkfunktionen bekannt ist. Was aber, wenn man das Beste aus beiden Welten nutzen möchte? Die gute Nachricht: Es ist möglich, Ihre Fritzbox und Ihr Unifi Netzwerk standortübergreifend miteinander zu verbinden, um nahtlos auf Ressourcen in beiden Netzen zugreifen zu können.
In diesem umfassenden Leitfaden erfahren Sie detailliert, wie Sie eine Site-to-Site VPN-Verbindung zwischen Ihrer Fritzbox und einem Unifi Gateway (wie dem USG oder UDM) einrichten. Wir beleuchten die Vorteile, die notwendigen Voraussetzungen und führen Sie Schritt für Schritt durch die Konfiguration, damit Sie Ihr eigenes „Best of Two Worlds”-Netzwerk aufbauen können.
### Warum Fritzbox und Unifi kombinieren? Das Beste aus zwei Welten im Detail
Bevor wir in die technische Umsetzung eintauchen, lassen Sie uns die überzeugenden Gründe betrachten, warum diese Kombination so reizvoll ist:
1. **Die Stärken der Fritzbox:**
* **Benutzerfreundlichkeit:** Die Fritzbox ist bekannt für ihre einfache Einrichtung und intuitive Benutzeroberfläche.
* **Telekommunikation:** Sie ist oft das Herzstück der heimischen Telefonie (DECT, VoIP) und bietet Anrufbeantworter, Fax und Smart Home-Funktionen aus einer Hand.
* **Modem-Integration:** Viele Modelle sind Modem und Router in einem, was die Einrichtung des Internetzugangs vereinfacht.
* **Verfügbarkeit:** Oft vom Internetanbieter gestellt, was zusätzliche Kosten spart.
* **Zuverlässigkeit:** Ein Ruf als „läuft einfach” Gerät.
2. **Die Stärken von Unifi:**
* **Skalierbares WLAN:** Unifi Access Points (APs) bieten professionelle WLAN-Abdeckung für große Flächen und viele Geräte, mit erweiterten Funktionen wie Gastnetzwerken, VLAN-Tagging und Band Steering.
* **Zentrales Management:** Der Unifi Controller (läuft auf Cloud Key, UDM oder als Software) bietet eine zentrale Oberfläche zur Verwaltung aller Unifi-Geräte – von Routern über Switches bis hin zu Access Points.
* **Erweiterte Netzwerkfunktionen:** Ein Unifi Gateway (wie der USG, UDM, UDM Pro, UDM SE) ermöglicht erweiterte Firewall-Regeln, VLANs, Quality of Service (QoS), Deep Packet Inspection (DPI) und vieles mehr.
* **Leistungsstarke Hardware:** Robust und für den Dauerbetrieb ausgelegt.
* **Professionelles Monitoring:** Detaillierte Statistiken und Überwachung des Netzwerkverkehrs.
Die Synergie liegt auf der Hand: Sie können die Fritzbox als zuverlässigen Internetzugang und für Ihre Telefonie nutzen, während das Unifi System das gesamte lokale Netzwerk und das leistungsstarke WLAN managt. Die Site-to-Site VPN-Verbindung ist dabei der Schlüssel, um beide Netze miteinander zu verschmelzen, sodass Geräte standortübergreifend kommunizieren können, als wären sie im selben Raum.
### Was ist eine Site-to-Site VPN-Verbindung?
Eine Site-to-Site VPN-Verbindung (Virtual Private Network) ist ein sicherer, verschlüsselter Tunnel, der zwei separate lokale Netzwerke (z.B. Ihr Zuhause und ein Büro oder zwei verschiedene Heimnetzwerke) über das öffentliche Internet miteinander verbindet. Im Gegensatz zu einer Client-to-Site VPN, bei der sich ein einzelner Nutzer mit einem Netzwerk verbindet, ermöglicht Site-to-Site VPN allen Geräten in beiden Netzwerken die direkte Kommunikation miteinander. Dies geschieht so transparent, dass es sich anfühlt, als wären beide Netzwerke physisch miteinander verbunden. Für unsere Zwecke werden wir das **IPsec-Protokoll** verwenden, welches von beiden Systemen unterstützt wird.
### Voraussetzungen und Planung: Die Basis für eine erfolgreiche Verbindung
Eine gute Vorbereitung ist die halbe Miete. Bevor Sie mit der Konfiguration beginnen, stellen Sie sicher, dass die folgenden Punkte erfüllt sind:
1. **Internetverbindung an beiden Standorten:** Beide Standorte benötigen eine stabile Internetverbindung. Idealerweise verfügen Sie an beiden Standorten über eine **öffentliche, statische IP-Adresse**. Falls nicht, ist ein **DynDNS-Dienst** (Dynamic DNS) unerlässlich. Sowohl die Fritzbox als auch der Unifi Controller unterstützen DynDNS. Notieren Sie sich die jeweiligen DynDNS-Hostnamen.
2. **Fritzbox mit VPN-Funktionalität:** Die meisten aktuellen Fritzbox-Modelle unterstützen VPN (ab FRITZ!OS 6.50). Stellen Sie sicher, dass Ihre Fritzbox über die neueste **FRITZ!OS**-Version verfügt.
3. **Unifi Gateway:** Für eine Site-to-Site VPN-Verbindung benötigen Sie ein Unifi Gateway. Dies kann ein **Unifi Security Gateway (USG)**, ein **Unifi Dream Machine (UDM)**, ein **UDM Pro** oder ein **UDM SE** sein. Reine Unifi Access Points oder Switches reichen nicht aus, da diese keine VPN-Funktionen bereitstellen.
4. **IP-Adressbereiche:** Dies ist ein **kritischer Punkt**! Beide Netzwerke müssen **unterschiedliche IP-Adressbereiche (Subnetze)** verwenden, um Adresskonflikte zu vermeiden.
* **Beispiel:**
* Standort A (Fritzbox-Netz): `192.168.1.0/24` (Adressen von 192.168.1.1 bis 192.168.1.254)
* Standort B (Unifi-Netz): `192.168.10.0/24` (Adressen von 192.168.10.1 bis 192.168.10.254)
* Sollten Ihre Netzwerke bereits dieselben IP-Bereiche nutzen, müssen Sie einen davon ändern. Dies ist im Unifi Controller unter „Settings” -> „Networks” einfach möglich. Bei der Fritzbox ist dies unter „Heimnetz” -> „Netzwerk” -> „Netzwerkeinstellungen” -> „IP-Adressen” ebenfalls konfigurierbar.
5. **Pre-Shared Key (PSK):** Denken Sie sich einen langen, komplexen Pre-Shared Key (Passwort) aus. Dieser muss auf beiden Geräten identisch sein.
6. **VPN-Parameter:** Legen Sie die **IPsec-Parameter** fest. Dies ist der technisch anspruchsvollste Teil, da die Einstellungen auf beiden Seiten exakt übereinstimmen müssen. Wir werden hier empfohlene Werte angeben.
### Schritt-für-Schritt-Konfiguration
Wir teilen die Konfiguration in zwei Hauptteile: Die Einrichtung der Fritzbox und die Einrichtung des Unifi Gateways.
#### A. Vorbereitung und Informationen sammeln:
Bevor Sie mit der Konfiguration beginnen, notieren Sie sich folgende Daten für beide Standorte:
* **Öffentliche IP-Adresse oder DynDNS-Hostname** des jeweiligen Routers.
* **Lokaler IP-Adressbereich (Subnetz)** jedes Netzwerks (z.B. 192.168.1.0/24 und 192.168.10.0/24).
* Den von Ihnen gewählten **Pre-Shared Key (PSK)**.
**Empfohlene IPSec-Parameter (für Phase 1 und Phase 2):**
* **IKEv1** (Oft höhere Kompatibilität mit Fritzbox, obwohl IKEv2 moderner ist. Wenn IKEv2 nicht funktioniert, versuchen Sie IKEv1.)
* **Verschlüsselung (Encryption):** AES-256
* **Authentifizierung (Authentication):** SHA2-256 (oder SHA-1, falls SHA2-256 nicht funktioniert)
* **Diffie-Hellman-Gruppe (DH Group):** Group 14 (oder Group 2/5, falls 14 nicht funktioniert/verfügbar ist)
#### B. Fritzbox Konfiguration
1. **Anmeldung und Expertenansicht:** Melden Sie sich bei Ihrer Fritzbox-Oberfläche an (meist über `fritz.box`). Aktivieren Sie, falls noch nicht geschehen, die Expertenansicht unter „System” -> „Ansicht”.
2. **VPN-Menü aufrufen:** Gehen Sie zu „Internet” -> „Freigaben” -> „VPN”.
3. **Neue VPN-Verbindung hinzufügen:** Klicken Sie auf „VPN-Verbindung hinzufügen”.
4. **Verbindungstyp wählen:** Wählen Sie die Option „Diese FRITZ!Box mit einem anderen Netz verbinden (LAN-LAN-Kopplung)”. Klicken Sie auf „Weiter”.
5. **Verbindungsdetails eingeben:**
* **VPN-Name:** Geben Sie einen aussagekräftigen Namen ein, z.B. „Unifi-Standort”.
* **IP-Netzwerk des entfernten Standortes (Unifi-Netz):** Tragen Sie hier den **IP-Adressbereich Ihres Unifi-Netzes** ein (z.B. `192.168.10.0`).
* **Subnetzmaske des entfernten Standortes:** Tragen Sie die entsprechende Subnetzmaske ein (z.B. `255.255.255.0`).
* **IP-Adresse des entfernten Standortes (Unifi Gateway):** Tragen Sie hier die **öffentliche IP-Adresse oder den DynDNS-Hostnamen Ihres Unifi Gateways** ein (z.B. `mein-unifi-standort.dyndns.org` oder `88.99.11.22`).
* **Pre-Shared Key (PSK):** Geben Sie den **zuvor gewählten PSK** ein.
* **Wichtiger Hinweis:** Die Option „Alle Daten über die VPN-Verbindung senden” ist **nicht** für Site-to-Site VPNs gedacht, es sei denn, Sie möchten einen Full-Tunnel einrichten, was in diesem Kontext unüblich ist. Lassen Sie diese Option standardmäßig **deaktiviert**.
6. **Erweiterte Einstellungen (falls verfügbar/notwendig):** Manche FRITZ!OS-Versionen bieten erweiterte VPN-Einstellungen, wo Sie die IPSec-Parameter anpassen können. Sollten Sie hier Einstellungen ändern können, passen Sie diese an unsere empfohlenen Werte (AES-256, SHA2-256, DH Group 14, IKEv1) an. Wenn nicht explizit sichtbar, verwendet die Fritzbox oft Standardwerte, die mit Unifi kompatibel sind. Speichern Sie die Einstellungen.
7. **Exportieren und Importieren (optional, aber empfohlen):** Für eine noch präzisere Konfiguration und zur Fehlerbehebung können Sie die Konfiguration der Fritzbox als `.txt`-Datei exportieren. In dieser Datei finden Sie die genauen IPSec-Parameter, die Sie dann im Unifi Controller exakt nachbilden können. Die Datei enthält auch den Pre-Shared Key (Achtung: Vertraulich behandeln!).
#### C. Unifi Controller Konfiguration (für USG/UDM)
1. **Anmeldung im Unifi Controller:** Melden Sie sich bei Ihrem Unifi Controller an (über Webbrowser auf Ihrem Cloud Key, UDM oder Unifi Server).
2. **Einstellungen aufrufen:** Navigieren Sie zu „Settings” (Zahnrad-Symbol unten links).
3. **VPN-Einstellungen finden:** Suchen Sie nach „Teleport & VPN” (bei neueren Controller-Versionen) oder einfach „VPN”.
4. **Site-to-Site VPN hinzufügen:**
* Gehen Sie zum Reiter „Site-to-Site VPN”.
* Klicken Sie auf „Create New VPN Connection”.
* **VPN Connection Name:** Geben Sie einen aussagekräftigen Namen ein, z.B. „Fritzbox-Standort”.
* **Enabled:** Aktivieren Sie die Verbindung.
* **VPN Type:** Wählen Sie „Manual IPsec”.
5. **Allgemeine Einstellungen:**
* **Remote IP / Hostname:** Geben Sie die **öffentliche IP-Adresse oder den DynDNS-Hostnamen Ihrer Fritzbox** ein (z.B. `meine-fritzbox.dyndns.org` oder `1.2.3.4`).
* **Local WAN IP:** Lassen Sie dies auf „Main WAN” oder wählen Sie die WAN-Schnittstelle, die Sie verwenden.
* **Remote Networks:** Geben Sie den **IP-Adressbereich Ihres Fritzbox-Netzes** ein (z.B. `192.168.1.0/24`).
* **Local Networks:** Geben Sie den **IP-Adressbereich Ihres Unifi-Netzes** ein (z.B. `192.168.10.0/24`).
* **Pre-Shared Key:** Geben Sie den **identischen PSK** ein, den Sie in der Fritzbox verwendet haben.
6. **IPsec-Profileinstellungen (Kritisch!):** Dies ist der wichtigste Teil, bei dem die Parameter **exakt** mit denen der Fritzbox übereinstimmen müssen.
* **Key Exchange (IKE) Version:** Wählen Sie **IKEv1**.
* **IPsec Profile:** Hier müssen Sie die Verschlüsselungs- und Authentifizierungsparameter festlegen.
* **Phase 1 (IKE):**
* **Encryption:** Wählen Sie **AES-256**.
* **Hash:** Wählen Sie **SHA2-256** (falls nicht verfügbar, SHA1).
* **DH Group:** Wählen Sie **Group 14** (falls nicht verfügbar, Group 2 oder Group 5 versuchen).
* **Phase 2 (ESP):**
* **Encryption:** Wählen Sie **AES-256**.
* **Hash:** Wählen Sie **SHA2-256** (falls nicht verfügbar, SHA1).
* **DH Group:** Wählen Sie **Group 14** (falls nicht verfügbar, Group 2 oder Group 5 versuchen).
* **PFS:** Aktivieren Sie „Perfect Forward Secrecy” (PFS).
* **Mode:** Wählen Sie „Tunnel”.
* **Dead Peer Detection (DPD):** Aktivieren Sie dies. Setzen Sie das Intervall auf z.B. 30 Sekunden.
7. **Speichern und Anwenden:** Klicken Sie auf „Save” oder „Apply Changes”. Der Unifi Gateway wird die Konfiguration übernehmen und das VPN starten. Dies kann einen Moment dauern.
#### D. Überprüfung und Fehlerbehebung
Nachdem Sie die Konfiguration auf beiden Seiten abgeschlossen haben, ist es Zeit für den Test:
1. **VPN-Status prüfen:**
* **Fritzbox:** Gehen Sie zu „Internet” -> „Freigaben” -> „VPN”. Hier sollte die Verbindung als „verbunden” oder „aktiv” angezeigt werden.
* **Unifi Controller:** Unter „Teleport & VPN” -> „Site-to-Site VPN” sollte der Status der Verbindung „Connected” sein.
2. **Ping-Test:** Versuchen Sie, von einem Gerät im Unifi-Netz ein Gerät im Fritzbox-Netz anzupingen (z.B. `ping 192.168.1.1`). Und umgekehrt.
3. **Zugriff auf Ressourcen:** Versuchen Sie, auf eine Netzwerkfreigabe (NAS, Drucker) in beiden Netzen zuzugreifen.
**Häufige Fehlerquellen und deren Behebung:**
* **IP-Adresskonflikte:** Dies ist die häufigste Ursache. Stellen Sie sicher, dass die Subnetze beider Netzwerke **eindeutig** sind.
* **Falscher Pre-Shared Key (PSK):** Überprüfen Sie den PSK auf Tippfehler. Er muss exakt übereinstimmen.
* **IPSec-Parameter stimmen nicht überein:** Verschlüsselung, Authentifizierung und DH Group (Phase 1 und Phase 2) müssen **auf beiden Geräten identisch sein**. Nutzen Sie die Exportfunktion der Fritzbox, um die genauen Parameter zu ermitteln.
* **DynDNS-Probleme:** Stellen Sie sicher, dass Ihre DynDNS-Dienste aktiv sind und die aktuellen öffentlichen IPs korrekt auflösen. Testen Sie dies mit einem Ping auf den Hostnamen von außen.
* **Firewall-Probleme:** Standardmäßig erlauben beide Router VPN-Verkehr. Stellen Sie sicher, dass keine manuell hinzugefügten Firewall-Regeln den VPN-Verkehr auf UDP-Ports 500 und 4500 blockieren.
* **FRITZ!OS / Unifi Controller Firmware:** Veraltete Firmware kann Kompatibilitätsprobleme verursachen. Aktualisieren Sie beide Systeme auf die neueste Version.
* **Logs prüfen:** Sowohl die Fritzbox („System” -> „Ereignisse”) als auch der Unifi Controller („Insights” -> „VPN” oder „System Logs”) bieten wertvolle Informationen zur Fehlerbehebung.
### Anwendungsfälle und Vorteile der verbundenen Netzwerke
Nachdem die VPN-Verbindung steht, eröffnen sich zahlreiche Möglichkeiten:
* **Zentraler Dateizugriff:** Greifen Sie von überall auf Ihr NAS oder Ihren Server zu, egal in welchem der beiden Netze er sich befindet.
* **Netzwerkdrucker teilen:** Nutzen Sie einen Drucker im Büro von zu Hause aus.
* **Smart Home Integration:** Steuern Sie Smart-Home-Geräte, die an der Fritzbox angeschlossen sind, von Ihrem Unifi-Netzwerk aus oder umgekehrt.
* **Zentrale Backups:** Sichern Sie Daten von einem Standort auf einem Backup-Speicher am anderen Standort.
* **VoIP-Telefonie:** Falls Sie IP-Telefone nutzen, können diese potenziell über die VPN-Verbindung telefonieren.
* **Remote-Wartung:** Fernzugriff und Wartung von Geräten in beiden Netzwerken.
* **Erweiterte Sicherheit:** Die Kommunikation zwischen den Standorten ist durch die VPN-Verschlüsselung geschützt.
### Sicherheitshinweise und Best Practices
* **Starker PSK:** Verwenden Sie immer einen langen, komplexen Pre-Shared Key, der nicht leicht zu erraten ist.
* **Firmware aktuell halten:** Regelmäßige Updates schließen Sicherheitslücken.
* **Überwachen Sie die Verbindung:** Behalten Sie die VPN-Logs im Auge, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
* **Minimalprinzip:** Stellen Sie nur die notwendigen Verbindungen her. Beschränken Sie bei Bedarf den Zugriff durch zusätzliche Firewall-Regeln, falls nicht alle Geräte in beiden Netzen erreichbar sein sollen.
### Fazit: Das Beste aus zwei Welten ist Realität
Die Kombination einer **AVM Fritzbox** mit einem **Ubiquiti Unifi Netzwerk** via **Site-to-Site VPN** ist eine leistungsstarke Lösung, die das Beste aus beiden Welten vereint. Sie profitieren von der unkomplizierten Telefonie und den Smart Home-Funktionen der Fritzbox und gleichzeitig von der professionellen WLAN-Abdeckung, den erweiterten Netzwerkfunktionen und dem zentralen Management des Unifi Systems.
Auch wenn die Einrichtung anfangs etwas komplex erscheinen mag, ist sie mit dieser detaillierten Anleitung für jeden ambitionierten Anwender umsetzbar. Die einmal investierte Zeit zahlt sich in einem nahtlos integrierten und hochfunktionalen Netzwerk aus, das Ihnen völlig neue Möglichkeiten eröffnet. Nehmen Sie die Herausforderung an und schaffen Sie Ihr eigenes, maßgeschneidertes Netzwerk, das keine Wünsche offenlässt!