Starlink & Co. an UniFi Gateway betreiben – Jeder Router auch ohne Bridge-Modus

Es gibt Setups, die in der Theorie trivial klingen und in der Praxis erstaunlich viel Rumprobieren kosten.
Ein externer Router – bspw. Starlink oder ein Mobilfunkrouter wie die Fritz!Box 6860 5G – steht physisch irgendwo im Gebäude, kann keinen Bridge-Modus und soll trotzdem „richtig“ an einem UniFi Gateway als WAN betrieben werden. Idealerweise ohne zweiten DHCP, ohne doppeltes NAT und ohne ein zusätzliches Kabel quer durchs Haus.

Genau darum geht es hier.

Ich zeige, wie man einen beliebigen Router über ein VLAN durch die bestehende Switch-Infrastruktur bis zum WAN-Port eines UniFi Gateways durchreicht – so, als würde er direkt dort stecken.

Darum werden wir heute:

• Ein VLAN erstellen, um den Traffic des Routers in unserem Netz zu isolieren, so dass DHCP und doppeltes NAT kein Problem sind.
• Die Verkabelung so anpassen, dass der Router im WAN Port unseres UniFi Gateways erkannt wird.
• Auch noch zeigen, wie man den Router an einem LAN Port des Gateways betreibt, sollten die WAN Ports anders belegt sein.

Wir machen das Ganze am Beispiel eines Starlink Routers.

Los geht’s.

VLAN erstellen und für Router zuweisen

Ein VLAN, also virtuelles LAN, ist ein logisch getrenntes Netzwerk innerhalb einer gemeinsamen physischen Netzwerkinfrastruktur. Geräte, oder Switch Ports, werden explizit dem VLAN zugewiesen, so dass sie trotz gemeinsamer Verkabelung nur innerhalb ihres VLANs sichtbar sind.

Um für unseren Router ein VLAN zu erstellen, gehen wir auf UniFi Network -> Settings -> Networks -> New Virtual Network.

Hier wählen wir:

• Name: Starlink 80 (frei wählbar, die 80 habe ich hier auch als VLAN ID)
• Router: Third-party Gateway
• VLAN ID: 80 (frei wählbar)
• IGMP Snooping und DHCP Guarding lassen wir deaktiviert.

Jetzt sorgen wir dafür, dass der Router dort wo er angeschlossen werden soll in dieses VLAN 80 kommt. Geht dazu auf UniFi Network -> UniFi Devices -> Wählt euren Switch -> Port Manager -> Klickt den Port an, in dem der Router stecken soll.

Für den Port, wählt:

• Native VLAN: Starlink 80
• Tagged VLAN Management: Block All

Zum Verständnis: Normaler Traffic, der an einem normalen Switch-Port in einem UniFi Netz ankommt wird intern dem Default VLAN (VLAN 1) zugeordnet.

Die Konfiguration mit VLAN 80 und Block All, die wir für den Port verwenden, an dem der Router angeschlossen ist, sorgt dafür, dass ausschließlich Traffic aus VLAN 80 über diesen Port ausgegeben wird. Der normale Traffic unseres Netzes (VLAN 1) erreicht diesen Port gar nicht erst.

Dadurch wird der Router-Traffic logisch vollständig von unserem eigentlichen Netz getrennt.

Traffic an WAN Port weiterreichen

Zu diesem Zeitpunkt steckt unser Router-Traffic vollständig in VLAN 80. Diesen Traffic müssen wir nun an einen nativen WAN-Port unseres UniFi Gateways weiterreichen, damit das Gateway hier eine reguläre ISP-WAN-Verbindung erkennen kann.

Dazu verbinden wir einen beliebigen Port unseres Gateways per Patchkabel mit einem nativen WAN-Port. In meinem Fall bei einer UniFi Dream Machine SE ist das ein Kabel von Port 1 auf den 2,5-GbE-WAN-Port 9.

Jetzt konfigurieren wir den ausgehenden Port 1 so, dass er den Traffic aus VLAN 80 korrekt durchleitet. Das erfolgt unter:

UniFi Network -> UniFi Devices -> Wählt euren Gateway -> Port Manager -> Port 1.

Für den Port wählt:

• Native VLAN: Starlink 80
• Tagged VLAN Management: Allow All

Allow All bedeutet hier, dass VLAN 80 als sog. getaggter Traffic über diesen Port transportiert werden darf. Der VLAN-Transport endet erst am nativen WAN-Port des Gateways, der ausschließlich ungetaggten Traffic erwartet und diesen dann als WAN-Uplink interpretiert.

Unterm Strich wirkt es für das Gateway so, als würde der Router direkt im WAN-Port stecken – obwohl der Traffic tatsächlich über unser internes Netzwerk transportiert wurde.

Hintergrund

Der Traffic vom Router wird im VLAN 80 durch unser Netzwerk transportiert. Der native WAN-Port terminiert diesen VLAN-80-Traffic implizit, da er außerhalb des sog. Switch-Fabrics – der internen Switching-Hardware, die Ports verbindet und VLANs verarbeitet – liegt und ausschließlich ungetaggten Ethernet-Traffic als WAN-Uplink interpretiert.

Der Port, an dem der Starlink-Router angeschlossen ist, liegt ebenfalls außerhalb unseres internen Netzes: Er ist nur Mitglied von VLAN 80. Anderer interner Traffic erreicht diesen Port gar nicht erst, da er zu anderen VLANs gehört und deshalb keinen Pfad bis zu diesem Port hat.

VLAN 80 wird auf dem Weg nach draußen am Switch-Port des Starlink-Routers explizit terminiert und auf dem Weg nach innen am nativen WAN-Port des Gateways implizit – dazwischen wird es ausschließlich transportiert.

Stolperfalle: LAN → WAN ist nicht gleich WAN

Ich brauchte die nativen WAN-Ports meines UniFi Gateways für andere Uplinks. Naheliegend war daher, einen freien LAN-Port einfach als zusätzlichen WAN-Port umzuwidmen – was sich in der UniFi-Network-Konfiguration auch problemlos einstellen lässt. In diesem Setup funktioniert das jedoch nur mit Anpassungen.

Ein umgewidmeter LAN-Port ist zwar logisch vom LAN getrennt, hängt aber weiterhin am Switch-Fabric und kann daher keinen VLAN-Kontext auflösen. Ein nativer WAN-Port ist hingegen eine eigenständige Netzwerkschnittstelle außerhalb der Switching-Logik.

Die Lösung: Soll ein über VLAN transportierter Internet-Uplink an einem von LAN auf WAN umgewidmeten Port des Gateways ankommen, muss der VLAN-Tag bereits außerhalb des Gateways entfernt werden (in einem anderen Switch Fabric). Das bedeutet, das Kabel für diesen LAN→WAN-Port muss aus einem vorgeschalteten Switch kommen. Bei mir ist das ein anderer UniFi Switch im Netzwerkschrank. Der entsprechende Switch-Port wird dabei analog zu Port 1 im Gateway konfiguriert (siehe oben). Das terminiert das VLAN und gibt ungetaggten Traffic aus. So funktioniert es auch mit einem von LAN auf WAN umgewidmeten Port.

Fazit

Wir haben eingerichtet, dass ein beliebiger Router, auch einer, der keinen Bridge Modus unterstützt, an beliebiger Stelle in unser UniFi Netzwerk gehängt und als WAN Gerät erkannt werden kann. Das erlaubt uns gerade bei funkbetriebenen Routern den optimalen Standort zu wählen, ohne, dass wir von dort dann aufwändig neue Kabel bis zu unserem Gateway ziehen müssen.

Hier noch abschließend ein paar Affiliate Links auf verwendete Produkte. Klickt gern, jeder klick, auch wenn ihr was anderes kauft, hilft diesem Blog. Danke 🙂

• Gateways:
  • UniFi UDM SE als sehr potenter UniFi Gateway (den benutze ich)
  • UniFi Cloud Gateway Max als ähnlich guter Gateway für kleinere Netze
• Switches die VLAN (alle UniFi Switches unterstützen VLAN so wie es hier benötigt wird)
  • Der günstigste: UniFi Flex Mini
  • Outdoor Variante: UniFi Flex (den verwende ich)
  • Für den Netzwerkschrank:
    • 24 Port PoE: USW-PRO-24-POE Gigabit (ich nutze die 48 Port Variante)
    • 10 Port 10G Monster: USW-Pro-XG-10-PoE