Advies setup Unifi Cloud Gateway Ultra + FritzBox 4060 (KPN)

Aanleiding

Achter onze KPN glasvezel + ONT aansluiting gebruik ik momenteel een FritzBox 4060 + FritzRepeater in mesh mode voor LAN en WLAN. Echter heb ik de wens om in de nabije toekomst een publieke server op te zetten die via het internet is te bereiken, maar helaas ondersteund de Fritzbox geen DMZ. Voor die toepassing heb ik een Unifi Cloud Gateway Ultra (UCG) aangeschaft, maar twijfel over de beste of meest logische setup.

Mijn idee

• De UCG als primaire router met de Fritzbox erachter in IP client modus. De FritzBox moet dan nog wel WLAN opzetten i.c.m. de FritzRepeater, aangezien wij niet over andere AP's beschikken. Feitelijk is de FritzBox dan in gebruik als een veredelde access point en switch.
• Via de UCG een DMZ opzetten met daarbinnen de publieke server voor o.a. CalDAV+CardDAV.
• Daarnaast wil ik uiteindelijk ook nog een IoT netwerk opzetten om alle IoT apparaten gescheiden te houden van de vertrouwde apparaten.
• Ook wil ik uiteindelijk ook een apart netwerk opzetten voor onze NAS.

Router	Netwerk	Modus	Apparaat	Netwerk	Modus
UCG	LAN trusted	DHCP	FritzBox	WLAN (als AP)	Client
UCG	DMZ untrusted	DHCP	CalDAV+CardDAV server		Client
UCG	IoT untrusted	DHCP	All onze IoT apparaten		Client
UCG	Servers trusted	DHCP	NAS		Client

Gaat dit werken?
Of is er een betere of meer logische setup voor wat ik wil bereiken?

Overige ideeën/bedenkingen

Je zal bijvoorbeeld de FritzBox ook als cascaded router kunnen instellen i.p.v. als IP client. Dan behoudt die zijn eigen netwerk en kan alles blijven werken zoals het nu werkt. Daarnaast kan ik dan via de UCG een DMZ opzetten voor de publieke server. Ik vraag mij dan af of IPTV (KPN TV+ Box) via de Fritzbox blijft werken als deze als cascaded router wordt gebruikt? Of zal deze dan direct via de UCG moeten worden aangesloten?
Echter denk ik dat het dan uiteindelijk toch anders opgezet moet gaan worden als ik alle IoT apparaten op een eigen netwerk wil gaan plaatsen.

FredvZ schreef op zondag 30 november 2025 @ 13:56:
Een traditioneel DMZ is allang uit de mode en doorgaans ook helemaal niet zo veilig om alle poorten automatisch te forwarden naar een server. Het is veiliger om alleen de poorten te forwarden naar je server die écht nodig hebt.

nelizmastr schreef op zondag 30 november 2025 @ 21:40:
Zoals gezegd port forward je alleen wat nodig is en niet blind alle poorten zoals in de ouderwetse DMZ modus. Dit kan een Fritz trouwens ook gewoon via de port sharing functie als ik het wel heb.

Frogmen schreef op maandag 1 december 2025 @ 14:06:
Je kan prima portforwarding gebruiken op de FRitzbox er is echt geen reden om over te stappen. En DMZ wordt echt nooit meer gebruikt is gewoon onveilig.

Ik lees in alle drie de antwoorden dat een DMZ nooit meer wordt gebruikt of zelfs wordt afgeraden. In de Fritzbox kunnen inderdaad portforwarding regels ingesteld worden, maar geen VLAN's. Althans niet dat ik kan vinden.
Maar is het niet veiliger als je een aparte VLAN maakt voor servers die van buiten mijn netwerk bereikt moeten worden? Zo kan je immers firewall regels instellen die verkeer naar andere interne netwerken blokkeren en bijvoorbeeld enkel verkeer via bepaalde/nodige poorten toestaat. Dat is dan wellicht geen klassieke DMZ, maar zo kan je wel een volledig afgeschermd netwerk instellen, toch? In mijn hoofd komt dat veiliger over dan enkel wat port forwardings of ontgaat mij iets?

En wat IoT betreft, de enige IoT WiFi apparaten zijn ESPHome modules die geen internet toegang hebben (afgedwongen via Allow Rules in de fritzbox) en enkel via hun API aan home assistent zijn gekoppeld. De overige IoT apparaten zijn allemaal bekabeld aangesloten en kunnen dus gemakkelijk in een VLAN geplaatst worden. Ik heb al een aantal managed switches, dus dat zal geen grote belemmering moeten zijn. Echter zijn het geen unifi apparaten, dus zal het instellen meer werk zijn.

nelizmastr schreef op zondag 30 november 2025 @ 21:40:
Een klassieke KPN ontvanger (dus niet de android boxen van tegenwoordig) moet je direct aansluiten op je UCG als je die aan de ONT hangt en even het Ubiquiti IPTV topic hier op het forum gaan lezen ook als je multicast tv op de nieuwere ontvangers wilt.

Het is wel een Android box. Ik dacht dat die KPN TV+ box heette, maar kennelijk niet .
Direct op de UCG aan dus, dat gaat goedkomen en ik zal mij daarvoor eens gaan inlezen op het IPTV topic hier. Bedankt voor de tip!


ps. De UCG is al aangeschaft en die gaat niet meer terug. Veel te leuk om mee te spelen 😁