Wenn Sie mehrere Standorte haben - Buero, Lager, Zuhause, einen Remote-Standort - und alle im selben Netzwerk haben moechten, als waeren sie an einem Ort, macht UniFi das absurd einfach. Im Ernst, das ist eine dieser Aufgaben, die traditionell stundenlange CLI-Konfiguration, manuelle IPsec-Tunnel, Routen-Debugging und jede Menge Frust erforderten. Mit UniFi sind es ein paar Klicks. Die Oberflaeche ist super intuitiv - man muss kein Netzwerk-Ingenieur sein, um einen VPN-Tunnel einzurichten, der tatsaechlich funktioniert.

Bukarest nach Auckland: 17.000 km, ein Klick

Um Ihnen ein konkretes Beispiel zu geben, wie gut das funktioniert: Wir haben eine Site-to-Site-Verbindung zwischen Bukarest, Rumaenien und Auckland, Neuseeland eingerichtet. Ja, Sie haben richtig gelesen - fast 17.000 Kilometer Entfernung, buchstaeblich auf gegenueberliegenden Seiten des Planeten.

Wir haben ein UniFi Gateway in Bukarest und eines in Auckland. Wir haben das Dashboard geoeffnet, den Site-to-Site-Tunnel erstellt, und er funktioniert einwandfrei. Geraete in Auckland sehen das Bukarester Netzwerk, als waeren sie im Nebenzimmer. NAS-Zugriff, Kameras, interne Dienste - alles transparent, genau wie im LAN.

Was uns am meisten beeindruckt hat? Die Stabilitaet. Der Tunnel laeuft rund um die Uhr, stellt sich nach jeder Internetunterbrechung automatisch wieder her, und die Latenz ist konstant (~280 ms, was fuer diese Entfernung hervorragend ist). Null manueller Eingriff seit der Einrichtung. Null Wartung.

Warum Site-to-Site VPN?

Die Idee ist einfach: Sie haben zwei oder mehr physische Netzwerke an verschiedenen Standorten und moechten, dass Geraete an jedem Standort die anderen sehen, als waeren sie im selben LAN. Einige Praxisbeispiele:

• Buero + Lager - Ueberwachungskameras und NAS im Lager direkt vom Hauptbuero aus zugreifen
• Buero + Homeoffice - Remote-Mitarbeiter greifen auf interne Ressourcen zu, ohne einen VPN-Client auf jedem Geraet
• Mehrere Niederlassungen - ein logisches Netzwerk, zentralisierte Verwaltung, einheitliche Richtlinien
• Standorte auf verschiedenen Kontinenten - genau das, was wir mit Bukarest-Auckland gemacht haben: voller Zugriff auf das entfernte Netzwerk, von ueberall auf der Welt

So funktioniert es mit UniFi

Sie brauchen ein UniFi Gateway (UDM, UDM Pro, UDR, UCG Ultra - jedes davon) an jedem Standort. Beide muessen in eine UniFi Site eingebunden sein. Dann:

1. UniFi Network oeffnen auf einem der Gateways
2. Settings → VPN → Site-to-Site VPN
3. Create Site-to-Site VPN - den entfernten Standort auswaehlen
4. Fertig. Buchstaeblich. UniFi handelt den Tunnel automatisch zwischen den beiden Gateways aus.

Sie muessen nicht manuell konfigurieren:

• Pre-Shared Keys oder Zertifikate
• Phase-1- / Phase-2-Parameter
• Statische Routen
• Firewall-Regeln fuer den VPN-Tunnel
• NAT Traversal

UniFi erledigt alles automatisch. Es waehlt das richtige Protokoll (WireGuard oder IPsec, je nach Firmware), handelt die Parameter aus, richtet Routen ein und oeffnet die Firewall. Der Tunnel steht innerhalb von Sekunden. Die Oberflaeche ist so intuitiv, dass jemand ohne Netzwerkerfahrung in unter 2 Minuten einen funktionierenden Tunnel einrichten kann.

Was uns am besten gefallen hat

Super intuitiv

Das ist wahrscheinlich der groesste Vorteil von UniFi gegenueber jeder anderen Loesung. Keine CLI-Syntax zu lernen, keine RFC-Dokumente ueber IKEv2 zu lesen. Sie oeffnen die Weboberflaeche, sehen Ihre Standorte, klicken auf "Create Site-to-Site VPN" und fertig. Die gesamte Komplexitaet ist hinter einer sauberen, logischen Benutzeroberflaeche abstrahiert. Wenn Sie einen Browser bedienen koennen, koennen Sie ein Site-to-Site VPN konfigurieren.

Automatisches Failover

Wenn die primaere Verbindung ausfaellt (z. B. die Glasfaser an Standort A), stellt sich der Tunnel automatisch wieder her, sobald die Konnektivitaet zurueckkehrt. Kein manueller Eingriff noetig. Wir haben das im Produktivbetrieb getestet - ISP-Failover, Router-Neustart, sogar oeffentliche IP-Aenderungen - der Tunnel kommt von selbst zurueck. Bei der Bukarest-Auckland-Verbindung hatten wir einige kurze ISP-Ausfaelle auf beiden Seiten, und jedes Mal kam der Tunnel ohne Eingriff zurueck.

Volle Transparenz

Im UniFi Dashboard sehen Sie sofort den Tunnelstatus: Latenz, Betriebszeit, Datenverkehr. Kein SSH mehr auf den Router und ipsec statusall ausfuehren wie frueher. Alles ist visuell, klar und in Echtzeit.

Mehrere Subnetze

Sie koennen mehrere VLANs durch denselben Tunnel routen. Zum Beispiel: Das Management-VLAN an Standort A kommuniziert mit dem Management-VLAN an Standort B, waehrend das Kamera-VLAN an A mit dem NVR an B spricht. Alles durch denselben Tunnel, keine zusaetzliche Konfiguration.

Funktioniert durch NAT

Selbst wenn ein Standort hinter einem ISP mit CGNAT (private IP) liegt, funktioniert der Tunnel trotzdem. UniFi verwendet einen Relay-Server fuer den initialen Handshake und stellt dann, wenn moeglich, eine direkte Verbindung her. Das ist die Art von Detail, die auf anderen Plattformen stundenlangen Debugging-Aufwand bedeutet.

Praxisbeispiel Nr. 1: Bukarest - Auckland, Neuseeland

Unser spektakulaerstes Setup. Zwei UniFi Gateways, fast 17.000 km voneinander entfernt:

• Bukarest - UniFi Gateway, Dual-WAN (Digi 10G dynamische IP + Orange 2.5G statische IP), mehrere VLANs
• Auckland - UniFi Gateway, Vocus/Two Degrees Glasfaser, statische IP

Konfigurationszeit: unter 2 Minuten. Der Tunnel stand sofort. Latenz: ~280 ms (Physik laesst sich nicht austricksen - Licht durch Glasfaser braucht Zeit, um den halben Globus zu durchqueren). Aber fuer Dateifreigabe, Dienstzugriff, Remote-Management - es funktioniert einwandfrei. Es funktioniert einfach.

Praxisbeispiel Nr. 2: Buero + Remote-Standort in Rumaenien

Ein "klassischeres" Setup - Hauptbuero mit einem UDM Pro und ein entfernter Standort mit einem UCG Ultra:

• Buero - UDM Pro, Dual-WAN (Digi 10G dynamische IP + Orange 2.5G statische IP), 5 VLANs
• Remote - UCG Ultra, 4G LTE (dynamische IP, CGNAT), 2 VLANs

Durchsatz durch den Tunnel: ~50 Mbps (begrenzt durch die 4G-Verbindung, nicht durch das VPN). Latenz: ~25 ms. Monatelang stabil, null Eingriffe.

Wann UniFi nicht ausreicht

Fairerweise gesagt - UniFi Site-to-Site ist nicht fuer jedes Szenario perfekt:

• Unternehmen mit Dutzenden von Standorten - wenn Sie 50+ Standorte haben, brauchen Sie wahrscheinlich dediziertes SD-WAN (Cisco Meraki, Fortinet usw.)
• Erweiterte Routing-Anforderungen - BGP, OSPF, Policy-based Routing - das bietet UniFi nicht
• Strenge Compliance - bestimmte Branchen erfordern spezifische Zertifizierungen der Netzwerkausruestung

Aber fuer 2-10 Standorte, in einer KMU- oder sogar mittelstaendischen Umgebung? UniFi ist in puncto Einfachheit, Funktionalitaet und Preis kaum zu schlagen.

Fazit

UniFi hat Enterprise-Netzwerke demokratisiert. Was frueher einen dedizierten Netzwerk-Ingenieur und tausende Euro an Ausruestung erforderte, braucht jetzt ein paar Klicks und ein Gateway fuer 100-200 Euro pro Standort. Wir haben es mit einer Bukarest-Auckland-Verbindung bewiesen - wenn es bei 17.000 km einwandfrei funktioniert, funktioniert es definitiv auch bei Ihnen.

Site-to-Site VPN auf UniFi ist das perfekte Beispiel fuer komplexe Technologie, die zugaenglich gemacht wurde. Intuitiv, stabil, und es funktioniert einfach.

Wenn Sie Hilfe bei einem Multi-Site-Setup benoetigen oder eine Bewertung Ihrer Netzwerkinfrastruktur wuenschen, nehmen Sie Kontakt auf.