Sign in Subscribe
By Axel - The Pandolin in Cloud

Digitale Souveränität im Keller – Abenteuer im heimatlichen Rechenzentrum (1)

Digitale Souveränität im Keller – Abenteuer im heimatlichen Rechenzentrum (1)

(mit Augenzwinkern, versteht sich: vom DSL-Drama bis zum Föderations-Kosmos)

Teil 1 – DSL, Hybrid-Router und NAT: Mein persönlicher Drahtseilakt

  • Einleitung: Warum digitale Souveränität nicht im Bundestag beginnt, sondern im Keller.
  • DSL-„Breitband“ in Deutschland: das Leiden zwischen Kupfer, 5G/LTE und Marketingversprechen.
  • Hybrid-Router der Telekom: Fluch und Segen – und das Double-NAT-Desaster.
  • NAT-Ketten, Portfreigaben und das Gefühl, in einer russischen Matrjoschka zu leben.
  • Lösung: DrayTek-Modem + Ubiquiti Dream Wall – endlich wieder Herr im eigenen Netz.
  • Fazit: Erste Lehre der digitalen Souveränität: Kontrolle über den Gateway zurückerobern.

Zu Allererst ein großes Dankeschön an Jörg und Daniel für den Austausch, die Inspiration und das Sparren. Mit Gleichgesinnten macht es einfach mehr Freude.

DSL, Hybrid-Router und das NAT-Labyrinth

Digitale Souveränität beginnt nicht im Kanzleramt – sondern im Keller.
Wer glaubt, Microsoft und Google seien die größten Hindernisse für Unabhängigkeit, hat noch keinen Telekom-Hybrid-Router konfiguriert. Willkommen in der Breitbandnation 2025.

Von Großspurigkeit zur kleinen Leitung

„Digitale Souveränität“ klingt nach Brüssel, Bundestag und Milliardenförderung.
In Wahrheit beginnt sie viel kleiner: bei der Frage, ob ich meinen eigenen Server von außen erreichen kann – oder ob mein Provider das verhindert.

Deutschland rühmt sich gern als „Breitbandnation“. Auf dem Papier ist das auch richtig:
„bis zu 250 Mbit/s“ DSL, „Highspeed LTE“ und jetzt sogar „5G für alle“.
Was davon tatsächlich im Keller ankommt, ist eine andere Geschichte. Und ja, so wie es aussieht könnte ich 2026 sogar Galsfaser bekommen. Vielleicht. Also reiten wir das Pferdchen, das wir haben.

Das Problem: DSL + Hybrid-Router = Matrjoschka

Ausgangslage

  • Telekom-Router Speedport 4 Hybrid
  • DSL-Geschwindigkeit: 58 Mbit/s Down, 35 Mbit/s Up
  • Latenz: 5–16 ms (solide)
  • Dynamische IP-Adresse: wechselt regelmäßig (was schlecht ist)
  • 5G-Ergänzung: 118 Mbit/s Down, 44 Mbit/s Up – aber höhere Latenz (19–24 ms)

Damit ließe sich eigentlich arbeiten – wären da nicht die Router.

NAT und Double NAT erklärt – oder warum ich nicht rauskomme

NAT (Network Address Translation) ist praktisch, Double NAT ist jedoch für Homeserver-Betreiber die Hölle.

Der Unterschied klingt banal, ist aber entscheidend:
NAT übersetzt die privaten IP-Adressen meines Heimnetzes in eine einzige öffentliche IP-Adresse. Das ist Standard, funktioniert meist problemlos und bringt sogar ein bisschen Sicherheit, weil meine Geräte von außen nicht direkt erreichbar sind.

Double NAT dagegen bedeutet: zwei Router hintereinander, beide machen NAT. Erst der Provider-Router, dann mein Eigener. Jedes Paket wird zweimal übersetzt – eine Matrjoschka aus Netzwerkschichten. Klingt technisch, fühlt sich aber praktisch an wie Handschellen:

  • Portfreigaben? Kaum möglich.
  • Fernzugriff oder VPN? Quälerei.
  • Andere selbst gehostete Dienste? Viel Glück!

Zusammengefasst: NAT ist Alltag, Double NAT ist digitale Selbstgeißelung.
Genau in dieser Hölle landet man mit einem Telekom-Hybrid-Router – und deswegen musste ich mir etwas Besseres einfallen lassen.

Bridge-Mode? Nicht bei der Telekom

Ein echter Bridge-Mode reicht die Leitung einfach durch:
keine Firewall, kein NAT, kein DHCP – nur eine saubere IP für den eigenen Router.
Genau das, was man für professionelle Setups braucht.

Blöd nur: Die meisten aktuellen Telekom-Router kennen keinen Bridge-Mode. Warum bitte nicht? Öffnet doch einfach die Firmware ein bisschen...
Stattdessen bekommt man ein „Alles-in-einem“-Gerät, das mehr blockiert als ermöglicht. Willkommen in der Matrjoschka. By the way - die hochgerühmte Fritzbox macht das leider auch nicht (mehr).

Meine Lösung: DrayTek + Dream Wall als Freiheitskampf

Hardware-Komponenten

1. DrayTek Vigor 167 (DSL-Bridge)

  • Reines Modem, keine Router-Funktionen
  • Reicht die öffentliche IP direkt an mein System durch
  • Perfekte Plug&Play-Lösung
So unscheinbar - so leistungsfähig - der DrayTek Vigor 167.

2. Speedport Pro 4 (nur für 5G)

  • Wird als zweites WAN genutzt
  • Liefert Zusatz-Bandbreite und Redundanz, auch wenn Double-NAT bleibt
Doppelt so groß wie der DrayTek Vigor - aber absolut unflexibel.

3. Ubiquiti Dream Wall (Herzstück)

  • 2× WAN-Ports für DSL und 5G
  • Load-Balancing zwischen beiden Leitungen
  • 17× Gigabit LAN + 1× 10 Gbit LAN
  • PoE für Geräte wie Raspberry Pi
  • Enterprise-Features: Firewall, VLANs, VPN, Werbeblocker, IPS, WLAN

Links die Dream Wall mit DrayTek Vifor und oben dem Raspberry PI. Das geht noch ordentlicher. Rechts die Dream Wall ohne Frontblende, man sieht das Stromversorgungskabel sowie die beiden Zuleitungen WAN 1 (DrayTek/DSL) und WAN 2 (Speedport/5G)

Die GUI von Ubiquiti ist ziemlich mächtig...

Netzwerk-Topologie

Internet-Topologie.html

Damit ist der Hybrid-Router Geschichte – und ich bestimme wieder selbst, wie mein Netz funktioniert.

Wie konfiguriere ich das nun genau?

Der DrayTek-Router

Eine Perfekte Plug&Play-Lösung - man muss dieses Modem nicht konfigurieren. Obwohl der DrayTek einen Routerbetrieb beherrscht, wird er ab Werk im reinen Bridge-Modus - also als "dummes" Moden ausgeliefert. Genau das was ich will! Stromanschluss, DSL-Anschluss sowie eine der beiden LAN-Anschlüsse (egal welcher) an den WAN 1-Port der Dream Wall stecken. Mehr nicht. IP-Adressen oder ähnlich müssen hier nicht vergeben werden. Der Zugang zu DSL wird in der Konsole der Dream Wall konfiguriert - in meinem Fall brauche ich bei der Telekom nicht einmal Zugangsdaten. Wichtig ist nur das Einstellen auf den richtigen Port (welcher Port ist bei Deiner Dream Wall WAN 1?) sowie der Wechsel auf PPPoE unten, bei mir war dieser Default auf Static IP eingestellt.

Mit dieser Lösung habe ich die volle Kontrolle und den vollen Zugang auf die öffentliche IP-Adresse die die Telekom mir zuweist.

Dies sind die Settings für den Betrieb des DrayTek an WAN 1 als reines PPPoE-Modems.

Der Speedport/5G

Der Speedport 4 Hybrid 5G. Mit diesem Gerät verbindet mich sowas wie eine Hassliebe. Er sorgt dafür, dass meine Internet-Geschwindigkeit 3 mal so hoch ist wie vorher. Aber ... er ist so unflexibel.

Also gut. Das Gerät wird nach der Anleitung der Telekom konfiguriert. Einmal da das DSL-Netz, das 5G-Modul anschließen und den LAN-Anschluss mit dem WAN 2-Anschluss der Dream Wall verbinden. Meinen Speedport erreiche ich ohne weitere Konfiguration unter 192.168.2.1. Abgesehen von der Konsole des Speedports ist dieser IP-Bereich aber nicht mehr relevant. Jetzt kann man das DSL-Kabel des Speedports trennen.

Wichtig ist der gelb markierte Bereich, wir sehen, dass DSL nicht aktiv ist, eine Internetverbindung über 5G jedoch schon. Mit Double NAT. Also das was wir nur im Notfall wollen. Weitere Einstellungen sind im Speedport nicht nötig. Es ist jedoch sinnvoll, das WLAN vom Speedport zu deaktivieren, das kann die Dream Wall wesentlich besser.

So sollte es in der Konsole des Speedports aussehen. Kein DSL, dafür eine stabile Verbindung über 5G.
Dies sind die Settings für den Betrieb des Speedports an WAN 2. Abgesehen vom Mappen des richtigen Ports als WAN 2 ist hier nichts zu tun.

Die Ubiquiti Dream Wall. Der Bentley unter den Routern.

Die Dream Wall ist ein tolles Gerät. Sie kann klassisches Routing mit mehreren Internetquellen, Firewall, Intrusion Detection, Ad-Blocking, WLAN und so vieles mehr. Wir schließen also an den WAN 1 den DrayTek-Router an, an den WAN 2 den Speedport. Meine Dream Wall ist unter 192.168.1.2 erreichbar (meist ist das die 192.168.1.1, das hat bei mir nur historische Gründe). Damit verteilt sie auch IP-Adressen im Bereich 192.168.1.3 bist 192.168.1.255.

Sofern hier alles richtig eingestellt ist haben wir jetzt bereits 2 aktive Internet-Verbindungen mit unterschiedlichen Geschwindigkeiten und Latenzen.

Auf den Bilder sieht man sehr schon den Unterschied. Links der DrayTek mit DSL an WAN 1. Kein Double NAT, direkt die öffentliche IP-Adresse der Telekom. Die Geschwindigkeit ist ok, könnte aber besser sein. Die Latenz bei den 3 Testservern liegt zwischen 9 und 17 ms, also sehr gut. Rechts der Speedport an WAN 2. Ein Double NAT - wir sehen an WAN 2 nur die Adresse die uns der Speedport zuweist, nicht die der Telekom. Die Geschwindigkeit ist sehr gut, die Latenzen sind aber alle zwischen 18 und 25 ms.

Links der WAN 1 mit dem DrayTek, rechts WAN 2 mit dem Speedport

Jonglieren wir jetzt mit den beiden Internet-Zugängen. Wir wollen ein Load-Balancing erreichen. Es ließe sich auch ein reines Notfall-Failover darstellen, damit wäre aber die zusätzliche Bandbreite im Normbetrieb verschwendet.

Die Verteilung von 25% DSL und 75% habe ich auf Basis der bei mir oben ermittelten Geschwindigkeiten eingestellt, hier kann man durchaus eigene Werte einstellen.

Domain-Management mit Cloudflare statt DynDNS

Wer eine dynamische IP hat, kennt das Problem:
Man braucht DynDNS, um von außen auf den Server zuzugreifen.
Die Telekom bietet das nicht, andere Dienste kosten Geld.

Meine Lösung: Cloudflare. Kostenlos, flexibel, mit API. Cloudflare bietet eine der schnellsten DNS-Propagation, die API ist im Domainpreis enthalten.

Ich habe mich hier an dem sehr guten Video von NetworkChuck auf Youtube orientiert.

Automatisches DNS-Update via Raspberry Pi

  • Domain: homebase.meinedomain.de
  • Raspberry Pi per PoE direkt an der Dream Wall
  • Python-Skript prüft regelmäßig die IP (alle 5 Minuten)
  • Bei Änderung: Update des DNS-A-Records über die Cloudflare-API

Ergebnis: professionell, kostenlos, unabhängig von Drittanbietern.

In unserem Fall mit 2 WAN-Ports müssen wir nur sicherstellen, dass hier dir richtige IP-Adresse (die DSL-Adresse) auf die Domain gemapped wird. Dies ist ein einfaches Routing-Setting in der Dream Wall. Faktisch sagen wir dem Raspberry Pi, dass er nach draußen nur über WAN 1 (an der die DSL-IP-Adresse liegt) kommunizieren soll.

Routing für den Raspberry Pi.

Ergebnisse: Von der Bastelbude zum Enterprise-Setup

  • Performance: Kombinierte Bandbreite von DSL + 5G = ~176+ Mbit/s Down.
  • Redundanz: Fällt DSL aus, springt 5G ein.
  • Latenz: Kritische Dienste laufen stabil über DSL.
  • Externe Erreichbarkeit: Eigene Services sind weltweit unter meiner Domain trotz wechselnder IP-Adresse der Telekom erreichbar.
  • Sicherheit: Enterprise-Firewall, IPS, VLANs.
  • Kostenersparnis: Kein DynDNS-Abo, langfristig stabiles Setup.

Fazit: Digitale Souveränität fängt beim Gateway an

Die erste Lehre aus meinem „heimatlichen Rechenzentrum“ ist simpel:
Nur wer das Gateway kontrolliert, kontrolliert auch sein Netz.

Was als Kampf gegen DSL-Zahlen und Router-Limitierungen begann, wurde zur Grundlage eines Setups, das mehr kann als so mancher Firmenanschluss - viel Potential für de Zukunft.

Im nächsten Teil geht es um das Fundament: Proxmox, ZFS und OpenMediaVault.
Denn digitale Souveränität hört nicht am Router auf –
da geht sie erst richtig los!

Was mein ihr zu diesem Format? Soll mehr Technik rein? Mehr High Level? Sonstige Fragen und Anregungen? Kommentiert gerne!

Subscribe to pandolin.io

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe