Netzwerk Einsteiger

UniFi-Heimnetz einrichten: Gateway, Switch & Access Points

Vom Karton zum sicheren WLAN: Cloud Gateway adoptieren, Switch und U7-APs einbinden, Gäste-Netz und Admin-Härtung Schritt für Schritt.

Auf eigene Gefahr: Änderungen an Admin-Konto, Remote-Zugang, VLANs und Firewall erfolgen auf eigene Gefahr und können dich aus deinem Netz oder der Verwaltung aussperren. Erstelle zuerst ein Konfig-Backup (Settings → System → Backups), notiere das Admin-Passwort und behalte physischen Zugang zum Gateway — im Notfall hilft nur ein Factory-Reset, der die komplette Konfiguration löscht.

Topologie: So hängt alles zusammen

Ein UniFi-Heimnetz besteht aus drei Bausteinen. Das Cloud Gateway (z. B. Cloud Gateway Ultra/UCG) ist Router, Firewall und Network-Controller in einem — es ersetzt deinen alten Router hinter dem Modem. Daran hängt ein managed Switch (z. B. USW Flex Mini) für mehr LAN-Ports und PoE-fähige Geräte. Die Access Points (U6/U7) liefern das WLAN. Der Controller läuft direkt auf dem Gateway, du brauchst also keinen separaten Cloud Key oder Server.

Internet ── Modem ── Cloud Gateway ── Switch ──┬── U7 Pro AP
                     (Router+Controller)        ├── U6 AP
                                                 └── PC / NAS

Lass dein Provider-Gerät im Bridge-/Modem-Modus laufen. Sonst hast du Doppel-NAT (zwei Router hintereinander), was Portfreigaben und VPN unnötig kompliziert macht. Bei FRITZ!Box-Anschlüssen ohne echten Bridge-Modus kannst du alternativ „Exposed Host" auf das Gateway setzen.

Gateway anschließen und einrichten

Verkabele zuerst alles: Modem an den WAN-Port des Gateways, deinen PC oder den Switch an einen LAN-Port. Schalte ein und warte, bis die LED ruhig leuchtet. Die Ersteinrichtung läuft über die UniFi Network App (iOS/Android) oder im Browser:

# Im Browser direkt zur Gateway-IP (Standard-Subnetz 192.168.1.0/24)
https://192.168.1.1

Folge dem Assistenten: UniFi-Konto verknüpfen (oder lokal ohne Cloud), Zeitzone setzen, Gerätenamen vergeben. Lege beim ersten WLAN gleich einen ordentlichen Netznamen und ein starkes Passwort fest — das verfeinerst du gleich.

Switch und Access Points adoptieren

Neue UniFi-Geräte am selben Netz tauchen automatisch unter UniFi Devices auf und stehen auf Pending Adoption. „Adopten" heißt: das Gateway übernimmt das Gerät in deine Verwaltung.

Öffne in der App den Reiter Devices.
Tippe das neue Gerät (Switch, dann jeder AP) an und wähle Adopt.
Warte, bis der Status von Adopting über Provisioning auf Connected wechselt.

PoE-APs wie der U7 Pro brauchen keinen separaten Strom, wenn der Switch PoE liefert (der Flex Mini tut das nicht — dann nutzt du den mitgelieferten PoE-Injektor oder ein PoE-Switch-Modell). Taucht ein Gerät nicht auf, prüfe, ob es im selben Subnetz steckt und das Kabel sitzt.

Firmware aktualisieren — vor allem anderen

Veraltete Firmware ist das häufigste Einfallstor. Aktualisiere direkt nach der Adoption alles, das Gateway zuerst.

# In der App: Settings → System → Updates
# oder pro Gerät: Devices → [Gerät] → Update available → Update
# Auto-Updates für Geräte aktivieren (Settings → System)

Aktualisiere in der Reihenfolge Gateway → Switch → APs und immer nur ein Gerät gleichzeitig. So bleibt das Netz erreichbar, falls ein Reboot länger dauert.

WLAN (SSID) einrichten

Unter Settings → WiFi legst du deine SSIDs an. Für ein Heimnetz reicht eine SSID, die UniFi automatisch auf 2,4 + 5 (+ 6) GHz ausspielt — die APs steuern das Band-Steering selbst.

Einstellung	Empfehlung
Security	WPA3, Fallback WPA2/WPA3 mixed für ältere Geräte
Passwort	mindestens 12 Zeichen, zufällig
SSID-Name	neutral, kein Klarname/Adresse
PMF (Protected Mgmt Frames)	Required (bei WPA3) bzw. Optional im Mixed-Modus

WiFi 6E/7 (6-GHz-Band) verlangt zwingend WPA3. Lass es aktiv — ältere Geräte fallen automatisch auf die 2,4/5-GHz-Bänder zurück.

Gäste-Netz mit Isolation

Trenne Besucher und smarte Geräte vom Hauptnetz. UniFi bietet dafür ein eigenes Guest Network mit aktiver Client-Isolation.

# Settings → WiFi → Create New
#   Network type: Guest
#   eigenes VLAN zuweisen (z. B. VLAN 20)
#   Client Device Isolation: ON  (Gäste sehen einander/das LAN nicht)

Über den Guest-Typ blockt das Gateway automatisch den Zugriff auf dein internes Netz. Lege den Gästen idealerweise ein eigenes VLAN an (Settings → Networks → Create New Network), das gilt dann als saubere Basis, um später auch IoT-Geräte abzuschotten.

Admin-Zugang absichern

Zum Schluss die Härtung — der wichtigste Teil. Standardwerte sind öffentlich bekannt.

Lokales Admin-Konto: unter Settings → Admins ein eigenes lokales Konto mit starkem Passwort anlegen; das vorbelegte ubnt/ubnt bzw. den Default-Login entfernen.
2FA am UniFi-Konto: in deinem account.ui.com Multi-Faktor (TOTP/Passkey) aktivieren — dieses Konto kann aus der Ferne auf dein Netz.
Remote Access: unter Settings → System → Advanced abschalten, wenn du nicht von unterwegs zugreifst. Brauchst du Fernzugriff, nutze WireGuard-VPN (im Gateway integriert) statt offener Verwaltung.
Keine Portfreigaben „ins Blaue": öffne niemals den Verwaltungs- oder einen offenen Port nach 0.0.0.0/0. Zugriff von außen immer über VPN.

Notiere dir vor jeder größeren Änderung das aktuelle Admin-Passwort und behalte physischen Zugang zum Gateway. Sperrst du dich aus, hilft nur ein Factory-Reset (Reset-Knopf 10 s halten) — und der löscht deine komplette Konfiguration. Erstelle vorher ein Backup unter Settings → System → Backups.