CGW-Ultra Site2Site/Lan2Lan zur Fritz!Box

Es gibt 9 Antworten in diesem Thema, welches 507 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo Community,


    komme frisch von der AVM Fraktion, und bin bisher mega zufrieden mit meinem Setup von Ubiquiti. Vorallem ist das WLAN merklich besser geworden.

    Jedoch bekomme ich eine Sache nicht auf die Kette, hab schon div. beiträge gelesen aber so wirklich schlau werde ich nicht.


    Daher hoffe ich das sich jemand Zeit nimmt und mich mal durch die Wireguard Funktion von Unifi führt.

    Wie im Titel zu sehen möchte ich eine VPN Verbindung zwischen dem Gateway-Ultra und einer entfernten FritzBox herstellen.

    Jedoch belkomme ich nichtmal ansatzweise die Verbindung hin :grinning_squinting_face:


    Was ich habe:


    Zuhause:

    Domain über Cloudflare DDNS zu meiner öffentlichen IP (meinedomain.me)

    CGW-Ultra

    IP: 192.168.188.1

    WG Adressbereich: 192.168.4.0


    In meiner Halle:

    FB7590

    DynDns über AVM/myFritz (xyz123.myfritz.net)

    IP: 192.168.175.1


    Ich weiß echt nicht mehr wo ich anfangen oder aufhören soll, der Tunnel will einfach nicht.

    Wie erwähnt wäre ich sehr dankbar wenn jemand mich da Step-by-Step durchführen könnte :smiling_face:

    Hallo Chriz und willkommen in der Community!


    Du ahst unterschiedliche Adressbereiche in Deinen Netzwerken, das ist schon mal gut und die Grundvoraussetzung. Sehe ich es richtig, dass sich laut Deinem Plan die Fritzbox als VPN-Client zum UCG-Ultra verbindet?

    Woran genau scheitert Dein Vorhaben bislang? Gibt es Fehlermeldungen?

    Also wie rum die sich verbinden ist mir am Ende egal, solang ich von LAN zu LAN komme.

    Aber ja im jetzigen beispiel dient die CGW U als Server und die Fritz als Client.


    Tja wenn ich das wüsste woran es scheitert :grinning_squinting_face:


    Muss mal später schauen wie ich an die logs von der CGWU komme, in der Fritze hab ich keine gefunden.


    mal grob gelistet was ich gemacht hab:


    In der CGW:


    WireGuard Server erstellt

    - alternative Adresse für Clients meine domain eingetragen

    - Client hinzugefügt und unter Remote Clients NEtwork, das Fritz Netzwerk eingetragen


    FritzBox:

    Wireguard Verbindung manuell erstellt da importe nie geklappt haben


    In der Übersicht sehe ich jetzt

    Entfernes Netz: 192.168.2.0/24

    Domain (Endpunkt): ipv6 adresse und domain name mit port

    ohne domain also direkten eintrag auf meine ipv4 hat auch nicht geholfen...


    Mehr kann ich jetzt leider dazu nicht sagen.

    Die bin ich zwar schon durch gegangen, aber nach mehreren anläufen geht es jetzt.

    Kann nur nicht erklären was jetzt anders ist als beim ersten anlauf mit der Anleitung


    Vielen Dank

  • Chriz

    Hat das Label von offen auf erledigt geändert.

    Muss das leider doch nochmal aufgreifen.


    Nach einem Neustart war die Verbindung weg, nachdem ich dann mit dem selben ssh befehl es wieder richten wollte ist aber nichts passiert.

    Also kam ich auf die glorreiche Idee die UCG zu reseten.


    Alles nochmal schön von vorne eingerichtet, aber puste kuchen. es will einfach nicht.

    Und ich hab keine Ahnung wieso.


    Gibt das ding nicht irgendwo Log-Files oder so aus, das man mal nachlesen kann wo es happert ?


    Anbei nochmal die Config von beiden, vielleicht übersehe ich nen typo fehler oder sowas.

    UCG:


    Code
    [Interface]
ListenPort = 50628
PrivateKey = xxx

[Peer]
PublicKey = public_key_fritz
PresharedKey = psk
AllowedIPs = 192.168.175.0/24, 10.0.10.2/32
PersistentKeepalive = 25
ForcedHandshake = 10


    FritzBox:



    UCG-Netz: 192.168.188.0

    Fritz NEtz: 192.168.175.0

    Transfer/Wireguard: 192.168.2.0

    • Neu

    So bin ein schritchen weiter. Nach einigen Stunden hab ich gemerkt das die Fritze sich verhaspelt hat, und egal welche Config man eingeschoben hat, hat Sie immer irgendeine alte config übernommen... Nach einem neustart hat Sie dann meine neue Config übernommen.


    Das ganze ist eigentlich einfach wenn man sich nicht so blöde anstellt wie ich und zuviel rum experementiert :face_with_tongue:


    Auf der Unifi WireGuard Server erstellen und Transfertunnel IP einstellen oder auf Automatisch lassen.

    Client hinzufügen und auf manuelle Einstellungen gehen, dort den pre-shared key anhaken und unter remote client networks den LAN-IP Adressbereich der Gegenstelle eintragen (x.x.x.0/24) in meinem Beispiel das Fritznetz, und das Netz hinzufügen.


    Config runterladen und Client hinzufügen bestätigen.

    Und nochmal unten die neuen Änderungen für den Server bestätigen (wie oft ich das übersehen habe^^)


    Nun die Config anpassen:



    Quasi alles in rot muss ergänzt oder ersetzt werden.

    Das ganze in die Fritzbox jagen und zu guter letzt musste ich jetzt noch in meinem Fall nen anstoss per SSH geben auf der Unifi


    SSH auf Unifi-Gerät:


    Code
    wg set wgsrv1 peer <publickey-fritzbox> endpoint <fritz dyndns:port> persistent-keepalive 25

    Die DynDNS und den Wireguard Port der Fritzbox könnt Ihr in den WireGuard Einstellungenn der Fritzbox sehen.


    Nach einem disconnect auf der UniFi Seite hat sich der Tunnel von selbst wieder aufgebaut, wie es nach einem neustart der Box aussieht weiß ich noch nicht.


    Wüsste jemand wie man ein Script auf der UCG-Ultra hinterlegen kann ?

    • Neu
    Zitat von Chriz

    Das ganze ist eigentlich einfach wenn man sich nicht so blöde anstellt wie ich und zuviel rum experementiert

    Nun, Du hast zumindest für Dich etwas dazu gelernt und am Ende selbst eine Lösung gefunden. Ich finde außerdem klasse, dass Du dann hier nach dem ganzen Prozess transparent mit Deiner Lernkurve umgehst und auch noch Deinen Weg als Anleitung veröffentlichst! :thumbs_up:


    Zitat von Chriz

    Wüsste jemand wie man ein Script auf der UCG-Ultra hinterlegen kann ?

    Auf den Security Gateways (Vorgänger der DreamMachines uns Cloud Gateways) war so etwas damals möglich, auf den neueren Geräten dann aufgrund veränderter Software-Achitektur nicht mehr.

    Meines Wissens nach gibt es da leider nach wie vor keinen Weg.

    Was ich mir als Alternative vorstellen könnte (aber nie selbst ausprobiert habe): Eine gescriptete SSH-Verbindung, die die gewünschten Befehle von außen an das UCG-Ultra sendet.

    • Neu

    mal manuell neu gestartet und nach 5min immer noch kein tunnel aufbau.


    Naja immerhin klappt der wieder aufbau jetzt problemlos, nachdem man der Ultra das ganze per SSH mitteilt.

    Welche Alternative kannst du dir denn vorstellen ?


    Hab von sowas ziemlich wenig bis 0 Ahnung :grinning_squinting_face:

    hät nichtmal ne idee wie man sowas umsetzen könnte.


    Man müsst ja irgendwie eine erkennung haben, wann das Gateway mal neustartet, und das dann irgendetwas darauf reagiert und den SSH Befehl auslöst...

    Ich hätte noch einen Raspi mit HomeAssistant und ein Unraid Server die dauernd laufen und das übernehmen könnten, aber wie :question_mark:

    • Neu

    Die Fritzbox ist auch ziemlich wild, was die wireguard Konfiguration und das "Einspielen" in die Fritzbox angeht ... Einmal ne Frage falsch verstanden und die Kiste macht was völlig anderes als man denkt ... hab neulichs mal ein AVM Webinar zu dem Thema nebenbei über die Schulter eines Kollegen belauscht ... mit mehreren Filialen wurde es dann richtig wild (exportieren in andere Fritzbox importieren und das Ergebnis wieder in die ursprüngliche Box kippen) ... mir zu wild, aber unterm Strich lief es trotzdem.