Site2Site/Lan2Lan-VPN zur Fritz!Box

Hallo Community,

komme frisch von der AVM Fraktion, und bin bisher mega zufrieden mit meinem Setup von Ubiquiti. Vorallem ist das WLAN merklich besser geworden.

Jedoch bekomme ich eine Sache nicht auf die Kette, hab schon div. beiträge gelesen aber so wirklich schlau werde ich nicht.

Daher hoffe ich das sich jemand Zeit nimmt und mich mal durch die Wireguard Funktion von Unifi führt.

Wie im Titel zu sehen möchte ich eine VPN Verbindung zwischen dem Gateway-Ultra und einer entfernten FritzBox herstellen.

Jedoch belkomme ich nichtmal ansatzweise die Verbindung hin

Was ich habe:

Zuhause:

Domain über Cloudflare DDNS zu meiner öffentlichen IP (meinedomain.me)

CGW-Ultra

IP: 192.168.188.1

WG Adressbereich: 192.168.4.0

In meiner Halle:

FB7590

DynDns über AVM/myFritz (xyz123.myfritz.net)

IP: 192.168.175.1

Ich weiß echt nicht mehr wo ich anfangen oder aufhören soll, der Tunnel will einfach nicht.

Wie erwähnt wäre ich sehr dankbar wenn jemand mich da Step-by-Step durchführen könnte

Also wie rum die sich verbinden ist mir am Ende egal, solang ich von LAN zu LAN komme.

Aber ja im jetzigen beispiel dient die CGW U als Server und die Fritz als Client.

Tja wenn ich das wüsste woran es scheitert

Muss mal später schauen wie ich an die logs von der CGWU komme, in der Fritze hab ich keine gefunden.

mal grob gelistet was ich gemacht hab:

In der CGW:

WireGuard Server erstellt

- alternative Adresse für Clients meine domain eingetragen

- Client hinzugefügt und unter Remote Clients NEtwork, das Fritz Netzwerk eingetragen

FritzBox:

Wireguard Verbindung manuell erstellt da importe nie geklappt haben

In der Übersicht sehe ich jetzt

Entfernes Netz: 192.168.2.0/24

Domain (Endpunkt): ipv6 adresse und domain name mit port

ohne domain also direkten eintrag auf meine ipv4 hat auch nicht geholfen...

Mehr kann ich jetzt leider dazu nicht sagen.

Die bin ich zwar schon durch gegangen, aber nach mehreren anläufen geht es jetzt.

Kann nur nicht erklären was jetzt anders ist als beim ersten anlauf mit der Anleitung

Vielen Dank

Muss das leider doch nochmal aufgreifen.

Nach einem Neustart war die Verbindung weg, nachdem ich dann mit dem selben ssh befehl es wieder richten wollte ist aber nichts passiert.

Also kam ich auf die glorreiche Idee die UCG zu reseten.

Alles nochmal schön von vorne eingerichtet, aber puste kuchen. es will einfach nicht.

Und ich hab keine Ahnung wieso.

Gibt das ding nicht irgendwo Log-Files oder so aus, das man mal nachlesen kann wo es happert ?

Anbei nochmal die Config von beiden, vielleicht übersehe ich nen typo fehler oder sowas.

UCG:

[Interface]
ListenPort = 50628
PrivateKey = xxx

[Peer]
PublicKey = public_key_fritz
PresharedKey = psk
AllowedIPs = 192.168.175.0/24, 10.0.10.2/32
PersistentKeepalive = 25
ForcedHandshake = 10

FritzBox:

[Interface]
PrivateKey = xxxx
ListenPort = 58355
Address = 192.168.175.1/24
DNS = 192.168.175.1
DNS = fritz.box

[Peer]
PublicKey = public key ucg
PresharedKey = psk
AllowedIPs = 192.168.2.0/24,192.168.188.0/24
Endpoint = meinedomain.me:50628

UCG-Netz: 192.168.188.0

Fritz NEtz: 192.168.175.0

Transfer/Wireguard: 192.168.2.0

So bin ein schritchen weiter. Nach einigen Stunden hab ich gemerkt das die Fritze sich verhaspelt hat, und egal welche Config man eingeschoben hat, hat Sie immer irgendeine alte config übernommen... Nach einem neustart hat Sie dann meine neue Config übernommen.

Das ganze ist eigentlich einfach wenn man sich nicht so blöde anstellt wie ich und zuviel rum experementiert

Auf der Unifi WireGuard Server erstellen und Transfertunnel IP einstellen oder auf Automatisch lassen.

Client hinzufügen und auf manuelle Einstellungen gehen, dort den pre-shared key anhaken und unter remote client networks den LAN-IP Adressbereich der Gegenstelle eintragen (x.x.x.0/24) in meinem Beispiel das Fritznetz, und das Netz hinzufügen.

Config runterladen und Client hinzufügen bestätigen.

Und nochmal unten die neuen Änderungen für den Server bestätigen (wie oft ich das übersehen habe^^)

Nun die Config anpassen:

[Interface]
PrivateKey = xxxxxxx
Address = 10.10.0.3/32 <<< ersetzen mit der FritzIP/24
DNS = 10.10.0.1  <<< hier ergänzen wir nur um die FritzIP (DNS1,DNS2)
DNS = fritz.box <<< kann optional mit hinzugefügt werden

[Peer]
PublicKey = xxxx=
PresharedKey = x+xxx=
AllowedIPs = 10.10.0.1/32,10.10.0.3/32,0.0.0.0/0 <<< 0.0.0.0/0 mit dem eigenen lokalen Netzwerk ersetzen (zB 192.168.100.0/24)
Endpoint = ip:port der Gegenstelle

Quasi alles in rot muss ergänzt oder ersetzt werden.

Das ganze in die Fritzbox jagen und zu guter letzt musste ich jetzt noch in meinem Fall nen anstoss per SSH geben auf der Unifi

SSH auf Unifi-Gerät:

wg set wgsrv1 peer <publickey-fritzbox> endpoint <fritz dyndns:port> persistent-keepalive 25

Die DynDNS und den Wireguard Port der Fritzbox könnt Ihr in den WireGuard Einstellungenn der Fritzbox sehen.

Nach einem disconnect auf der UniFi Seite hat sich der Tunnel von selbst wieder aufgebaut, wie es nach einem neustart der Box aussieht weiß ich noch nicht.

Wüsste jemand wie man ein Script auf der UCG-Ultra hinterlegen kann ?

mal manuell neu gestartet und nach 5min immer noch kein tunnel aufbau.

Naja immerhin klappt der wieder aufbau jetzt problemlos, nachdem man der Ultra das ganze per SSH mitteilt.

Welche Alternative kannst du dir denn vorstellen ?

Hab von sowas ziemlich wenig bis 0 Ahnung

hät nichtmal ne idee wie man sowas umsetzen könnte.

Man müsst ja irgendwie eine erkennung haben, wann das Gateway mal neustartet, und das dann irgendetwas darauf reagiert und den SSH Befehl auslöst...

Ich hätte noch einen Raspi mit HomeAssistant und ein Unraid Server die dauernd laufen und das übernehmen könnten, aber wie