Wireguard Site2Site mit ASUS Router

Es gibt 19 Antworten in diesem Thema, welches 1.302 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hi,


    wahrscheinlich wurde mein Anliegen schon 100000mal behandelt. Leider sehe ich den Wald vor lauter Bäumen nicht :smiling_face:


    IPs:

    IP Router zuhause: 192.168.10.1

    IP Adresse: Zuhause 192.168.10.0/24

    IP VPN Tunnel: 192.168.4.20/28 (wird auf 13 Clients begrenzt)

    IP Garten: 192.168.50.0/24

    IP Router Garten: 192.168.50.1



    Mein Problem:

    Habe zuhause eine UDM Pro die unter anderem als Site2Site Wireguard VPN Server fungiert. In meinem Gartenhaus (anderer Standort) steht ein ASUS Router der als Wireguard VPN Client eingerichtet ist. Vom Client Netzwerk kann ich auf mein Komplettes LAN zugreifen nur zuhause nicht auf die Clients im Garten.


    Denke damit dies am Routing liegt. Leider ist dies nicht mein Gebiet und bin da etwas überfragt.


    Kann mir jemand einen Tipp geben was ich einstellen muss?


    Habe bei YouTube ein Video gesehen bei dem auf ein Punkt "Additional Routes" (VPN-Server / Client anklicken) verwiesen wird. Diesen Punkt habe ich leider nicht. Bei mir gibt es den Punkt "Remote Client Network". Wenn ich hier das Netz vom Gartenhaus eingebe bekomme ich eine Fehlermeldung "Dieses Subnetz existiert bereits."


    Danke

    Wolf6660


    Folgende Probleme könnten existieren:

    - der Asus WG Client macht NAT (macht der Client der UDM von Haus aus auch)

    - die Firewall im Asus lässt keine Zugriffe auf das interne Netzwerk zu

    - im Wireguard Server der UDM ist das Netzwerk hinter dem Client nicht eingetragen


    Bei letzterem musst Du in die Konfiguration des Wireguard Servers der UDM. Dann öffnest Du den entsprechenden Client, den der Asus benutzt.

    Dort gibt es dann einen Haken "Remote Client Networks" den Du setzen musst. Dann fügst Du dort das Garten LAN 192.168.50.0/24 hinzu. Wenn die GUI meckert dass es das Netz schon gibt, hast Du ein Problem mit einem BUG. Da wird aktuell Unfug verifiziert. Irgendwo findet er das Netz dann bereits. Routen, Profile kommen schon mal in Frage. Bei den Profiles reicht es wenn Du dort eines mit den RFC privat IPs für die Firewall hast also mit einem Subnet 192.168.0.0/16. Dann hilft dort nur entfernen sonst nimmt die GUI dir das beim Client nicht ab.


    Dann sollte schonmal alles in den Tunnel geblasen werden und Du läufst ggf. auch die beiden ersten Problempunkte auf. Wovon ich mal ausgehe, denn ohne NAT des ASUS Clients, hättest Du ohne die zusätzliche Route keine Antwort vom Heimnetz bekommen dürfen.

    Hi,


    danke für deine Antwort. Habe alles durchgeschaut aber ein Netz mit 192.168.50.0/24 ist nirgends vorhanden. Habe mal im Terminal ifconfig und arm -a eingegeben und auch hier ist kein 50ziger Netz.


    Wir kann ich das noch finden?


    Danke

    Also kommt bei Dir die Meldung, dass das Netzwerk bereits existiert wenn Du es beim Client als Client Remote Network hinzufügen willst?

    Wenn es nirgends zu finden ist, wirst Du wohl warten müssen bis der bug beseitigt wird.


    Ich hab letzte Woche mit einem Forumsmitlgied geteamviewert wegen Wireguard. Das was er haben wollte ging problemlos, allerdings weil wir schon dabei waren wollten wir eben genauso die andere Richtung noch gangbar machen und sind auf eben diesen bug getroffen. Wir konnten das Problem dort ebenso nicht fixen, weil wir das Netz nirgends gefunden haben, auch nicht als Teil von irgendeinem Superneting.

    genau diese Meldung



    dann hoffe ich mal damit dies bald gefixt wird.


    Falls jemand eine Idee hat wie man dies dochnoch zum laufen bring wäre ich echt dankbar. Vom Garten aus funktioniert alles super nur von zuhause auf die Clients bzw. Router kann ich nicht zugreifen.


    Danke

    Clients und Router sind auch beim VPN Zugriff nicht das Gleiche. Bei Ubiquiti ist es so, dass die Routerschnittstellen in der Firewall extra eingebunden sind und somit auch getrennt von den Netzwerkclients gehandled werden können.


    Wolf6660 versuche mal bitte 192.168.49.0/24 und 192.168.52.0/24 dort einzutragen. Werfen die auch die Fehlermeldung? Wenn nicht muss das 192.168.50.0/24 Subnet explizit vorhanden sein.

    Da sollte der bug auch drin sein. Hast Du in der UDM Pro keine Firewallregeln und dafür angelegte Profile? Sieht mir schon nach Profil zum blocken von Traffic zwischen VLANs aus.


    Hier gehts auch um das Thema.

    https://community.ui.com/questions/WireGuard-This-subnet-already-exists/d44ace7c-f66e-450e-a90a-bc8f9ad1789e


    Wenn Du mit ssh und Linux klar kommst, könntest Du auch auf dem Unifi Gateway mal in dieser Datei nach deinem IP Subnet suchen.

    /data/udapi-config/ubios-udapi-server/ubios-udapi-server.state

    Zitat von DoPe

    Da sollte der bug auch drin sein

    Ist er in 8.3.32...wenn dann ein Bug ist und nicht gewollt. Denn:


    Der VPN Server mag aktuell keine "Remote" Netze die die im gleichen Netz legen wie das VPN Server Netz.

    (im meinen fall 10.99.0.0/24). Ein Client wird Stumpf mit einem Allowed 10.99.0.x/32 angelegt.

    Es wird also NUR der Client adressiert ohne weitere config.

    Weitere IP im gleichen Zielnetz nicht rund können nicht eingetragen werden.

    Weil ich denke da der Unifi Von Server die gerne unter seine Kontrolle hat und vergeben will.


    Code
    #: wg
peer: Z----------tST-----------------------------o=
endpoint: 1--.---.---.4
allowed ips: 10.99.0.1/32
latest handshake: 48 seconds ago
latest receive: 7 seconds ago
transfer: 260.13 KiB received, 305.38 KiB sent
forced handshake: every 10 seconds


    Ich denke das ist so gewollt.


    "VPN Client" auf der anderen Seite legt ja auch einfach einfach ein 0.0.0.0/0 routing an

    und will sämtlichen traffic ggf über VPN kippen (mit der passen PBR)..

    (ja das wird nen Rant :smiling_face: ).


    Denke solange nicht ne Explizite Wireguard S2S Option dazu kommt wird das auch so bleiben.


    Lösung Ansatz: VPN nur als Transfernetz einrichten mit IP und dann Ziel Netze explizit eintragen.

    und auf dem ziel die Nötigen UNIFI Netze adressieren. (wenn die Asus Büchse das kann)

    SUPER Fehler gefunden.


    Ich hatte mal eine Gruppe angelegt in der der IP Bericht 192.168.0.0/16 drin war. Habe ich entfernt und mit meinen Netzten ergänzt.


    Gibt es eine Möglichkeit damit die Geräte in der Client Liste auftauchen?

    Zitat von Wolf6660

    SUPER Fehler gefunden.


    Ich hatte mal eine Gruppe angelegt in der der IP Bericht 192.168.0.0/16 drin war. Habe ich entfernt und mit meinen Netzten ergänzt.


    Gibt es eine Möglichkeit damit die Geräte in der Client Liste auftauchen?

    Nein, ob im Remotenetz auf den IPs ein Client aktiv ist, das weiß der Controller nicht und will er auch nicht wissen ...

    Zitat von gierig

    Ist er in 8.3.32...wenn dann ein Bug ist und nicht gewollt.


    Das ist ein Bug und nicht gewollt. Die haben einfach bei der Prüfung der lokalen Netze Mist gemacht. Es reicht aus ein Profile mit einem Subnet zu erzeugen. Das dieses Profile weder ein lokales Netz anlegt noch irgendwas mit Routing zu tun hat, darüber sind wir uns wohl einig.


    Das sieht die GUI derzeitig anders. Der "Client Remote Network" Parameter beim Client im VPN Server ist genau dafür da, die allowed-Ips zu ergänzen. Man kann also derzeitig kein Profil mit den RFC private IPs anlegen für das VLAN-VLAN blocken in der Firewall. Denn dann kannst Du an der Stelle kein einziges privates Netz mehr eintragen.


    Hat übrigens auch schonmal funktioniert, bis im Changelog einer network version mal wieder die Rede von "improved" war

    Zitat von DoPe

    darüber sind wir uns wohl einig.

    Nein

    Zitat von DoPe

    Das sieht die GUI derzeitig anders. Der "Client Remote Network" Parameter beim Client im VPN Server ist genau dafür da, die allowed-Ips zu ergänzen. Man kann also derzeitig kein Profil mit den RFC private IPs anlegen für das VLAN-VLAN blocken in der Firewal

    Wiso firewall, VPN is die reede von.

    Und RFC Adressen eintragen geht wunderbar. Halt nur nicht aus einem Bereich der sich mit dem

    Lokalen VPN netz oder einem eingerichteten Überschneidet.





    #

    Dabei egal ob es den Beriech als IP Profil schon gibt



    Oder bekomme ich da was in den falschen Hals ?

    gierig

    Ja. Leg einfach mal ein profil an mit einem IP Netz, dass Du nicht lokal hast. Und genau dieses IP Netz oder ein Teil davon kannst Du dort dann nicht eintragenen bei Client Remote Network. Wenn Du das Profile editierst und das IP Netz raus löscht, dann kannst es auf einmal eintragen.

    Zitat von DoPe

    Ja. Leg einfach mal ein profil an mit einem IP Netz,

    Hab ich dich oben mit dem "Ein Lustiger Name"..Oder meinst du nochwas anders ?


    aber nochmal from the scratch: Settings -> Profile -> IP group:

    10.100.0.0/16, 172.16.12.0/24, 192.168.77.0/24 und nen SIngel Host

    192.168.66.3 sind damit in der Liste. Kein Netzt davon bisher in Verwendung oder

    jemals konfiguriert.


    Neuer Wireguard Server.

    192.168.99.1/24 Bereich (aus nie in Verwendung gewesen)


    Client hinzufügen:


    mit allen Remote Adressen die die Im Profil angelegt werden.

    (der host Eintrag dann natürlich als /32)


    Werden so übernommen

    und


    interface: wgsrv2

    public key: MaCWPoM3RjjalXXzxMqhBktN2jxWtFesypKPTH7OkXk=

    private key: (hidden)

    listening port: 51820


    peer: /Ps+sjBemdW/CPFTy9cXtavOtj8NkEods8fvaR/AbwI=

    allowed ips: 192.168.99.2/32, 10.100.0.0/16, 172.16.12.0/24, 192.168.77.0/24, 192.168.66.3/32

    forced handshake: every 10 seconds



    Das einzige was nicht geht sind IP aus bestehende VLAN, VPN, Honeypots also kram bei denen

    die UDM sich als Endpunkt zuständig fühlt.

    Tjaa scheint bei Dir anders zu sein. Ich kann dort keinen IP Bereich eintragen, der in irgendeinem Profil existiert, egal ob exakt oder nur als Teil eines Eintrags.


    Sprich hab ich ein Profil mit 192.168.0.0/16, das beliebte mit den privaten IPs, dann kann ich bei Client Remote Network keines davon eintragen. Da ich uch die 10er und 172er privat IPs in dem Profile habe, kann ich da gar keine privaten IPs eintragen... alles schon vorhandene IP Netze, was Bullshit ist.


    Ich hab im Moment für meine Firewallregeln das Profil geändert und nur wirklich vorhandene lokale Netze drin, dann ist das dort mit den Client Remote Networks problemlos eintragbar.