Streaming über VPN (Firewall/Routing Problem)

Es gibt 9 Antworten in diesem Thema, welches 641 mal aufgerufen wurde. Der letzte Beitrag () ist von Ronniequiti.

    Hallo zusammen,


    schönen Guten Abend erstmal. Ich hoffe ich bin hier richtig. Ich stehe vor einem Problem was ich derzeit nicht lösen können. Um mein Anliegen besser verständlich zu machen, erstelle ich mal eine kurze Übersicht:

    Was will ich:
    Streaming über VPN. Auf meiner Seite steht ein TVHeadend Server. Bei meinen Schwiegereltern ein Sat-IP-Server (Kathrein). Ich möchte einen Tuner von Kathrein in Tvheadend einbinden und darüber TV gucken.


    Welche Komponenten sind hierbei im System:

    Auf meiner Seite: UDM-Pro, Tvheadend Server

    Gegenseite: Fritzbox (Hauptrouter), dahinter eine Unifi Ultra (Auch per VPN verbunden)


    Wie baue ich die Verbindung auf:

    UDM baut eine Verbindung zur Fritzbox (Server) per VPN auf. Statische Routen der Ultra Netzwerke sind auf der Fritzbox eingerichtet.

    Fritz!Box stellt eine Verbindung zur UDM (Server) per VPN her.

    Ultra stellt eine Verbindung zur UDM (Server) per VPN her.


    Welche weitern Einstellungen habe ich gemacht?

    In der Firewall habe ich jeweils die gegenüberliegenden Netze bei INTERNET_IN eingetragen, sowie die VPN IP des Tunnels 10.123.123.0/29.

    In der Policy-Based Routes die gewünschten Netze eingetragen und das dazugehörige VPN Gateway ausgewählt.


    Diverse Einstellungen mit statischen Routen, NAT-Einstellungen etc.

    Firewall habe ich hierfür erstmal komplett offen (also normale default Einstellungen)


    Was passiert?

    Der Zugriff auf die Netze und Geräte funktioniert tadellos. Dahingehend habe ich keine Probleme. Nur beim TVHeadend Server empfange ich kein Signal vom Sat->IP Server. Ich sehe das ein Zugriff irgendwie erfolgt, jedoch werden die Tuner nicht durchgereicht.


    Was habe ich bisher probiert und getestet?

    Probeweise Site-Magic aktiviert und damit eine Site-to-Site Verbindung erstellt. Netzwerke ausgewählt. Der TVHeadend Server erfasst die Tuner und startet das TV-Programm.

    Probeweise Site-to-Site mit Openvpn (UDMP-Ultra) aktiviert. Der TVHeadend Server erfasst die Tuner und startet das TV-Programm.


    Problem:

    Über diese Brücken von VPN Verbindungen scheint etwas nicht durchgereicht zu werden. Ich habe aber keinen Plan wo ich ansetzen soll/kann.



    Hat jemand ein paar Hilfestellungen für mich, um das Problem zu lösen?


    Da ein Bild mehr als tausend Worte sagt, habe ich mal meine Struktur als Anlage beigefügt. Evtl. hilft dies beim besseren Verstehen.


    In diesem Sinne wünsche ich noch einen schönen Abend.


    Viele Grüße und Dank im Voraus!


    Meine Erste Reaktion: HE?,

    meine zweite: "hat er" ?

    Meine Dritte: Kopfschütteln

    und meine finale Reaktion:


    Nein das kann nicht stimmen und er meint was anderes als ich verstehe.


    1.) Zwei VPN um zwei Netze zu verbinden ?

    Mit Teilweise IP die im gleichen Segment liegen wie ein Lokales Netz ?

    2.) FRItzobn noc nen internes VPN zum Ultra an dem der SAT Kram angeschlossen ist ?


    Das ist (villeicht nur für mich) etwas wirr ?


    Aber eventuell auch egal.. Du sagt du bist verbunden, du sagt du kannst die Geräte erreichen

    (also PING geht ?)


    Ahmmmm SAT-IP.... kann es sein das der Bursche Multicast macht

    wenn drum geht das Nutzsignal raus zu pressen ? Dann brauchst du

    noch Routings für die Multiast Adressen über das VPN ggf nen Multicast IGMP Proxy

    oder dergleichen (hab nicht wirklich Ahnung von IP-SAT Zeugs)

    So ganz kann ich das auch nicht nachvollziehen. Wieso eine VPN UDM -> Fritte und eine Fritte -> UDM?


    Und warum überhaupt eine VPN mit der Fritte? Laut Bild sind die UDM und das Ultra Netzwerke doch die jenigen welche die beiden Komponenten, die Zusammenspielen sollen, enthalten. Wäre ja dann schon mal sinniger die UDM und das Ultra direkt zu verbinden, macht mal eben einen Router/Firewall weniger im Konstrukt.


    Verstehe ich das richtig, dass mit Site Magic und OpenVPN das ganze funktioniert?!? Site-Magic ist Wireguard direkt zwischen UDM und Ultra (unter auslassen der Fritte) und etwas OSPF wenn ich mich recht entsinne.


    Wie genau funktioniert das mit dem Signal vom Sat da und den Komponenten? Was für Tuner sind hier erwähnt und wo sind die im Netzwerk?!?

    Hallo zusammen,


    vielen Dank für eure Rückmeldung. Ich gebe euch natürlich erstmal recht. Zwei VPN Verbindungen auf diese Art und Weise macht wenig Sinn. Aber ich kenne derzeit keine funktionierende Methode eine StS über Wireguard aufzubauen, ohne Remotezugang (UDM, UDR für Site-Magic) oder Portforwarding (FritzBox) zu aktivieren (Ultra, OpenVPN). Der Zugriff soll halt von beiden Seiten ermöglicht werden (über Wireguard). Daher diese Krücke mit zwei VPN. Und damit unterschiedliche Netze. Ich würde mich natürlich über eine besser geeignete Umsetzungen freuen, weswegen ich ja hier Hilfe suche :). Da ich ja weiß, dass es irgendwie Käse ist.


    Ich müsste doch bei UDM-Ultra auch zwei Verbindungen herleiten? Zumindestens bekomme ich nur von einer Seite einen Durchgang (Bsp: UDM als Server, Ultra als Client, dann nur Zugang Ultra zu UDM. Aber keine Verbindung UDM zu Ultra). Oder habe ich hier etwas überlesen bzw. Einstellungen übersehen?


    Ja, mit Site Magic und OpenVPN funktioniert es tadellos. Für Site Magic wird OSPF verwendet, ja. Das konnte ich mit Hilfe von ssh sehen. Ds sollte also auch irgendwie damit funktionieren. Ich habe davon aber absolut gar keinen Plan.

    Bei OpenVPN funktioniert es aber auch tadellos.


    Also TVHeadend holt sich die Sat-Tuner von einer Kathrein exip418. Diese steht bei meinen Schwiegereltern, da diese eine Schüssel haben. Die Tuner werden per satip_xml eingebunden. Dann stehen diese zur Verfügung wie ein lokaler Tuner. Das funktioniert auch alles und werden angezeigt und Einstellungen sind möglich.. Nur wenn es dann darum geht, die Tuner anzusprechen, gibt es eine Errormeldung. Das heißt, das entscheidende Signal kommt irgendwie nicht durch. Die Kathrein sendet per UDP port 554. Das Signal kommt bei der jetzigen Konfiguration irgendwo aufm Weg zum Server nicht durch..


    Wir würdet ihr denn bei dem Vorhaben euer Netz aufbauen? UDM mit Ultra verbinden? Aber wie, das beide Richtungen funktionieren?


    Über jegliche Hilfestellung bzw. Denkanstöße wäre ich wirklich dankbar.


    Ich wünsche allen noch einen schönen Abend.


    Viele Grüße

    Ronniequiti


    Also ich würde mit Wireguard eine Verbindung zwischen UDM und Ultra aufbauen. Bevorzugt den Server auf der UDM und den Client auf der Ultra, da Du vermutlich eher einen Wireguard Einwahl Client für Unterwegs nutzen würdest als die Schwiegereltern und weil scheinbar vor der UDM kein weiterer Router sitzt.


    Das kannst Du also schonmal einrichten. Damit das ganze von beiden Seiten klappt und kein NAT im Spiel ist, musst DU noch relativ viel Einstellungen vornehmen.


    - Auf der UDM musst Du bei der Konfiguration des Wireguard Clients in der Wireguard Serverkonfiguration "Remote Client Networks" anhaken und dort das IP Netz hinter dem UCG eintragen, indem das Kathreinteil ist, das also 10.20.0.20 enthält. Kann man aus deinem Bild nicht ableiten was da für eine Subnetmaske verwendet ist. Gleich mal die Interface-IP des Clients für die statische Route im nächsten Schritt merken!

    Sollte er Dir hier in der GUI anzeigen, dass das Netzwerk schon existiert, wird es spannend. Da gibts bei der Prüfung wohl Problemchen und es werden teilweise Dinge berücksichtigt, die eigentlich nicht relevant sind. (den Schritt dann erstmal auslassen und weitermachen und hier melden.

    - Auf der UDM muss dann noch eine statische Route eigetragen werden. Distance 1, Destination Network wieder das Netz was die 10.20.0.20 enthält, Typ Next Hop und dort die Tunnel-End-IP des Wireguard Clients eintragen


    Weiter geht es auf der Ultra.

    - Policy Based Routes einstellen. Würde erstmal "Specific Traffic" mit Destination IP machen. Als Quelle das LAN mit dem Kathrein, Bei Ziel IP Adress Bereich und dort erstmal das komplette Netz hinter der UDM eintragen mit Start und End IP, Interface unten dann den Namen der VPN Client Schnittstelle auswählen.

    - weiter gehts mit NAT unter Routing - NAT. Protocol auf All, Interface die VPN Verbindung auswählen. Destination anhaken (IPv4 Adress / Subnet) und dort das IP Netz hinter der UDM eintragen ( wo die 172.30.0.10 enthalten ist). Unten Manual auswählen und Exclude anhaken und fertig.


    jetzt noch die Firewall

    - am besten ein Profil anlegen welches das Netz hinter der UDM enthält und das Tunnelnetzwerk.

    - In der Firewall bei INTERNET_IN eine neue Regel erstellen. Protokoll All, Source als Address Group das eben angelegte Profil auswählen, Destination auf Any/Any lassen. Unten Manual auswählen und New, Established und Related anhaken und fertig. Die Regel sollte bei INTERNET_IN ganz oben stehen in der Liste.

    Wenn Du Zugriff durch den Tunnel auf die Ultra möchtest oder diese pingen können willst benötigst Du noch eine Regel bei INTERNET_LOCAL. Diese so ausfülen wie im Schritt davor eben nur unter INTERNET_LOCAL statt INTERNET_IN


    Jetzt solltest Du theoretisch in der Lage sein von Ultra und UDM jeweils das lokale Tunnelende, das entfernte Tunnelende und die Netzwerkadresse des entfernten routers anzupingen. Wenn das klappt kann man versuchen auf Geräte im entfernten Netz zuzugreifen.


    Klappt das ganze noch nicht, dann gibt es hierfür meist nur einen Grund, der sich Firewalls nennt. Zuerst mal prüfen ob in UDM und Ultra bei LAN_IN Regeln existieren, die den Zugriff auf das Tunnelnetz und das entfernte Netz blockieren. Gerne werden ja einfach Pakete von allen priv. IPs zu allen priv. IPs geblockt. Ist das geklärt, kann es eine Firewall auf dem entfernten Gerät geben die blockt. Windows Client Betriebssysteme reagieren im Default gerne mal nicht auf Pakete aus anderen IP Netzen. Pingen ist zum Beispiel ohne Anpassung nicht möglich.


    Und was natürlich noch sein kann, ist das der Standardgateway auf einem Gerät nicht korrekt ist, das Gerät hat dann aber auch kein Internet.



    So jetzt erstmal machen und wenns Probleme gibt gerne Fragen. Bei dieser Konfiguration ist jetzt erstmal nichts eingeschränkt, sofern Du nicht zufällig Firewallregeln hast die einschränkend wirken. Also theoretisch kann jedes Gerät von A auf jedes Gerät von B zugreifen und umgekehrt. Das kann man natürlich anpassen.

    Hallo,


    besten Dank für deine ausführliche Antwort. Ich gehe am besten direkt auf deine Aussagen ein:


    Zitat

    Auf der UDM musst Du bei der Konfiguration des Wireguard Clients in der Wireguard Serverkonfiguration "Remote Client Networks" anhaken und dort das IP Netz hinter dem UCG eintragen, indem das Kathreinteil ist, das also 10.20.0.20 enthält. Kann man aus deinem Bild nicht ableiten was da für eine Subnetmaske verwendet ist. Gleich mal die Interface-IP des Clients für die statische Route im nächsten Schritt merken!

    Sollte er Dir hier in der GUI anzeigen, dass das Netzwerk schon existiert, wird es spannend. Da gibts bei der Prüfung wohl Problemchen und es werden teilweise Dinge berücksichtigt, die eigentlich nicht relevant sind. (den Schritt dann erstmal auslassen und weitermachen und hier melden.

    Ich habe dieses Problem mit den existierenden Subnetzen. Dieses war der Anlass für die VPN-Krücke, wie im ersten Post beschrieben. Ich hatte auch alle Statischen Routen und Policy-Based Routen gelöscht, neugestartet, einen neuen Server angelegt. Es kommt immer der Hinweis "This subnet already exists".

    Das Netz vom Sat-IP-Server ist 10.20.0.0/24. Die Ultra ist aber sauber mit der UDM verbunden.


    Zitat

    Policy Based Routes einstellen. Würde erstmal "Specific Traffic" mit Destination IP machen. Als Quelle das LAN mit dem Kathrein, Bei Ziel IP Adress Bereich und dort erstmal das komplette Netz hinter der UDM eintragen mit Start und End IP, Interface unten dann den Namen der VPN Client Schnittstelle auswählen.

    Habe das komplette TVHeadend Netzwerk in der Ultra freigegeben.

    Source: 10.20.0.0/24

    Destination: 172.30.0.0/24

    Interface: VPN-Tunnel zur UDM


    Nach diesen Maßnahmen kann ich aus dem 10.20.0.0/24 das Netzwerk 172.30.0.0/24 anpingen. Sprich, der Tvheadennd Server ist pingbar aus dem Ultra Netzwerk.


    Zitat

    weiter gehts mit NAT unter Routing - NAT. Protocol auf All, Interface die VPN Verbindung auswählen. Destination anhaken (IPv4 Adress / Subnet) und dort das IP Netz hinter der UDM eintragen ( wo die 172.30.0.10 enthalten ist). Unten Manual auswählen und Exclude anhaken und fertig.

    Hier habe ich folgendes Verhalten, nachdem ich die Regel angelegt habe:

    Regel ist aus/deaktiviert/gelöscht: es findet ein ping zwischen 10.20.0.0/24 und dem Tvheadend statt -> alles super.

    Regel ist an: keine Verbindung möglich. Ping kommt nicht durch, bzw. startet erst gar nicht.


    Zitat

    jetzt noch die Firewall

    - am besten ein Profil anlegen welches das Netz hinter der UDM enthält und das Tunnelnetzwerk.

    - In der Firewall bei INTERNET_IN eine neue Regel erstellen. Protokoll All, Source als Address Group das eben angelegte Profil auswählen, Destination auf Any/Any lassen. Unten Manual auswählen und New, Established und Related anhaken und fertig. Die Regel sollte bei INTERNET_IN ganz oben stehen in der Liste.

    Diese hatte ich bereits angelegt, daher konnte auch der Ping oben durchgehen. einzig das ich nicht Manual ausgewählt habe, sondern auf auto-einstellung belassen habe. Diese befinden sich im Internet_IN und Internet_LOCAL an vorderster Stelle. Ich habe hierzu groups angelegt.


    Soweit haut das einseitig bestens hin. Aber ich habe nach wie vor keinen Zugang von der UDM -> Ultra + Netze.


    Kennst du einen Weg, diese Fehler/Bug/Errormeldung zu umgehen?


    Besten Dank nochmals für deinen Support.


    Einen angenehmen Abend allen.


    Viele Grüße

    Die "Fehler" hängen alle zusammen.


    Machst Du das NAT aus, dann kommt im anderen LAN der ping nicht vom entfernten Tunnelende, sondern von einem Gerät aus dem entfernten LAN. Da aber die Route für das entfernte LAN hinter dem Tunnel fehlt kommen die Antworten nicht zurück. Mit aktivierten NAT geht das natürlich dann.



    Also was mir so einfällt wo Du mal schauen kannst. Die Profiles für die Firewall. ob dort irgendwo dieses 10.20.0.0/24 enthalten ist, oder ein größeres Subnet mit 10. z.B. das 10.0.0.0/8 er ... falls Du da was findest, schreib mal welches Subnet und wofür das Profile verwendet wird.

    Danke für deine Antwort. Ich hatte das schon mal alles gemacht, auch jetzt nochmal. Habe in den Profilen erstmal alles gelöscht wo das Netz vorhanden sein könnte. Einmal in der RFC-group und dann einmal in der Auflistung der Ultranetzwerke. Habe alle Statischen- sowie Policy-based Routen entfernt. Auch wenn ich bisher keine verwendete Netze eintrage bspw. 10.100.100.0/24, erscheint die Meldung. Und dieses Netz war bisher auf keine der beiden Seite angelegt worden.

    Ich glaube da muss ich echt warten, bis Unifi da mal eine Korrektur einspielt oder die Option unter StS zur Verfügung stellt. Oder halt solange den Umweg über Remote oder Portforwarding gehen.


    Bei dir kommt keine Fehlermeldung, wenn du die gegenüberliegenden Netze anlegst?


    Danke nochmals für deinen Support!


    Viele Grüße

    Nein hier bei mir jetzt nicht. Ich hatte die bis ich die 10.0.0.0/8 aus dem Profil genommen habe.


    Das ist gefühlt etwa n halbes jahr altes Problem. In den Update notes stand was von verbesserter Netzwerkverifizierung an der Stelle. Hab ne UDM da hab ichs vorher eingetragen. Die meckert jetzt auch, sogar bei dem schon dort eingetragenem Netz.

    Alles klaro. Ja, das ist ein bisschen nervig, wenn das alles nicht klappt, wie es soll. Aber nun gut. Dann heißt es warten bis Unifi da mal was ordentlich zur Verfügung stellt. Ohne Bug.


    Ich danke dir trotzdem für deine Unterstützung.


    Einen schönen Abend noch.


    Viele Grüße

  • Ronniequiti

    Hat das Label von offen auf erledigt geändert.