VPN-Verbindung zwischen zwei UCG-Ultra hinter Fritzbox für Backup-Lösung gesucht

Es gibt 9 Antworten in diesem Thema, welches 324 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

  • Liebes Forum,


    ich habe sowohl zuhause als auch auf der Arbeit zwei UCG-Ultras, die hinter zwei Fritzboxen hängen (7490 Arbeit, 6690 zuhause). Bislang funktionieren beide Standorte gut.

    Mein Ziel: Auf meiner Synology-NAS zuhause soll ein komplettes Backup meines Arbeits-PCs regelmäßig und automatisiert erstellt werden. Dafür eignet sich eigentlich die Software "Active Backup for Business" von Synology wunderbar.


    Meine Frage: Wie kann ich eine VPN-Verbindung zwischen zwei Standorten aufbauen? (Stichworte oder Links zu hilfreichen Themen würden zur Not auch reichen als Hilfe!)


    Bisherige und intensive Recherchen und Versuche in den letzten Wochen haben mich noch nicht wirklich weitergebracht. Ich bin zwar technikaffin, jedoch habe ich nur rudimentäre Kenntnisse bei Netzwerktechnik.


    Wichtige Infos:


    - Auf meinem Arbeits-PC läuft dauerhaft Wireguard, das einen Tunnel zu einem anderen Gerät (ein sogenannter Hardware-Konnektor in einem Rechenzentrum) aufbaut. Wenn ich von der Arbeit aus einen zweiten Tunnel aufbaue, funktioniert der erste Tunnel nicht mehr richtig, bzw. die Anwendung, die den Tunnel benötigt (von Routing habe ich leider keinen Plan...).


    - Ich habe auf der Arbeit keine statische IPv4-Adresse!


    - Meine bisherigen Recherchen und Versuche haben mich wie gesagt leider nicht ans Ziel geführt. Nun hoffe ich auf eure Hilfe und Tipps!




    Hier noch weitere gewünschte Infos:


    Provider:

    • Welcher Internet Provider ist im Einsatz?
      • Arbeit: Telekom, Zuhause Vodafone
    • Wird der Provider demnächst gewechselt?
      • Nein
    • Welche Anschlusstechnik liegt vor? (VDSL, VDSL2, LTE, Kabel, LWL usw.)
      • Arbeit (VDSL? gerade unsicher), Zuhause Kabel.
        Auf der Arbeit kommt bald Glasfaser inkl. neuem Modem!
    • Welche Anschlussbox kommt zum Einsatz? (Modem od. Router des Providers, Fritzbox, eigenes Gerät, Mietgerät, Versionsstand wenn bekannt)
      • an beiden Standorten Fritzbox
    • Welche IP Adressen werden vom Provider bereitgestellt? (Feste/dynamische IPV4 Adresse, feste/dynamische IPV6 Adresse)
      • nur dynamische!

    Hardware:

    • Welche Unifi-Hardware kommt zum Einsatz?
      • an beiden Standorten UCG Ultra

    VPN-Zugang:

    • Ist ein Zugang von außen (Internet) nach Innen (LAN) notwendig?
      • Ja...
    • Wird ein Filialkonzept benötigt (Site2Site-Verbindung)?
      • wünschenswert, jedoch steht primär der Use-Case im Fokus
    • Gibt es bereits ein DynDNS Konzept?
      • noch nicht...

    Telefonie:

    • Gibt es eine Telefonanlage?
      • Ja, an beiden Standorten über die Fritzbox. Muss leider beibehalten werden...

    Security:

    • Gibt es schützenswerte Bereiche?
      • Ja, auf dem Arbeits-PC sind sensible Daten!
    • Ist ein Zugriff auf das interne Netz aus dem Internet notwendig? - Wenn ja, auf welche Geräte/Netze?
      • Ja, eine Remote-Steuerung des Arbeits PCs ist notwendig! Aktuell gelöst über Chrome Remote Desktop

    Sonstiges:

    • privates Netzwerk / Firmen-Netzwerk?
      • gemischt
    • Verfügbarkeit (7x24 Stunden, USV ?)
      • beide 24/7 verfügbar
    • Skill Selbsteinschätzung (Anfänger, oberflächliches Fachwissen vorhanden, Netzwerkprofi)
      • oberflächliches Fachwissen

    Einmal editiert, zuletzt von Lokus ()

  • Immer diese Ärzte :grinning_squinting_face: :winking_face: behaupte ich mal aus dem Kontext.


    Du baust "einfach" eine Standort Vernetzung zwischen den 2 UCG auf und fertig. Site-to-Site VPN. Viel mehr ist es eigentlich nicht. Du brauchst halt daheim oder auf arbeit ein DynDNS Dienst (auf einer Seite reicht) und dann geht's schon los. Auf dem PC brauchst du kein zusätzliches VPN einrichten.


    DynDns ist halt das was du jetzt noch brauchst, dann kann es loslegen. Wo hast du deine Domain? Viele Domainanbieter bieten mittlerweilen so einen Dienst inklusive.


    Um es wirklich richtig zu machen solltest du dann per Firewallregeln einschränken was an Verkehr durchgehen darf, das Backup verschlüsseln und zusätzliche USB Festplatten für dein Offline Backup haben. Sonst stehst du bei einem Cryptotrojaner ohne Hosen da.


    Und dann noch die anderen tollen Punkte die zum Thema IT Security gehören im Gesundheitswesen ... aber das wären schonmal Grundlagen die immer da sein müssen.


    Ahh edit: Tschuldige, anständig lesen kann ich scheinbar um diese Uhrzeit nicht :frowning_face: Das du site-to-site brauchst ist dir schon bewusst...


    UniFi Gateway - Site-to-Site IPsec VPN
    IPsec is a Site-to-Site VPN that allows you to connect a UniFi gateway to a remote location. You can access it from Network Settings > Teleport & VPN. Refer to…
    help.ui.com

    UniFi Gateway - OpenVPN Site-to-Site
    OpenVPN is a Site-to-Site VPN that uses a 2048 bit static key for authentication. It can be configured in the VPN section of your Network application…
    help.ui.com

    das Einzige was am Ende zählt ist

    dass ihr lebt was ihr liebt und liebt wofür ihr lebt

    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96

    OMV NAS - NAS | Emby Server | LogitechMediaServer

    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer

    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security

    Loxone SmartHome

    3 Mal editiert, zuletzt von noobatpc ()

  • noobatpc

    Vielen Dank für die schnelle und hilfreiche Antwort!
    Haha, fast. Arzt bin ich nicht, aber Psychotherapeut. Das sind die, die selber n Hau haben.


    Mein Domain-Anbieter ist Wordpress.com. Leider haben die keinen DynDNS-Dienst. Ich habe mich aber schon einmal vor Jahren bei DuckDNS.org registriert. Sollte ja reichen, oder?


    Zunächst einmal nur zum VPN: Wenn ich also ein Site-to-Site-VPN über Unifi einrichte, muss ich dann noch Firewallregeln konfigurieren? Oder macht das der Controller vom UCG selber? Was ist mit der Fritzbox und der Windows-Firewall? Muss da was konfiguriert werden?

    Danke für die weiteren Sicherheitshinweise. Ich habe mich bereits von der IT-Beratung der KV beraten lassen und bin da gut im Bilde.

  • Aua, na nächstes mal Augen auf bei der Berufswahl :grinning_squinting_face: Wobei ... wer im Glashaus sitzt und so :grinning_squinting_face: Spaß beseite. KV ist da schonmal ein guter Ansprechpartner, die Jungs haben mittlerweile anständige Vorgaben. Wenn man sich daran wirklich hält, ist das Ganze ordentlich.


    Mit DuckDNS geht das natürlich auch, ja.

    Windows Firewall musst du normal nichts einstellen - je nachdem was du verstellt hast gegenüber dem Standard :winking_face:

    Wie hast du denn deine UCGs hinter der Fritze eingerichtet? Exposed Host oder einfach so dahinter geklemmt? Die Prots fürs VPN müssen halt auf die UCG kommen.

    das Einzige was am Ende zählt ist

    dass ihr lebt was ihr liebt und liebt wofür ihr lebt

    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96

    OMV NAS - NAS | Emby Server | LogitechMediaServer

    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer

    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security

    Loxone SmartHome

  • Alles klar, danke.


    Die UCGs sind unverändert hinter den Fritzboxen, wobei das NAT ausgestellt ist. In der Fritzbox habe ich eine statische ipv4-Route eingerichtet (siehe Screenshots). Die Fritzboxen sind aktuell exposed-hosts, was ich probeweiser bei meinen Versuchen eingestellt hatte und noch nicht wieder rückgängig gemacht habe.


  • Theoretisch kann man auch auf Arbeit im UCG einen Wireguard Client einrichten, der sich auf den UCG Wireguard Server verbindet. Site2Site ist für das Backup nicht nötig, da die Verbindungen ja sehr wahrscheinlich von der Backup Software von Synology zum NAS aufgebaut werden. Muss also nicht zwanghaft IPSec oder OpenVPN benutzt werden. Da in der Firma sensible Daten liegen, würde ich auch dafür sorgen, dass von Zuhause niemand in das Firmennetz kommt.

  • Ich bin gerade dabei eine Site-2-Site-Verbindung zu konfigurieren und habe beim UCG Zuhause DuckDNS (hoffentlich erfolgreich) konfiguriert.

    Nun will ich beim UCG Zuhause die korrekte Adresse im Feld "Remote-IP/Host" eingeben, weiß jedoch nicht, welche das genau ist. Das ist ja, wenn ich es richtig verstehe, die öffentliche IP des Remote-Netzes, also die des UCG Arbeit. Die ist ja aber dynamisch, bzw. hat meine Fritzbox ja die öffentliche, dynamische IP.

    Frage: Was muss ich in das Feld eintragen?


  • Danke für die Antwort, leider hilft mir das nicht weiter.
    Hab mir desec.io kurz angeschaut und verstehe nicht, was mir die Seite bringen soll.

    Das Problem ist ja, dass ich auf beiden Seiten eine dynamische IP habe. Zuhause habe ich wie gesagt DuckDNS konfiguriert, was ja funktioniere soll laut noobatpc

    Bräuchte ich nicht auch auf der Arbeit einen DynDNS-Dienst? Vorhin habe ich zudem gelesen, dass nur OpenVPN eine S2S-Verbindung mit dynamischen Adressen unterstützt...

  • Bei Site2Site mit IPSec musst Du auf beiden Seiten DDNS benutzen weil dynamische IPs. Das ging bis vor kurzem nicht mal.


    Also auf beiden Seiten DDNS Einrichten und jeweils den DDNS Hostnamen des entfernten Routers eintragen. Theoretisch kannst Du auch diesen myfritznamen verwenden ... außer das gibt IPv6 Fasching, das wird ja bei AVM glaube ich auch unterstützt.


    Hättest Du feste IPs, dann wäre es die WAN IP der Fritzbox, also die öffentliche IP der jeweils anderen Seite.