Mesh & Internet über zweite Site

    Hallo,

    ich habe Site Magic/Mesh eingerichtet mit zwei CGU's. Alles klappt prima, nachdem update der Konsolen und der Netzwerk App. Ich kann Geräte auf der jeweils anderen Seite erreichen.

    Vorher hatte ich jeweils einen OpenVPN Server und Client zur jeweils anderen Site aktiv, plus ein policy based routing zur jeweils anderen Seite über den OpenVPN Client für bestimmte Geräte, eigentlich nur meine Smartphones und PC's an den ich arbeite, mit dem fast gleichen Ergebnis. Fast deshalb, weil ich ein Paar Geräte auf der Site 2 nicht erreichen konnte (ein Switch und die zwei Einheiten einer Hik Vision Sprechanlage). Keine Ahnung warum.

    Das Problem ist nun gelöst.

    Jetzt kommt die eigentliche Frage:

    Ich möchte, dass bestimmte Geräte (PC's, Smartphones) über die jeweils andere Seite ins Internet gehen. Vorher ging das über eine Policy based Routing und dem OpenVPN Client als Interface zur anderen Seite. Doch wenn ich das tue, habe ich wieder keine Zugriff auf die oben genannten 3 Geräte! Wenn ich auf beiden Seiten die OpenVPN Clients mit den Servern auf der jeweils anderen Seite verbinde, meine ich gibt es mehr Unstimmigkeiten im Netz mit dem Mesh.

    Wenn ich eine Policy Based Routing ohne den OpenVPN Client machen möchte, finde ich über Mesh nicht die andere CGU als Interface um All trafic der gewählten egräte darüber ins internet gehen zu lassen.


    Wie kann es also ohne den OpenVPN Client, nur via Mesh zur anderen Site die I-Net Verbindung für mache Geräte über die zweite Seite routen?

    Vielen Dank!

    Edited once, last by Tim99 (January 8, 2025 at 12:03 PM).

    Ich habe vom Support die Antwort bekommen, dass es unter keine Umständen möglich ist, den I-net Traffic über die andere Seite zu routen.

    Interessante Aussage: Denn es ging wenn ich kein Site Magic eingerichtet hatte, wie oben beschrieben über OpenVPN C/S gegenseitig.

    Doch nach dem Update der Console und der Netzwerk App auf 4.1.13 bzw. 9.0.108 geht das auch nicht mehr. Bzw, nach einer gewissen Zeit können Geräte über WAN nicht ins Internet, dafür aber über einen VPN Provider via PB Routing!

    Ist keine Netzwerker da, der helfen kann? Das muss mit dem Routing bzw IP Ranges zu tun haben denke ich.

    Grüße

    Willkommen im Club - stehe vor gleicher Herausforderung. Siehe Site Magic WAN Konsolidierung - UniFi OS Consoles [UDM | PRO | SE | UDR | Express | UCG Ultra] - ubiquiti - Deutsches Fan Forum

    Policy Based Routing geht nicht mit den Interfaces fürs Site Magic, einzige Lösung: VPN-Server und Client einrichten.

    Möchtest du bloß, dass bestimmte Geräte auf Site A über WAN Site B ans Netz gehen reicht es VPN-Server auf Site B und dementsprechend VPN-Client auf Site A einzurichten.

    Soll zusätzlich auch der umgekehrte Fall möglich sein (Geräte an Site B mit Zugriff aufs Internet via WAN Site A), muss entsprechend VPN-Server auf Site A und VPN-Client auf Site B eingerichtet werden.

    Anstelle von OpenVPN auch mal WireGuard ausprobieren - damit läuft es bei mir grundsätzlich, fehlt nur noch Konfiguration, dass das auch mit IPv6 läuft. Dies ist deshalb relevant, da ich Policy Based Routing via DNS einrichten möchte und wenn eine Adresse mit IPv6 aufgelöst wird, erfolgt der WAN-Zugriff direkt. In deinem Fall ist der Aufwand ggf. geringer, da du nicht nur einzelne Ziele sondern den Gesamten Internetzugriff nur für bestimmte Geräte über die andere Site umsetzen willst.

    Hi Simsis,

    Danke für die Aufnahme in den Club

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    .

    ich hatte die OpenVPN Client/ Server Lösung im Betrieb, bis zu den Updates. Nach dem Update ist diese Lösung buggy. Ich kann es nicht einordnen woran es liegt, auch ohne das Site Magic aktiv ist. Neben der Tatsache, dass ich auf ein Paar Geräte auf der anderen Seite nicht zugreifen kann (Switch und Indoor outdoor Station alles nicht Ubiquity), was aber verkraftbar wäre, geht die reguläre WAN Verbindung immer wieder flöten. Über einen NordVPN Client geroutet läuft alles. Das will ich aber auch nicht, denn nicht alles soll über NordVPN.

    WG hatte ich gleich am Anfang probiert und es lieft nicht. Irgendwann gab ich auf.

    Ideal wäre eine bidirektionale connection. Ich kann aber auch mit einer Richtung leben, so dass ich das immer ändere, je nachdem wo ich bin.

    Den Link habe ich noch nicht gelesen.

    Edit: Kannst du mir bitte die Config erläutern, wie ich die zwei Seiten mit WG C/S jeweils connecten kann? IPv6 nutze ich nicht.

    Ich habe mir damals dieses Video angeschaut:

    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    .

    Der erzählt aber nur die Hälfte, und mein Herumprobieren hat damals nichts gebracht. Kenne mich mit WG nicht aus.

    Vielen Danke und schöne Grüße

    Edited 3 times, last by Tim99 (January 13, 2025 at 1:33 PM).

    Folgendes funktioniert bei mir seit einer Stunde (also immer noch auf Bewehrung

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    )

    IPsec S2S mit dem Tunnel 172.16.0/24

    S1 192.168.0.0/24

    S2 10.220.0.0/24

    Auf beiden Seiten erscheint nun der IPsec Tunnel als interface.

    Man kann mit einem policy based routing bestimmte Geräte über die jeweils andere Seite ins I-net routen (all trafic).

    Der kleine Haken: Es funktioniert nur jeweils in eine Richtung. Für mich aber ausreichend.

    Ist im Endeffekt genau was ich meinte - offenbar geht es nun auch mit manuellem Site2Site VPN.

    Eventuell musst du noch Firewall-Regeln hinterlegen. Wenn nur IPv4 benötigt wird, erleichtert es die Sache sehr.

    Habe mich bisher noch nicht im Detail mit der Materie beschäftigt, kann also nicht so sehr ins Detail gehen.

    Basierend von meiner Testkonfiguration (Site B soll die Möglichkeit haben via Policy Based Routing über Site A ins Internet zu kommunizieren) wird auf Site A ein VPN-Server konfiguriert und auf Site B ein VPN-Client.

    Beim Einrichten des Servers bekommst du eine Config-Datei die du dann auf der anderen Seite beim Einrichten des VPN-Clients hochladen kannst.

    Standardmäßig ist dann die Zieladresse des VPN-Clients die Public-IP des VPN-Servers, was bei mir wg. statischer IP unkritisch ist. Bei dynamischer IP muss erstmal DynDNS laufen und die Konfig-Datei muss angepasst oder der VPN-Client manuell eingerichtet werden und als Server Address die Dyn-DNS Adresse des VPN-Servers hinterlegt werden.

    Ansonsten hat sich mit den verschiedenen Updates einiges getan, würde also durchaus nochmal mit Wireguard testen (wesentlich performanter als OpenVPN).

    Empfehle dazu auch, dass für die reine Verbindung zwischen den Standorten SiteMagic eingerichtet wird - die Logik dahinter ist, dass man zwischen den Sites auf die jeweiligen Netze zugreifen kann so als befänden sich diese an einem einzigen Standort. Sprich SiteMagic ist für die interne bzw. private Verbindung der Netzwerke und nicht für den öffentlichen Zugriff nach draußen.

    Zusätzlich dann VPN-Server und Client - also auf beiden Standorten VPN-Server aktivieren und auf der jeweils anderen VPN-Client zur Herstellung der Verbindung separat zu Site-Magic. Initial läuft dann erstmal nichts durch diese Tunnel, sondern erst wenn man über Policy Based Routing dazu auffordert. Dann kannst du auf beiden Seiten jeweils einstellen, welche Clients generell oder nur für bestimmte Ziele dann den Tunnel nutzen sollen. Hier kann es dann je nach vorhandenen Firewall-Regeln nötig sein, nochmal explizit zu erlauben, dass Zugriff aus dem VPN-Tunnel ins Internet dürfen (standardmäßig ist das nicht eingeschränkt).

    Sowohl Site Magic als auch das manuelle S2S mit WG und OpenVPN gingen nur eben nicht mehr in Kombination mit C/S und PBR mancher Geräte über die andere Site ins I-net. Es führte zu UNterbrechungen der Clients die üner die WAN ins I-Net gehen sollten. Selbst eine neue PBR des default Netzes über WAN (eigentlich unnötig) hat nichts gebracht.

    Da es derzeit läuft, lasse ich das mal so. IPsec ist ja stabil und schnell und OpenVPN in eine Richtung geht auch ohne Probleme. Ich werde das mal mit WG testen, aber eine große Motivation habe ich nicht. Zumal der Support sagt, das würde nicht gehen. Also hoffe ich, dass die durch Updates es nicht noch für IPsec irgendwie killen. Jedenfalls habe ich das automatische Updaten ausgemacht.

    Update: Mit OpenVPN geht es nicht (mehr?). Dafür jetzt mit Wireguard. Verstehe wer will, was Ubiquiti hier macht.

    Also

    Site Magic plus WG Client auf A und Server auf B mit dediziertem User verbinden und man kann per policy based routing trafic von A über B ins Internet schicken.

    Wie schon beschrieben, brauche ich das nur jeweils in eine Richtung. Ob es in beide gleichzeitig geht habe ich nicht ausprobiert.

    Quote from Tim99

    Verstehe wer will, was Ubiquiti hier macht.

    Frage ich mich seit Inbetriebnahme des ersten von zwei Netzen mit Unifi-Hardware regelmäßig

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Speziell für SiteMagic kann es nach den verschiedenen Updates helfen, erstmal alles zu löschen - einschl. Firewallregeln (speziell durch die Umstellung auf die zonenbasierte Firewall) und nochmal neu einzurichten (kein Werksreset sondern bloß benutzerdefinierte Firewallregeln und VPN-Einstellungen)

    Grundsätzlich ist Wireguard nochmal um einiges performanter als OpenVPN (zumindest in den typischen Anwendungsfällen - konnte ich auch zuvor in Versuchen mit Fritz!Box lang bevor ich Ubiquiti überhaupt kannte feststellen).

    Wie beschrieben für rein internen Zugriff (im Sinne von Zugriff auf lokale Hardware an mindestens zwei verschiedenen Standorten) reicht SiteMagic - möchte man nach draußen wird nochmal ein separater Tunnel benötigt um Policy Based Routing einzurichten.

    Zwei separate Tunnel (bi-Direktional) werden nur benötigt wenn Clients an Site A über Site B und umgekehrt Clients an Site B über Site A ins Internet sollen. Ansonsten reicht eben bloß wie bei dir nun der Fall ein Tunnel.

    WG hat bei mir am Anfang nicht geklappt, hatte es ja versucht, gerade wegen der Performance.

    Dann dachte ich mir, wenn's mit OpenVPN läuft, dann ist das ok.

    Danke für den Tipp mit dem neu Konfigurieren der VPN nach Updates.

    Eigene FW Regeln habe ich (noch?) nicht. Will auch keine haben. Auf meiner Maslowschen Pyramide ganz oben steht nicht, Router konfigurieren

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    .

    Alles in Allem doch ganz gute Lösungen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login