WireGuard auf der UDM-PRO läuft, aber ich komme nicht auf Geräte oder Webdienste im privaten Netzwerk

Dürfte am Wireguard Config File liegen.

Poste mal bitte dein Config File, am besten oben in der blauen Zeile auf Code und in diesem Feld dein Config File per Copy/Paste.

Wichtig: Bitte Public IP und Key durch Xen oder die Einträge löschen, sonst könnte es jemand nutzen um bei dir vorbei zu schauen.

Schaut dann so aus

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxx
Address = 192.168.3.2/32
DNS = 192.168.3.1

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxx
PresharedKey = xxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.1/32,192.168.3.2/32,0.0.0.0/0
Endpoint = xxxxxxxxxxxxxx
PersistentKeepalive = 25

Wichtig ist die Zeile AllowedIPs, hinten das 0.0.0.0/0 sollte eigentlich alle internen Netzwerke zulassen, du kannst natürlich auch nur bestimmte IP zulassen ist zB dein NAS bei 192.168.100.100 kannst du mit /32 genau nur diese IP durchlassen oder /24 den kompletten Bereich 192.168.100.0/24.

Gib mal, per Komma getrennt, explizit dienen Netzwerkbereich ein, am ende mit /24.

Es könnte aber auch sein das die NAS Firewall dein VPN Netzwerk nicht kennt und oder akzeptiert, in dem Fall in der NAS Firewall das IP Netz deines Wireguard LAN freigeben.

Andere Möglichkeit, im Unifi Controller (am besten neuste Version mit migrierter Firewall zur neuen Zone Based Firewall) unter Einstellungen und Sicherheit mal die "Zone Matrix" anschauen und dort sollte in der Tabelle "Quelle VPN" "Ziel Intern" es Grün sein und "Allow All" dort stehen, regeln hinterlegt sein oder Rot "Block All", bei letzteren ist klar warum nix geht und du musst was an der FW einstellen

Das Wireguard VPN arbeitet in einem anderen Subnetz, wie in meinem Beispiel oben in 192.168.3.x (das vergibt die UDM automatisch), dieses Netzwerk aber kennt die FW deines NAS nicht und wird es deshalb blockieren, daher am besten mal in die FW Einstellungen deines NAS gucken.

Okay der Endpoint ist nicht korrekt, das ist zwar die WAN IP deiner UDM aber nicht die öffentliche IP.

Wenn du über die Fritzbox einen myfritz Zugang mit XYZ.myfritz.net hast kommt das als Endpoint rein natürlich mit Portnummer.

Hast du einen anderen DynDNS kommt das dort rein oder aber deine feste öffentlich IP soweit du eine hast.

Weiterhin sollte Wireguard der Fritzbox deaktiviert sein und trotz exposed Host deinen WG Port von der Fritzbox an die WAN IP deiner UDM weiterleiten.

Wahrscheinlich bist du per WLAN oder LAN im eigenen Netz unterwegs.

Nimm mal dein Smartphone und schalte WLAN aus und aktiviere dann mal Wireguard.

Die UDM hinter zB einer Fritzbox kennt die öffentlich IP nicht und nimmt daher die ihm zugeteilten WAN IP und trägt diese ins Config File ein.

Starte die UDM mal komplett neu, hat schon Wunder vollbracht.

Hast du in der UDM das NAT zufälligerweise abgeschaltet und vergessen das 192.168.3.0/24 Netz zu Routen?

Unifi Identity ist doch viel einfacher ohne Konfiguration. Schon probiert ?

Bisschen versteckt aber läuft safe und dauerhaft.

Quote from tomtim

Unifi Identity ist doch viel einfacher ohne Konfiguration. Schon probiert ?

Bisschen versteckt aber läuft safe und dauerhaft.

Das gibt's bestimmt nur für die neuen Gateways, nicht mehr für's (große) USG, oder?