WireGuard-VPN-Server zu VPN-Client routen

Tilomaster · January 26, 2025 at 1:45 AM

Hallo zusammen,

ich habe ein Problem mit meiner UniFi Dream Machine Pro Max und hoffe, dass mir hier jemand helfen kann.

Setup:

VPN-Server: WireGuard läuft auf meinem Laptop, verbunden mit der UDM. Das VPN-Subnetz ist 192.168.2.0/24.
VPN-Client: Die UDM ist mit einem VPN-Provider (z.B.: NordVPN) über den integrierten VPN-Client verbunden.
Ziel ist es, den Datenverkehr vom WireGuard-VPN-Server über den VPN-Client der UDM zu meinem VPN-Provider zu routen.

Problem:

Ich bekomme es nicht hin, die Verbindung vom WireGuard-VPN Server über den VPN-Client der UDM aufzubauen.

Der Laptop ist erfolgreich mit dem WireGuard-VPN verbunden, und die UDM erkennt das Subnetz (192.168.2.0/24).
Der VPN-Client auf der UDM ist ebenfalls erfolgreich mit meinem VPN-Provider verbunden.
Der Traffic vom WireGuard-VPN wird aber nicht über den VPN-Client geroutet, sondern bleibt im normalen Netzwerk hängen bzw. er läuft über meine "normale" IP von meinem Internet Provider.

Bisher versucht:

Statische Route: Ich habe versucht, eine Route für das WireGuard-Subnetz (192.168.2.0/24) zum VPN-Client der UDM einzurichten. Leider scheint das nicht zu funktionieren, da ich das VPN-Subnetz in der GUI nicht als Quelle oder Ziel auswählen kann.
Firewall-Regeln: Ich habe Firewall-Regeln erstellt, um Traffic vom WireGuard-Subnetz (192.168.2.0/24) zum VPN-Client zu erlauben, aber auch hier ohne Erfolg.

Ziel:

Ich möchte den gesamten Datenverkehr vom Laptop (über WireGuard-VPN-Server) so routen, dass er über den VPN-Client der UDM (z.B. NordVPN) ins Internet geht.

Fragen:

Ist es überhaupt möglich, Traffic von einem VPN-Server (WireGuard) über den VPN-Client der UDM zu routen?
Muss ich eventuell zusätzliche Schritte in den Firewall-Regeln der UDM vornehmen, die ich übersehen habe?

Vielen Dank schon mal für eure Unterstützung!

Beste Grüße,

Tilo

der_Micha · August 26, 2025 at 3:03 PM

Hallo Tilo,

hast du für das Thema eine Lösung gefunden?

Gruß Michael

DoPe · August 26, 2025 at 3:22 PM

Ohne policy based routing für VPN Clients ist das nicht möglich (Denn nur so ist die ausgehende VPN ja überhaupt nutzbar). Wenn ich nicht irre ist da in der EA Version was in der mache. Ob das dann dafür taugt wird man sehen.

der_Micha · August 26, 2025 at 3:36 PM

Danke für die Info.

Dann heißt es also abwarten was da noch kommt.

Tilomaster · August 26, 2025 at 5:52 PM

Okay, sehr interresannt. Bis jetzt habe ich noch keine andere Lösong gefunden... Dann mal Augen offen halten.

DoPe · August 26, 2025 at 7:43 PM

Es gibt schlicht keine andere Lösung. Was nicht mittels policy based routing eine eigene routing table bekommt, nutzt den lokalen Internetanschluss als "Ausgang".

Bei policy based routing wird anders als beim klassischen routing, nach Source (entweder das Gerät hat eine separate routing table im router oder nicht) und nach Destination (also nach Ziel) über dieses oder jenes Inteface geroutet. Gut das es über die GUI geht, das kann schnell unübersichtlich werden. Hab sowas mal auf einem Edge in der CLI gemacht, einfach nur 2 VLANs auf 2 verschiedene WANs "verteilt". Da bekam man schnell einen Eindruck wieviel dafür schon nötig war.

tuxnet · August 27, 2025 at 5:49 AM

Habe ich das gerade richtig gelesen ?

Es ist jetzt bereits über gui der Unifi möglich ?

DoPe · August 27, 2025 at 4:19 PM

Quote from tuxnet

Habe ich das gerade richtig gelesen ?
Es ist jetzt bereits über gui der Unifi möglich ?

Was?

tuxnet · August 27, 2025 at 5:54 PM

Gut das es über die GUI geht, das kann schnell unübersichtlich werden.

DoPe · August 27, 2025 at 6:48 PM

policy based routing geht seit es existiert über die GUI ... so wie alles was man konfigurieren kann. Das ändert aber nichts daran, dass die VPN Clients dort nicht nutzbar sind.