IPsec, OpenVPN, Wireguard ... kenne ich nicht mit 2FA ... Teleport?!? Kann ich nicht sagen ob da was mit 2FA geht - wahrscheinlich nicht.
Die Gateways können auch praktisch Failover oder Load Balancing ... demnächst (ist doch noch beta?!?) sogar noch mehr Anschlüsse. Die VPN Server werden fest auf einen WAN konfiguriert, da ist eingehend nicht viel mit Failover. Ausgehend kann das anders aussehen - je nach VPN. DYNDNS hilft da auch nicht ... Du kannst nicht einen dyndns host gleichzeitig auf 2 verschiedene dynamische IPs zeigen lassen, außerdem aktualisiert Unifi den dns nur, wenn die IP auf dem Gerät sich ändert. Es wird also nicht geprüft ob der host von was auch immer anders aktualisiert wurde in der Zwischenzeit. Und wenn sich das nicht geändert hat, dann kannst Du einen DDNS Anbieter auch nur einmal konfigurieren.
Ich denke mal, mit Deinen Wünschen wirst Du im Hochpreissegment suchen müssen oder vielleicht geht das mit pfSense/OPNsense.
Mit opnSense geht das. Dort kann man mehrere DynDNS einrichten. Ich habe je WAN eines. Wireguard lauscht dann auf beiden WANs.
MFA hast Du für die Wireguard Verbindung an sich nicht. Könntest das dann auf dem Server einrichten, auf welchen Du von Außen zugreifst.
OK, wenn Du das Passwort in der Wireguard App nicht speicherst, hast Du da quasi einen zweiten Faktor.
Mit opnSense geht das. Dort kann man mehrere DynDNS einrichten. Ich habe je WAN eines.
Das kann Unifi auch, ich glaube, DoPe wollte auf etwas anderes hinaus. Es hilft nicht viel, wenn ein VPN-Server auf zwei unterschiedlichen Adressen / DnyDNS-Namen erreichbar ist, solange man dem Client nicht beibringen kann, dass er Variante 2 probieren soll, falls über Variante 1 keine Verbindung zustande kommt. Per Hand geht so etwas natürlich, aber automatisierbar ist es aktuell sicherlich nicht.
Nein, automatisiert nicht. Ich habe am Handy einfach mehrere Einträge in WG Tunnel.
Ja das zum einen, aber bei Unifi konnte man früher zumindest, nichtmal dyndns.org auf beiden WANs nutzen. Also weder mit einem hostnamen noch mit verschiedenen. Ich hab auch 2 verschiedene ddns Dienste auf einem WAN nutzen müssen für ipv4 und ipv6 getrennt.
Bei festen IPs könnte man natürlich einen dns Namen auf beide IPs zeigen lassen... aber ist dann Zufall welche genommen wird. Also im Normalfall unkoordinierter Zugriff im Fehlerfall ein Griff ins Klo weil ausgefallener Anschluss benutz werden könnte.
Was gehen könnte, da Wireguard ja "roaming" macht, wenn der Wireguardclient der UDM ausgehend das failover mitmacht... eine Verbindung zu nem VPS für alle und immer.
Failover VPN habe ich bei einem meiner Kunden wie folgt gelöst:
Das UniFi Gateway hat 2 x WAN.
Einmal einen DSL Anschluss mit fester IP, einmal einen günstigen Privatvertrag ohne feste IP.
Den Anschluss mit fester IP löst die IP über eine Subdomain auf. Der günstige Privatkundenanschluss wird über dyndns von ipv64.net aufgelöst.
IPv64.net hat für UniFi auch eine Anleitung auf der Webseite.
VPN wird von einer OPNsense übernommen. D.h. das UniFi Gateway leitet den Port XY von WAN1 und WAN2 auf die OPNsense weiter.
Die OPNvpn Konfiguration für die Clients musste ich ändern.
Wenn die Verbindung über den ersten Eintrag verloren geht, stellt der Client nach 60 Sekunden über den zweiten Eintrag die VPN Verbindung her.
Eine andere Lösung mit UniFi gibt es meiner Meinung nach nicht. Der eingebaute VPN Server im Gateway kann nur WAN1 oder WAN2.
2FA geht mit OPNsense auch. Mit UniFi nicht.
remote vpn.xyz.de 11111 udp
remote xyz.ipv64.de 11111 udp
resolv-retry 60Don’t have an account yet? Register yourself now and be a part of our community!