VPN-Verbindungsproblem zu benutzerdefiniertem VLAN an einem anderen Standort über Site-Magic VPN

    Ich betreibe eine UDM SE an meinem Hauptstandort und eine UDR 7 an meinem zweiten Standort. Beide sind über eine Site-Magic (Hub-and-Spoke)-Konfiguration verbunden, was soweit funktioniert. VLAN 1 auf der UDM SE sowie VLANs 1 und 1640 sind für das VPN konfiguriert:

    wie man sieht, hat meine UDM SE eine Internetverbindung mit einer statischen, öffentlichen IP-Adresse, während meine UDR 7 hinter einem NAT-Gerät sitzt (ein 5G-Router, der seine öffentliche IP-Adresse periodisch ändert).


    ich habe an beiden Standorten drei VLANs eingerichtet, um IoT- und Gastgeräte zu trennen:

    UDM SE:

    UDR 7:


    ich verwende die zonebased Firewall und habe den IoT-Verkehr an beiden Standorten getrennt (dieser Screenshot stammt von der UDM SE und sieht auf der UDR 7 sinngemäß gleich aus):


    die Firewall-Regeln an beiden Standorten:

    • Internal -> Untrusted: all traffic allowed
    • Internal -> VPN: all traffic allowed
    • Untrusted -> Internal: all RETURN traffic allowed (zusätzlich gibt es auf der UDM SE einige Firewall-Regeln, die IoT-Geräten Verbindungen zu meiner Home Assistant-Box erlauben, die sich im VLAN 1 der UDM SE befindet)
    • Untrusted -> VPN: all RETURN traffic allowed

    auch dir Routing-Table schaut für mich gut aus:


    alles funktioniert perfekt an meinem Hauptstandort mit der UDM SE. Nun möchte ich jedoch einige IoT-Geräte im VLAN 1640 (Untrusted-Zone auf der UDR 7) über VPN mit meiner Home Assistant-Box im VLAN 1 auf der UDM SE verbinden – und das funktioniert nicht. 🤨

    ich habe seit gestern verschiedene Dinge ausprobiert und habe keine Ahnung, was ich als Nächstes tun soll.

    Hier sind die Testergebnisse bisher:

    ✅ Ping von VLAN 1 auf der UDM SE zur IP-Adresse der UDR 7 (über VPN): ok

    ✅ Ping von VLAN 1 auf der UDM SE zu einem Gerät in VLAN 1 auf der UDR 7 (über VPN): ok

    ✅ Ping von VLAN 1 auf der UDR 7 zu einem Gerät in VLAN 1640 (Untrusted-Zone auf der UDR 7): ok

    ✅ Ping von VLAN 1 auf der UDR 7 zur IP-Adresse der UDM SE (über VPN): ok

    ✅ Ping von VLAN 1 auf der UDM SE zu einem Gerät in VLAN 1 auf der UDM SE (über VPN): ok

    ❌ Ping von VLAN 1 auf der UDM SE zu einem Gerät in VLAN 1640 auf der UDR 7 (über VPN in Untrusted-Zone): error


    hat jemand eine Idee, was das Problem sein könnte? Vielen Dank im Voraus! 🙏

    Edited 3 times, last by gekap67 (April 4, 2025 at 10:11 AM).

    Was ist denn in der Zone VPN -> untrusted drin?!? Du kommst ja praktisch für eine neue Verbindung aus der VPN und willst ins Untrusted auf der anderen Seite. Die Rückrichtung für den Antwort Traffic hast Du ja in Untrusted -> VPN erlaubt, aber darf in die andere Richtung überhaupt eine neue Verbindung initialisiert werden?!?

    Pings auf IPs der UDM bzw. UDR sind nicht aussagekräftig. Diese befinden sich in der Zone Gateway (auch wenn die IPs zu einem Netz gehören, welches ja in einer anderen Zone liegt).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login