WireGuard Zugriff auf eigene Zone bei ZoneBased FW nicht möglich

    Hallo zusammen,

    ich bin neu hier und beim Thema Unifi!

    Ich habe eine UDM-SE und unter der ZoneBased FW eigene Zonen eingerichtet. Ich habe ebenfalls einen WG-Server eingerichtet und der Zugriff mit den Clients auf das VPN funktioniert. Beim Einrichten von eigenen Zonen ist der gesamte Traffic von und in Richtung VPN geblockt. Da ich den Zugang auf eine komplette Zone freigeben möchte war ich davon ausgegangen, dass es ausreichend ist eine Regel zu erstellen, die dem VPN freien Zugang auf diese Zone ermöglicht. D.h. von VPN als Source gestartet habe ich lediglich "Zulassen und Allow Return Traffic" aktiviert und bei Destination die entsprechende Zone ausgewählt. Ein Zugriff auf diese Zone funktioniert aber trotzdem nicht.

    Hat jemand einen Denkanstoss für mich? Welche Einstellungen müssen möglicherweise noch gemacht werden.

    Da das Netzwerk "neu" aufgesetzt ist, gibt es aktuell keine Regeln ausser den Standard, welchen Unifi von Hause aus setzt.


    Danke für eure Hilfe!

    Moin,

    Erste Frage:

    Quote from hickorywind

    lediglich "Zulassen und Allow Return Traffic" aktiviert und bei Destination die entsprechende Zone ausgewählt. Ein Zugriff auf diese Zone funktioniert aber trotzdem nicht.

    Das könnte man lesen als wenn du due Regeln nicht auf ALLOW gesetzt hast sonder das Block noch angeharkt ist.
    zeig mal genau was du eingestellt hast.

    Zweite:
    Deine Reglen ist auch OBERHALB der vorgegebenen Block Regel ? Bitte dran denken Regeln werden von oben nach unten
    bearbeitet. Erster Treffer zählt rest wird ignoriert..

    Dritte:
    Das Vlan in der Zone ist nicht was mit Isoliert oder dergleichen ?

    Quote from gierig

    Moin,

    Erste Frage:

    Das könnte man lesen als wenn du due Regeln nicht auf ALLOW gesetzt hast sonder das Block noch angeharkt ist.
    zeig mal genau was du eingestellt hast.

    Leider nein, steht auf ALLOW und RETURN TRAFFIC ist aktiviert

    Quote from gierig

    Zweite:
    Deine Reglen ist auch OBERHALB der vorgegebenen Block Regel ? Bitte dran denken Regeln werden von oben nach unten
    bearbeitet. Erster Treffer zählt rest wird ignoriert..

    Wenn ich die entsprechenden Policies für diesen Bereich aufrufe, steht die Erlauben-Regel an erster Stelle gefolgt von der Block-Regel.(aktuell gibt es dort auch nur die beiden). Über alle Regeln betrachtet kommen die ALLOW-Regeln vor den Block-Regeln

    Quote from gierig

    Dritte:
    Das Vlan in der Zone ist nicht was mit Isoliert oder dergleichen ?

    Auch das ist nicht der Fall, die in der Zone befindlichen VLANs sind alle NICHT Isoliert.

    Soweit hatte ich das schon verstanden, aktuell wüsste ich nicht was ich mehr "öffnen" könnte als die ganze Zone in dem ich alle Einstellungen ausser ALLOW und Returntraffic unangetastet lasse....

    Quote from Networker

    Ganz andere Stoßrichtung: Sind die Netze, die Du hinter dem VPN erreichen willst, korrekt in der Konfiguration des Clients eingetragen? Stichwort: "Allowed IPs".

    An welcher Stelle kann ich das prüfen? Ich habe unter VPN einen WireGuard-Server eingerichtet und die Clients die Zugang haben sollen dort eingebunden.

    An welcher Stelle müsste ich nun die Netze angeben? Ich bin davon ausgegangen, dass ich eben solche Freigaben über die ZBFW mache....

    Du sagst ja nicht, was für Clients es konkret sind, aber unter Windows klickst Du in der Wireguard-UI einfach für die entsprechende Verbindung auf "Bearbeiten". Unter anderen Betriebssystemen funktioniert es ähnlich.

    Freigaben in der Firewall benötigst Du nur dann, wenn Du die Zonen (und ggf. einzelnen Netze) grundsätzlich schon gegeneinander abgeschottet hast. Ansonsten dürfen RFC1918-Netze frei miteinander kommunizieren.

    Also, neuer Status! Ich habe gerade die Einstellungen gecheckt und festgestellt, das in der WireGuard App der Endpunkte korrekter Weise auf die IP des WANs läuft, demnach also dynamisch ist! Folglich geht nun das Ganze wenn der Endpunkt passt.

    Jetzt die Frage wie ich sicherstellen kann das der Endpunkt immer der aktuellen WAN-IP entspricht. In den VPN-Server Einstellungen gibt es eine Option, welche die eine IP-Adresse anfordert. Wäre die Frage welche wird benötigt und ist das der richtige Weg?

    Quote from hickorywind

    Jetzt die Frage wie ich sicherstellen kann das der Endpunkt immer der aktuellen WAN-IP entspricht. In den VPN-Server Einstellungen gibt es eine Option, welche die eine IP-Adresse anfordert. Wäre die Frage welche wird benötigt und ist das der richtige Weg?

    Dafür gibt es Dyndns. Ist jetzt allerdings ein ganz anders Feld als Dein ursprüngliches Anliegen.

    Es könnte natürlich sein, dass Du in die Anzeige-Falle von Wireguard gestolpert bist und fälschlicherweise annahmst, der Tunnel wäre aufgebaut. Das passiert vielen und ist leider auch nicht gut gelöst im Wireguard-Client. Eine Verbindung ist erst dann wirklich aufgebaut, wenn im #up- sowie im Downstream Daten fließen (zeigt der Client an).

    ja korrekt, also Fakt ist, das die Verbindung bis in die Zonen funktioniert, wenn die WAN IP passt. Entsprechende Daten kann ich in der WG-App "fließen" sehen.

    DYNDNS ist auf der UDM eingerichtet und funktioniert auch. Das ist sichergestellt.

    In der Unifi VPN Konfiguration kann ein HOST eingestellt werden, der dann in der Konfigurationsdatei mit hinterlegt wird. Der funktionierende Hostname von DynDNS funktioniert aber komischerweise nicht, wenn ich diesen hinterlege. Eigentlich auch kein Wunder, da ich keine Zugangsdaten mitgeben kann... Hab ich zumindestens noch nicht gefunden....

    GELÖST....

    Edited once, last by hickorywind: GELÖST... (April 24, 2025 at 5:20 PM).

    Quote from hickorywind

    Der funktionierende Hostname von DynDNS funktioniert aber komischerweise nicht, wenn ich diesen hinterlege. Eigentlich auch kein Wunder, da ich keine Zugangsdaten mitgeben kann... Hab ich zumindestens noch nicht gefunden....

    Das klingt ein Wenig wirr.

    In der VPN Server vonfig kannst du einen DNS Namen hinterlegen.

    Wie der DNS auf deine WAN IP kommt ist völlig unwichitg. Ob das nun der DDNS der UDM ist oder was anders ist egal. Da ist einfach nur der zu nutzende DNS name.

    in der Peer Config des Clients ist dann halt der Endpoint der DNS name statt der Nackten IP.

    Code
    [Peer]
# Name: Lisa via Unifi
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Endpoint = gierig.xxxxxxxxx.net:xxxx
PersistentKeepalive = 30
AllowedIPs = 10.99.0.0/24, 192.168.1.0/24, 10.0.0.0/16, 217.0.0.0/16

    Das geht auch von Hand ohne das der in der Server Config Hinterlegt ist...

    Das einzige was noch sein kann das der Client nicht Periodisch schaut ob sich die IP ändert. Das kommt aber auch den Cleint an (für Linux Basiereden gibt extra nen Updatescript weil der nackte WG das nicht selber macht.)

    An irgendeiner Stelle verstehst Du glaube ich etwas falsch, jedenfalls kann ich Dir nur bedingt folgen. Die VPN-Konfiguration hat nicht mit Zugangsdaten für ein Dyndns zu tun, das sind zwei völlig verschiedene Dinge. Zugangsdaten für Dyndns hinterlegst Du in der UDM und nur dort.

    Als Ziel in der Konfigurationsdatei für jeden Wireguard-Client muss schlicht und einfach die Dyndns-Adresse anstelle der (dynamischen) IPv4-Adresse stehen. Dies gilt für sämtliche VPN-Protokolle.


    EDIT: Geantwortet ohne die Seite neu zu laden, daher Überschneidung mit gierig

    Danke für eure Hilfe und Mühe. Wir haben uns da schon richtig verstanden, und es funktioniert nun mittlerweile auch nicht anders als ihr es beschrieben habt. ich habs auch gleich in der Peer geändert. War halt leicht gefrustet, weil irgendwie nunmal garnichts laufen wollte. Danke nochmal für eure Anstöße!!

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login