Wireguard-VPN zwischen 2 UCG Ultra hinter jeweils einer Fritzbox

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Hallo,

    ich versuche 2 Standorte per VPN miteinander zu verbinden, um mit Home Assistant ein übergeordnetes System zu etablieren.

    Leider bekomme ich an einem der beiden Standorte keine nutzbare öffentliche IP.

    Derzeit läuft eine IPSec-Verbindung zwischen den Fritzen. Darüber kann ich auf die Netzwerkteilnehmer zugreifen, die direkt an den Fritzboxen hängen.

    Zukünftig möchte ich die Fritzen nur noch als Internet-Gateway nutzen.

    Bisher habe ich es geschafft, zwischen den beiden UCG Ultra eine WG-Verbindung (Client - Server) zum Laufen zu kriegen.

    Als nächstes habe ich versucht, aus einem VLAN am Client-UCG den Server-UCG anzupingen - leider bisher ohne Erfolg.

    Ping funkioniert noch bis zum VPN-Client. Den VPN-Server erreiche ich bereits nicht mehr.

    Ich habe schon diverse Richtlinien-basierte und statische Routen versucht. Laut aktiver Firewall-Regeln sollte eigentlich auch alles durchgehen (ich nutze bereits die Zonen-Firewall-Regeln).

    Vermutlich fehlen Einstellungen bezgl. NAT und Routing-Einstellungen - möglicherweise auch Firewall-Regeln.

    NAT habe ich global ausgeschaltet und nur für die VPN-Verbindung "Masquerade" aktiviert.

    Hier noch ein Schema, wie es ungefähr aussieht:

    Ich weiß, der VPN-Tunnel Wireguard geht natürlich via WAN-Ports über die Fritzboxen.

    Ich hoffe, dass mir jemand weiterhelfen kann, dass sich die Netze hinter den UCG's miteinander unterhalten können.

    Ist beim Wireguard Server in den Settings für den Client das Remotenetz eingetragen?

    Von Clientseit zu Serverseite sollte es per Default ohne Firewalling funktionieren. Für die Richtung Server zu Client muss die Firewall angepasst werden.

    Dann auf der Clientseite eine geeignete policy based routing Regel einrichten und das NAT für den Traffic des Wireguardtunnels aus.

    Super Zeichnung :thumbup:

    Danke für das Lob :). Als CAD-Zeichner geht sowas im Handumdrehen.

    Und Danke für die Hilfe.

    Es lag tatsächlich an den Settings für die Client-Remote-Netze beim WG-Server.

    Jetzt funktioniert ping von Client zu Server.

    Die Gegenrichtung kann ich zurzeit nicht testen, da am Server-UCG noch nichts dran hängt.

    Sobald ich es testen konnte, werde ich das hier ergänzen.

    Quote from DoPe

    Für die Richtung Server zu Client muss die Firewall angepasst werden.

    Dann auf der Clientseite eine geeignete policy based routing Regel einrichten und das NAT für den Traffic des Wireguardtunnels aus.

    Funktioniert leider von Server zu Client noch nicht. Policy based routing beim Client ist eingerichtet. NAT für den Tunnel von Client zu Server ist aus.

    Bei den Firewalls wüsste ich nicht, was dort eingestellt werden muss. Bei beiden Firewalls ist die Voreinstellung, dass von "intern" zu "VPN" und "VPN" zu "intern" alles zugelassen ist.

    Schau mal auf der Client Seite ... der VPN Client ist in der Zone External und nicht VPN!

    Du musst also auf der Client Seite in der Matrix bei External (links) - Internal (oben) Allow Regeln einfügen, die als Source die Gerätschaften/Netzwerke hinter dem VPN Server hat und als Destination dann eben die Gerätschaften/Netze hinter dem VPN Client. Das kann man sehr sehr filigran aufziehen. Die Source bitte wirklich entsprechend setzen und nicht einfach ANY nehmen, denn in External ist ja auch das Internet!

    Wenn Du Zugriff von der Serverseite aus auf das Unifi auf der Client Seite haben willst, dann ist das in der Matrix bei External (links) - Gateway (oben) entsprechend mit Regeln zu erlauben.

    Quote from DoPe

    Schau mal auf der Client Seite ... der VPN Client ist in der Zone External und nicht VPN!

    Das war der entscheidende Hinweis. Ich habe nicht damit gerechnet, dass der VPN-Client in der Zone Extern liegt.

    Natürliche schränke ich die Firewall-Regeln von Extern nach Intern ein, so weit es geht.

    Auf jeden Fall funktioniert jetzt die Kommunikation in beide Richtungen.

    Vielen Dank für dein Hilfe

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login