Site Magic: Kann nicht auf alle IPs im Gastnetz zugreifen, insbesonder nicht auf Proxmox

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Hallo und zunächst herzlichen Willkommen an mich bei Euch im Forum !! Grüße an Alle :):):):):)!!

    Ich habe folgendes Problem und muss dazu sagen, dass ich kein VPN Profi bin.

    Ich habe in meiner Firma eine UDM Pro Max und dort u.a. einen Proxmox Server. Daheim hab ich eine UDM Pro, auch einen privaten Proxmox (mit aber unterschiedlichem Inhalt, ist eher zufällig).

    Wenn ich von daheim mit Site Magic (Mesh) eine Verbindung zur Firma habe, dann kann ich problemlos von daheim in der Firma drucken und auch alles Pingen, mit zwei Ausnahmen: den Raspi und den Proxmox Server.

    Obwohl von daheim fast alles remote im Geschäft funktioniert, klappt der Zugriff auf diese zwei Instanzen (Proxmox und ein Raspi) in der Firma nicht und ich habe keine Ahnung, wie ich das beheben soll. Nutze ich einen OpenVPN Zugang, habe ich dasselbe Thema. Wenn ich Teleport nutze, dann klappt alles in beide Richtungen. Also denke ich, dass es an irgendwelchen notwendigen Einstellungen in der Firewall oder sonstigen Regeln liegen muss, aber ich weiß nicht an welchen.


    Kennt jemand von Euch das Problem und hat eine Lösung ??


    Herzlichen Dank vorab !!

    Gruß

    Scheki

    Hallo und auch von mir nochmal ein herzliches Willkommen an Dich. ;)

    Der klassische Fall wäre, dass auf den problematischen Geräten lokale Firewalls laufen, die Anfragen aus anderen Netzen pauschal verwerfen. Du müsstest hier demnach Regeln erstellen, die den Zugriff aus dem VPN-Netz zulassen.

    Etwas merkwürdig finde ich zwar, dass es über Teleport klappt, aber ich kenne Teleport auch nur flüchtig aus der ganz kurzen Übergangsphase, als Ubiquiti Wireguard noch nicht wirklich richtig implementiert hatte (Teleport sollte technisch auf Wireguard basieren). Wenn Du über Teleport eine IP-Adresse aus dem Subnetz von Proxmox-Server und RasPi bekommst, wäre dies jedenfalls eine schlüssige Erklärung.

    Hey Networker,

    vielen Dank, das klingt sehr logisch !!! Dann hake ich da mal bei unserem IT Dienstleister nach, der die Proxmox VM installiert hat. Denkst Du, dass ich mit einer reinen Wireguard VM dann auch erfolgreich wäre ? Was mir halt gefällt an Site Magic ist, dass ich nicht irgendeinen VPN auf dem MacBook starten muss , um in der Firma nach dem rechten zu sehen.

    Quote from Scheki

    Denkst Du, dass ich mit einer reinen Wireguard VM dann auch erfolgreich wäre ?

    Hier verstehe ich nicht, was Du genau meinst. Was soll eine "Wireguard VM" sein?


    Quote from Scheki

    Was mir halt gefällt an Site Magic ist, dass ich nicht irgendeinen VPN auf dem MacBook starten muss , um in der Firma nach dem rechten zu sehen.

    Verständlich. Dies ist allerdings keine Spezialität von Site Magic, diesen Effekt kannst Du im Prinzip mit allen VPN-Protokollen erreichen, in dem Du das VPN als Site-To-Site konfigurierst. Die Variante, dass sich ein einzelnes Gerät per VPN verbindet, nennt sich "Client-To-Site" oder auch "Roadwarrior".

    Was noch denkbar wäre, ein anderes Standardgateway als die UDM Pro Max, falls es noch weitere Internetanschlüsse in der Firma gibt, eine falsche IP als Standardgateway oder gar kein Standardgateway im Raspi und Proxmox. Das wäre dann ein Routingproblem. Falls Du in der Firma mehrere VLANs hast, die miteinander kommunizieren dürfen, kannst Du den Zugriff aus einem anderen VLAN prüfen, als das VLAN in welchen die beiden nicht erreichbaren Systeme sind.

    Quote from DoPe

    Was noch denkbar wäre, ein anderes Standardgateway als die UDM Pro Max, falls es noch weitere Internetanschlüsse in der Firma gibt, eine falsche IP als Standardgateway oder gar kein Standardgateway im Raspi und Proxmox. Das wäre dann ein Routingproblem. Falls Du in der Firma mehrere VLANs hast, die miteinander kommunizieren dürfen, kannst Du den Zugriff aus einem anderen VLAN prüfen, als das VLAN in welchen die beiden nicht erreichbaren Systeme sind.

    Ok, das verstehe ich und muss ich prüfen, DANKE !!!

    Es gibt tatsächlich andere VLANs, das kann ich dann heute Abend probieren. Super Input, danke

    Was Du über die Firewallregeln konfigurieren musst, ist unabhängig vom VPN-Protokoll. Es kommt lediglich darauf an, wie genau die Netzwerktopologie aussieht. Beachte aber, dass Unifi derzeit leider noch kein Wireguard als Site-To-Site unterstützt.

    Den Hinweisen von DoPe solltest Du auch nachgehen, das sind ebenso plausible Ansätze zur Fehlersuche.

    Guten Morgen zusammen, ich habe das mit dem alternativen VLAN probiert, leider kein Erfolg. Das Thema mit dem Standardgateway muss ich prüfen, da ich auf den Raspi nicht drauf komme (gekauftes Produkt mit Software).

    Quote from Scheki

    Guten Morgen zusammen, ich habe das mit dem alternativen VLAN probiert, leider kein Erfolg. Das Thema mit dem Standardgateway muss ich prüfen, da ich auf den Raspi nicht drauf komme (gekauftes Produkt mit Software).

    Was bedeutet kein Erfolg? Das würde bedeuten Du kommst aus keinem anderen Netz (also groutet und über die Unifi Firewall) auf den Proxmox oder Raspi? Dann sind also noch immer alle genannten Fehlerquellen denkbar. Kein korrektes Standardgateway im Proxmox und Raspi, Firewall im Gateway, lokale Firewalls auf Proxmox/Raspi.

    Das es mit Teleport geht wundert mich allerdings noch immer. Denn wenn sich da nichts geändert hat, sollten die Teleportclients auch in einem anderen IP Netz sein und das Problem müsste auch dort vorhanden sein. Ansonsten wäre hier jetzt alles andere nur noch wilde Spekulation, da über deinen Netzwerkaufbau (VLANs, IP Bereiche) und deine Firewall (zbf oder das alte Modell, was existiert an Regeln) nichts bekannt ist.

    Genau, ich komme auch nicht auf den Proxmox/Raspi aus einem anderen VLAN. Ich warte noch auf Rückmeldung von den jeweiligen Firmen, was dort als DNS eingetragen ist. Es ist irgendwie völlig seltsam, über Site Magic ist jede Adresse erreichbar mit diesen beiden Ausnahmen und auch über ein OpenVPN/Wireguard Zugang dasselbe Spiel, ABER über Teleport geht es.

    Wir haben hier in der Firma irgendwann aus einer alten Hardware einen ADS (active directory Server) aufgesetzt bekommen, aber das Projekt wurde nie komplett durchgeführt, dieser hat eine andere Adresse zur Auflösung des DNS gehabt (Endung .3 anstelle .100 für die UDM Pro Max). Da das Projekt irgendwann in Vergessenheit geriet läuft diese Hardware still weiter, daher könnte es sein, dass man bei den beiden nicht zu erreichenden Kisten damals den ADS-Server als DNS eingetragen hat, daher ist Eure Idee schon durchaus denkbar. Ich werde berichten, sobald ich eine Info bekomme.

    Nicht der DNS! Das Standardgateway, also der Router!

    Das DNS spielt erstmal absolut keine Rolle für das Routing, solange Du IPs anpingst oder Aufrufst.

    Hab vorhin mal Teleport ausprobiert ... keine Ahnung was die da gebastelt haben, das taucht scheinbar in keiner Firewallzone auf. Mein Fall ist das nicht für eine ernsthafte VPN Nutzung, zumal da augenscheinlich unabänderlich sämtlicher IPv4 Traffic durchgeroutet wird. Die Latenz war auch ziemlich hoch, läuft aber glaube ich auch nicht direkt. Für mal schnell ohne vorbereitet zu sein aus der Ferne zugreifen ok, aber sonst nuja ... jeder wie er mag.


    Es wäre auch interessant gewesen, von den beiden Kisten pingtests zu fahren, da duch nicht drauf kommst aber nicht machbar.

    Ok, da hab ich nicht aufgepasst, danke !!


    Eben, ich finde nichts in den Firewalleinstellungen (was ich als Einstellung hätte "abschreiben" können) und da ich nicht weiß, die sicher das ist, wollte ich eben auf das Fertigprodukt Teleport verzichten. Ich warte noch immer auf Rückmeldung. Manche Mühlen sind nervend langsam. Danke allen zusammen

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login