Unifi als Wireguard Client mit VPS Wireguard Server verbinden

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Moin zusammen,

    vielleicht können mir hier die Unifi Profis helfen.

    Ich habe bei Hetzner einen VPS auf dem ich einen Wireguard Server installiert habe.

    Nun möchte ich meine UCG Ultra als Client per Wireguard mit dem VPS verbinden und ein erstelltes Netzwerk da durchrouten.


    Folgendes habe ich gemacht:

    1. VPS und Wiregaurd installiert


    2. Tunnel 192.168.98.1/32 erstellt

    3. Peer 192.168.98.2 (UCG Ultra), 10.11.12.0/24 (VLAN)

    4. Peer 192.168.98.3 (Iphone)

    5. Unifi Wireguard Client erstellt und Verbindung scheint zu stehen. TestNetwork ist 10.11.12.0/24


    Nun ist das so, dass ich mit dem IPhone die 192.168.98.1 anpingen kann und umgekehrt.

    Von der UCG kann ich die 192.168.98.1 anpingen ABER umgekehrt vom VPS nicht die 192.168.98.2 - vom Handy und vom VPS kommt kein Ping durch. Auch kann ich nichts im 10.11.12.0/24 Netzwerk anpingen.


    Wenn ich die Policy-Base Route erstelle, haben die Geräte in dem Netzwerk auch kein Internetzugriff mehr.


    Screenshot von WG auf der Unifi:


    Scheint so als würde nichts zur UCG reinwollen. Aber ich bin etwas überfragt und ehrlich gesagt, weiß ich nicht ob ich eine Firewallregel erstellen muss oder nicht und falls ja, welche?


    Vielleicht kann mir jemand helfen :)


    Gruß

    Du brauchst noch Firewall Regeln , damit Traffic von außerhalb in dein VLAN oder das Gateway darf. Der VPN Client der Unifis ist in der Zone External, also böses Internet.

    Du benötigst also eine Regel in External -> Gateway (Zugriff auf das Unifi Gateway) und eine Regel in External -> Internal (die Zone in der dein VLAN liegt).

    Die Source kannst Du auf das Wireguard Netz 192.168.98.0 (vermutlich /24) eingrenzen. Destination dann auf dein VLAN 10.11.12.0/24 (bei External -> Internal) bzw. bei Gateway als Destination einfach ANY (kommst entsprechend des Routings halt nur über die korrekten IPs auf die GUI und über welche IP man drauf kommt, spielt aus Sicherheitsgründen keine Rolle).


    Jetzt ist noch die Frage ob das Routing an sich passt.

    1. Kannst Du vom iPhone über den VPS surfen?
    2. Kannst Du ein traceroute auf eine IP deines VLANs auf iPhone und VPS machen und wo will der sich lang hangeln?
    3. Hast Du an den NAT EInstellungen irgendwas gemacht? Der Wireguardclient NATet per Default, so das Du eigentlich mit aktivierter policybasedroute surfen können solltest, natürlich nur wenn auf dem VPS denn auch wirklich ins Internet geroutet wird (daher die Frage mit dem iPhone via VPS)


    Ansonsten auch mal in der Forumssuche nach VPS im Betreff suchen. Da gibt es einige Diskussionen zu diesem Thema.

    Moin,

    danke für deine Hinweise.

    Das mit den Firewall Einträgen hat geklappt. Kann jetzt alles anpingen. VPS <-> Gateway :thumbup:

    Aber, wie du sagst und anschienen geahnt hast, passt das wohl mit dem Routing nicht.

    Mit dem Iphone kann ich nicht mit der Wireguard Verbindung surfen, also kein Internet.

    NAT Einstellungen habe ich sowohl in der Unifi als auch auf dem VPS keine gemacht.


    Mit dem Policy Based Routing funktioniert das surfen mit dem Handy über VPS auch nicht.


    Eine Idee?

    Nee so aus dem stehgreif nicht, zu wenig mit beschäftigt. Ich denke mal da fehlt etwas iptables Zauberstaub damit der VPS das ins Internet nated. uboot21 weiß bestimmt was man da machen kann.

    Du hast einen nackten VPS genommen und das Wireguardzeugs selbst installiert? Die hatten ja auch eine Wireguard VPS mit GUI. Da haut das mit dem Surfen hin.

    Da bin ich 😃

    Das Thema hatten wir hier schon einmal genau so.

    Eben damit ich es verstehe und korrekt verstanden habe: Du willst dich von ausserhalb über die vps ins heimnetz verbinden, was auch scheinbar klappt wie ich gelesen habe.

    Nun willst du mit der IP der UCG Ultra ins Internet surfen?

    Das hatte letztens schon jemand, weil er glaub ich um etwas zu streamen mit der ip von zu hause ins internet wollte.

    Dazu müsste dem Tunnel der Verbindung VPS<->UCG Ultra die allowed IP 0.0.0.0/0 mitgegeben werden

    -> Aber das scheint nicht zu gehen, da der Tuunel der Unifi am Eingang nur ins Heimnetz routet und nicht direkt nach draussen wieder (so habe ich es getestet und selber nicht hin bekommen, vielleicht hat jemand anders es geschafft)


    -> Was aber geht: Den Tunnel nicht mit der UCG zum VPS verbinden, sondern von einem Server aus deinem Netzwerk (Proxmox, Server, Raspberry pi, ..) mit dem VPS, dann den Traffic des VPS über diesen Server routen und von dort aus über 0.0.0.0 wieder ins internet. Das geht und hab ich auch schon einmal getestet.

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    uboot21 der Heimnetzzugriff ist wohl soweit erledigt. Ist zwar nicht ganz eindeutig, aber ich denke er möchte Handy -> VPS -> Internet, UCG -> VPS -> Internet.

    Da fehlt auf dem Linux vernutlich das iptables Zeug fürs Nat. Ich erinnere mich recht schwach dran, das Du da entsprechende Konfigurationsparameter für mit angegeben hattes, finde aber nichtmal das Thema so richtig wieder :D

    Quote from DoPe

    Da fehlt auf dem Linux vernutlich das iptables Zeug fürs Nat. Ich erinnere mich recht schwach dran, das Du da entsprechende Konfigurationsparameter für mit angegeben hattes, finde aber nichtmal das Thema so richtig wieder :D

    Genau so Habe ich es verstanden, er will mit dem handy über die IP von zu hause!

    Genau das wird mit 0.0.0.0 erledigt, was aber momentan seitens unifi nicht möglich ist!

    Der Routing kommt an der UCG an und wird mit der eingehenden Netzwerkschnittstellle NUR in Netzwerk rein geleitet. Es fehlt hier die Möglichkeit und interne Funktion von unifi das routing direkt aufs WAN zu schicken.

    Evtl. hat jemand eine Lösung dazu oder unifi hat dies mit einen der vielen Fixes mittlerweile geregelt. Für mich ist dieses Szenario meist nicht nötig, da ich wenn, dann mit der IP des VPS ins internet gehe (Ohne Angabe von 0.0.0.0 im Tunnel VPS<-> UCG)

    Generell muss auf dem VPS dies eingestellt sein, das sollte aber immer:

    sudo nano /etc/sysctl.conf

    Unten anhängen:

    # Enable IPv4 packet forwarding
    net.ipv4.ip_forward=1

    # Enable Proxy ARP (https://en.wikipedia.org/wiki/Proxy_ARP)
    net.ipv4.conf.all.proxy_arp=1

    # Disable IPv6 packet forwarding
    net.ipv6.conf.all.disable_ipv6 = 1
    net.ipv6.conf.default.disable_ipv6 = 1
    net.ipv6.conf.lo.disable_ipv6 = 1

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    Öhmm genauso hab ich es nicht verstanden. Mit dem Handy Wireguard zum VPS. Von dort entweder ins Netzwerk (nur das was da auch hin gehört) oder eben über den VPS direkt ins Internet, also mit der public IP des VPS. Gleiches Spiel dann aus seinem Netzwerk für die Geräte mit entsprechendem policy based routing, surfen über den VPS, also mit dessen IP Adresse.

    In dem anderen Fall sollte ja immer egal von wo, sämtlicher Internettraffic über den lokalen Internetzugang des Heimnetzes laufen, womit das beschrieben routing Problem auftrat.

    Das IP Forwarding im Linux dürfte an sein, denke ich mal. Aber für meinen angenommenen Fall muss doch noch NAT (Masquerading) konfiguriert werden??? Sowas in der Art:

    Code
    # /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state
   --state RELATED,ESTABLISHED -j ACCEPT
# /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

    Alles klar, falls es so ist, dann ist es noch einfacher.

    Jedem Tunnel wird die Erlaubnis mitgegeben wohin er am Ende darf, diese Routen werden automatisch gesetzt durch Wireguard!

    Wenn also im Handy nicht nur der VPS und das Heimnetz eingetragen wird, fügt man dort auch die 0.0.0.0/0 hinzu.

    Aber Achtung, der komplette Traffic des Handy geht bei Verwendung des VPN dann über den VPS

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    Moin moin,

    also ich habe alles versucht was ihr für Vermutungen und Tipps hattet bzgl. des Internetzugriffs. Habe es auf anhieb nicht hinbekommen und am Ende den VPS neu aufgesetzt.

    Statt Debian habe ich Ubuntu genommen, Wireguard etc. neu eingerichtet und siehe da, es funktioniert wie es soll. Aber warum, kann ich nicht sagen....

    Auf jeden fall war der Tipp, dass der VPS in der Externen Zone liegt, sehr hilfreich. Bin davon ausgegangen das VPNs in der VPN Zone zuzuordnen sind.


    Vielen Dank

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login