Austausch AVM Infrastruktur gegen Unifi, Vodafone(Unitymedia) 1000mbit - Fritz 6591 - UDM-Pro, VPN

  • Hallo zusammen,


    bin neu hier, da ich vor kurzem auf Ubi umgestellt habe und doch noch ein paar Fragen habe.


    Ausgangssituation:

    - Unitymedia (Vodafone) 1000mbit Tarif (in BaWü) incl. Telefon, Privatkunden Tarif, kein Business Tarif

    - Provider Fritzbox 6591 mit Firmware 7.22

    - Fritzbox ist im Bridge Modus, DHCP deaktiviert, VPN und Fritzkonto entfernt/deaktiviert

    - Fritzbox mit nativer IPv6

    - UDM Pro soweit eingerichtet (192.168.178.1/24 Netz), DHCP Server läuft, WLan läuft tiptop (was ja auch ein Grund für den Wechsel war), mit WAN1 an LAN2 der FritzBox (Lan 2 ist als Bridge Port definiert)

    - Fritzbox bekommt eine WAN IP ebenso der UDMPro


    Was ich erreichen will:

    - VPN Verbindung von aussen in mein 192.168.178.1/24 Netz


    Was habe ich gemacht/wo sehe ich noch Fehler:

    - UDMP: Einstellungen -> Dienste -> Server: - Radius Server aktiviert und Passwort vergeben

    - UDMP: Einstellungen -> Dienste -> Benutzer: - Benutzer angelegt und Passwort vergeben (sonst keine Einstellungen) (also auch Tunnel-Typ = keinen ebenso Tunnel Medium Typ

    - UDMP: Einstellungen -> Netzwerk: - neues Netzwerk hinzugefügt als Remote-Benutzer-VPN, L2TP ausgewählt, PSK vergeben und Gateway festgelegt (192.168.1.1/24), Radius Profil "default" ausgewählt

    - UDMP: Einstellungen -> Dienste -> Dynamic DNS service = dyndns, hostname, (ist bei ddnss.de), password, server (http://www.ddnss.de/upd.php?user=%u&pwd=%p&host=%h wobei %u/%p und %h entsprechend ersetzt wurden) eingetragen (funktioniert irgendwie noch nicht, da ein "tracert hostname.ddnss.de" noch ins Leere läuft, aus den message log der UDMP werde ich noch nicht schlau, eilt aber noch nicht)

    - ein tracert funktioniert bisher nur auf die WAN der Fritzbox. Irgendwie komme ich nicht weiter zur UDMP und mir ist nicht klar was ich dafür einstellen muss (irgendwie muss ich ja von der Firtzbox weiter zur UDMP)

    - und natürlich geht dann halt auch eine VPN Verbindung noch nicht


    Hat jemand noch einen Tip für mich? Bin ehrlich gesagt mit NAT/Bridge/Dual-Stack etc. nicht der Experte (Netzwerkkabel ziehen und anschliessen geht aber ^^, hilft nur leider nicht).


    Vielen Dank für jegliche Hilfe

  • noip geht bei meiner UDM Base. Da eine Dyndns Adresse kostenlos ist, sollte einem versuch nichts im wege stehen.


    Das mit dem Myfritz ist so eine sache:

    noip Dyndns löst nur auf die IPv4 auf (ja, man könnte optinonal IPv6 eintragen)

    der Myfritz dienst löst immer auf beides auf. --> wenn du jetzt einen VPN Server (oder einen anderen Server) hast, der nur IPv4 unterstützt, das System aber IPv4 und IPv6 hat, wird IPv6 bevorzugt und erst nach einem timeout IPv4 probiert.

    Das Myfritz ist ne tolle sache, wenn die Fritzbox der Router ist. Bei der UDM sollte das die UDM oder der jeweilige server selbst machen.

  • Myfritz geht bei unsere Firma mit Vodafone Kabel auf ein USG Pro 4 ohne Probleme.

    Wir haben zwar buissenes mit fester IP, die wurde aber (ohne Erklärung) im letzten Halbjahr zwei mal getauscht, daher über Myfritz. Bridge-Mode kann unsere alte 63er Box nicht.


    skydive2002

    Und Sorry habe glaube was verwechselt. DynDNS geht nicht bei Site2Site VPN. Normales VPN und DynDNS sollte gehen.

    Sorry Asche auf mein Haupt.

    Fritzbox UM Kabel

    USG Pro 4, USW Pro 24 Poe Gen2, US-24-250W, US-8, US-8-150W, US8-60W, 5x UAP-AC-Pro u CKG2Plus

  • Vielen Dank ihr BlackSpy und awmst4


    welchen Server hast du den für no-ip eingetragen?

    Was mit noch nicht klar ist:

    1. ist der bridge Mode zu bevorzugen oder in der dritte ein exposed host für die UDM einzutragen? Ich weiß ist eine grundsätzliche Frage.


    2. wenn ich die dritte im Bridge habe, hat die UDM eine anderen wan Adresse als die dritte. Und da ich ja bei dem Radius der UDM diese ansprechen muss, verstehe ich noch nicht, wie ich an die UDM WAN Adresse komme. Mit nem traceroute komme ich nicht and die UDM WAN, nur an die WAN der fritte


    dank euch

  • BlackSpy ja, das hatte ich auch gelesen und hatte deshalb diesem Weg auch den Vorzug gegeben

    Danke awmst4 ich teste es mal ohne server info.


    Nocheinmal zur Klarifizierung für mich:


    Testweise sollte ich ja

    1. von aussen auch eine Traceroute machen können. Sowohl auf die WAN IP des UDM Pro (95.208.xxx.xxx) als auch auf die WAN IP der Fritte (37.209.XX.XXX). Es geht aber nur die auf die Fritte, bei der WAN IP des UDMP gibt es vor dem hops auf die Fritte dann nur noch timeouts). Beide Geräte haben eine sich unterscheidende WAN IP (da die Fritte ja im Bridge Mode ist)

    2. Kann ich ja den VPN Zugang auch nur über die WAN IP ersteinmal testen (also ohne Dyndns). Dieser Versuch scheitert sowohl für Fritten WAN IP als auch UDMP WAN IP (Der L2TP-Server antwortet nicht.....). Ich habe den Radius auf der UDM Pro wie hier beschrieben eingerichtet. Aufgrund des Bridge Modus ist ja auch keine Portweiterleitung etc notwendig


    hier meine UDMP WAN Config (habe ein Pi-Hole als DNS Server):


    hier auch nochmal screenshots meiner Radius Config:

    mein normales Intranet ist auf 192.168.178.1/24

    hier habe ich beim Tunnel Typ wie auch Tunnel Medium verschiedenes probiert gehabt (also z.B. 3 - Layer Two..., 1 - IPv4).

  • ist jetzt nur ne vermutung, aber hängt der WAN port als Interface nicht auch irgendwie auf der 192.168.1.1 fest? Ich hab mein Draytek auch von 192.168.1.1 auf 192.168.1.250 umbiegen müssen wegen dem WAN interface (sonst geht die ppoe einwahl nicht). Probier mal testweise 10.0.0.X/24 o.ä. ob das besser geht.

    Dein normales IP netz klingt auch so nach Fritzbox. Vermische keine IP bereiche! Die IP bereiche müssen sich immer unterscheiden, sonst weiß die Fritzbox / UDM nicht, wo das Paket hin soll.


    iDomix hatte mit dem 192.168.1.1 auf dem WAN port auch schon zu kämpfen.


    Hab das grad bei mir verglichen: es sollte der Ping und natürlich auch der tracert auf die WAN IP gehen.

  • Hi!


    Dein VPN-Netzwerk ist soweit okay.

    MS-CHAP v2 sollte aktiviert sein.


    Das RADIUS-Profil sollte so okay sein.


    Der USER muss editiert werden!


    Tunnel-Typ> 3-Layer 2 Tunnel Protokoll (L2TP)


    Tunnel Medium Typ> 1-IPv4 (IP Version 4)

    Vigor 165 - UDM Pro - USW-Aggregation-EU - US-24-G1 - US-24-250W - 2x USW-24-PoE - 2x USW-Flex - 2x USW-Flex-Mini - 3x UAP-AC-Pro - 1x UAP-AC-Lite - 1x UAP-IW-HD - 1x U6-Lite - 1x U6-Extender - 1x UAP-AC-M-Pro - 2x NanoStation-5AC - 1x UNVR mit diversen UniFi-Cam's - UVC-G4-Doorbell - FRITZ!Box (Telefonie) - Synology DS620slim - Synology DS214se

  • DynDns!

    Bitte schau mal ins WIKI!

    Dort findest Du ein "how to" zum Thema DynDns! NoIP ist auch dabei.

    Vigor 165 - UDM Pro - USW-Aggregation-EU - US-24-G1 - US-24-250W - 2x USW-24-PoE - 2x USW-Flex - 2x USW-Flex-Mini - 3x UAP-AC-Pro - 1x UAP-AC-Lite - 1x UAP-IW-HD - 1x U6-Lite - 1x U6-Extender - 1x UAP-AC-M-Pro - 2x NanoStation-5AC - 1x UNVR mit diversen UniFi-Cam's - UVC-G4-Doorbell - FRITZ!Box (Telefonie) - Synology DS620slim - Synology DS214se

  • Hallo zusammen,


    da ich mit einem

    "tracert 37.209.XX.XXX" auf die WAN IP der FirtzBox eine saubere Route erhalte

    mit einem

    "tracert 95.208.xxx.xxx" auf die WAN IP der UDM Pro aber nur einen Timeout erhalte

    vermute ich, das irgendwas in meinen Fritzbox Einstellungen noch nicht ok ist.


    Ich habe, wie von awmst4 mal die Netze sauber getrennt (die FritzBox hat 192.168.178.1 als IP, DHCP ist aus) und die UDMP 10.1.1.1.

    Hier screenshots von den FritzBox Einstellungen:



    habe auch mal IPv6 deaktiviert, ändert aber nichts


    und hier die Netze der UDMP


    Hat eventuell noch jemand einen Vodafone/UM Kabel Anschluss mit einer 6591 im Bridge Mode und kann mal seine Einstellungen mit mir teilen?


    Ich werde trotzdem nochmal den L2TP VPN einrichten, wobei ich nicht glaube, das es funktioniert, wenn schon die "tracert" nicht funktioniert.


    Danke euch für jeglichen Hinweis komme mir langsam etwas blöd vor 🤪

  • Hoi,


    erstmal: es läuft ^^:):thumbup::thumbup:


    Ich schreibe es nochmal sauber auf, hänge ich am Ende dieses Post an.


    Vielen Dank für eure Denkanstösse!


    zu awmst4 deinen Fragen, siehe unten (aber im Endeffekt ist es ja durch)


    WAN2 kann ich nicht entfernen (ist ja eine UDM Pro).


    Bzgl. der IP des UDMPro WAN:

    ja, die kommt aus dem Controller


    zur Einrichtung des VPN habe ich es aufgesetzt wie oben (Anleitung von hier VPN Einrichtung), allerdings in einem anderen Netz.

    ubiquiti-networks-forum.de/attachment/2481/

    • Gäste Informationen
    Hallo,gefällt dir der Thread, willst du was dazu schreiben,
    dann melde dich bitte an.
    Hast du noch kein Benutzerkonto, dann bitte registriere dich, nach der Freischaltung kannst du
    das Forum uneingeschränkt nutzen.