Wireguard VPN mit UCG nicht erreichbar – iPhone verbindet, aber kein Zugriff auf Netzwerke

FlUnKy88 · October 22, 2025 at 7:31 AM

Hallo zusammen,
ich bin langsam echt am Verzweifeln. Ich bin vor etwa einem halben Jahr komplett von einer Fritzbox auf Unifi umgestiegen – Fritz raus, UCG rein. Soweit läuft auch alles super, nur das VPN bekomme ich einfach nicht ans Laufen.

Die Einstellungen sind wie auf dem Screenshot zu sehen.
Den Tunnel auf dem iPhone über den QR-Code einzurichten funktioniert problemlos, und das iPhone zeigt auch eine aktive Verbindung an.
Aber: Ich komme weder in ein internes Netzwerk noch ins Internet. Pings gehen ins Leere, und das Internet fällt auf dem Handy komplett aus.

In der UCG wird zudem kein aktiver VPN-Client angezeigt.
Laut meinen Firewall-Policies sollte der VPN-Traffic aber Zugriff auf das interne Netz und das Internet haben.

Ich habe leider keine Idee mehr, welche Einstellung mir fehlt.
Wenn ich euch noch etwas nachreichen kann (Logs, Screenshots, Config etc.), sagt bitte Bescheid – ich bin für jeden Hinweis dankbar.

Kann ja eigentlich nicht sein, dass das das Einzige ist, was die Fritzbox besser kann 😅

DoPe · October 22, 2025 at 8:53 AM

Warum hast Du eine CGNAT IP auf dem WAN? Die ist aus dem Internet nicht erreichbar, weil bereits beim Provider NAT gemacht wird. So kann das mit der Fritzbox nicht funktioniert haben. Das ist also zu klären, ob Du vorher eine öffentliche IPv4 hattest oder ob das ganze über IPv6 lief und Du auch noch IPv6 auf dem Unifi hast.

Dann solltest Du einen DDNS Dienst nutzen, der IPv4 und IPv6 supportet und "use alternate Adress for Client" anhaken und den DDNS hostnamen dort eingeben. Du wirst sicher keine festen IPs vom Provider haben und dann funktioniert natürlich die Konfig nach IP Wechsel nicht mehr. Die Fritzbox macht das immer mit DDNS, dem myfritz Namen.

Ich weiß nicht genau, ob es noch so ist, aber man musste zumindest mal für eine eingehende Wireguardverbindung via IPv6 eine Firewallregel erstellen, damit die IPv6 Wireguardpakete am WAN überhaupt passieren dürfen.

Zum Wireguardclient und der Anzeige im UI. Der Wireguard Client zeigt nur sehr selten an, dass der Tunnel nicht aktiviert werden konnte. Wichtig ist, dass der Client gesendete UND Empfangene Daten anzeigt. Bei dir wird es keine empfangenen Daten geben. Du hast also keine Verbindung und daher wird der VPN Client auch nicht angezeigt.

FlUnKy88 · October 22, 2025 at 10:45 AM

Ahh ich hab die IP als „aus dem internet“ interpretiert 🫣! Internet kommt per glasfaser ins haus und dann direkt in den ONT. Von da per lan in (ehemals FB) in den wan der UCG. Dann hat es mit der FB deswegen funktioniert weil die sich die ip ja über den myfritz account geholt hat.

Ich hab keine chance an die „richtige“ Ip zu kommen wenn der Provider, in meinem fall SVO, das macht?

Okay als DDNS dienst…!

FlUnKy88 · October 28, 2025 at 10:03 AM

Okay... hab endlich mal zeit gefunden das zu testen und wieder was gelernt. meine IP ist ja wohl eine CGNAT, sodass ich ja nicht mal mit einer DYNDNS weiter komme... Jemand da der das gleiche problem und im besten fall auch ne passende lösung hat?

Teleport sollte ja eigentlich auch hinter dem CGNAT funktionieren. Ist, zumindest bei mir, nicht der fall bzw. kann ich mir vorstellen das das nur irgendwo ein setting falsch ist...

DoPe · October 28, 2025 at 3:16 PM

Bei Teleport kann man nicht viel falsch machen. Einschalten ... mehr gibts da nicht.

Für einen Zugriff von Außen gibt es bei CGNAT keine "Lösung" in einfach. D geht dann eigentlich nur vom UCG und vom "zugreifenden Gerät" einen Wireguard Tunnel zu einem gemeinsammen Punkt aufzubauen und dort zu routen. Der gemeinsamme Punkt kann dann z.B. ein VPS bei einem entsprechenden Hoster sein, der dann der Wireguard Server für alle Clients/Netze ist.

FlUnKy88 · November 3, 2025 at 7:38 AM

Das Problem beim Teleport ist, das mein Endgerät immer die Loopback ip als serveradresse bekommt. Also immer die 127.0.0.1....

DoPe · November 3, 2025 at 10:06 AM

Ich hab Teleport nur einmal getestet, als es dann für Windows endlich die Software gab. Ich nutze das nicht, weil es halt nur mittels dieser Software geht und die steht nicht für sämtlichen Hardware Zoo zur Verfügung.

Was genau meinst Du denn mit die Serveradresse wäre immer das Loopback Device?!? Das macht ja wenig bis keinen Sinn

FlUnKy88 · November 4, 2025 at 6:49 AM

Eben! egal ob auf macbook, iphone oder ipad. Wenn man nach dem Einrichtung Prozess von teleport in die Settings schaut, dann haben die Devices immer die host Adresse als Server Adresse eingetragen bekommen. Hab jetzt doch mal den Support eingeschaltet. Die haben sich das angesehen und selbst probiert. Die haben mir eine Beta zugeteilt. hab's aber noch nicht geschafft das mal zu testen. Bin noch unterwegs.

Participate now!