Nur bestimmte VLANs per VPN routen

bluewave · November 25, 2025 at 12:19 PM

Ich richte gerade ein Cloud Gateway ein und finde keine Möglichkeit die lokalen Netze für eine VPN Verbindung zu definieren. Konkret möchte ich nur 2 von 4 VLANs über eine VPN Verbindung routen. Wo und wie kann ich das bei UCG einstellen? Danke schon mal für die Hilfe!

**gierig** · November 25, 2025 at 12:57 PM

Erstmal definieren was du meinst mit VLAN über VPN Routen.

Den als Netzwerker würde darunter einen L2 Tunnel verstehen der Links und recht das gleiche VLAN genauer die gleiche
Broadcast Domain zu verfügung stellt. Das kann Unifi nicht und zu 99% ist es auch nicht was du willst.

+

Was für ein VPN ? OpenSSL, IPSEC, Wireguard ?
Endpunkt ist ein andere Router mit andren Netzen, oder einzelner Client/User
wer mus worauf zugreifen ? Endpunkt auf die Netze, oder Netze auf den Endpunkt ?

Default geben die VPN Server den zugriff auf alle Netze frei, wenn das nicht erwünscht ist musst
Du über Firewall Regeln bestimmen das VPN netz x nicht auf VLANY darf.

bluewave · November 25, 2025 at 1:33 PM

Ich möchte ein UCG per ipsec/ikev2 mit einer Watchguard verbinden. Das funktioniert auch bereits grundsätzlich.

Auf dem UCG habe ich neben dem Default VLAN 1 noch drei weitere VLANs (2,3,100). Nur die Geräte im VLAN2 (und ggf. 100) sollen über die VPN Verbindung auf das lokale Netz der Watchguard zugreifen können. Der Zugriff lässt sich ja über die Firewall regeln, aber dennoch versucht das UCG alle 4 VLANs auf der Watchguard als remote Netz zu registrieren. Und wenn ich nicht alle 4 VLANs auf der Watchguard als remote Netze hinterlege, kommt sekündlich der Fehler: Received unacceptable traffic selector in CREATE_CHILD_SA

Was ich schon rausbekommen habe: wenn ich ein VLAN auf dem UCG in die Hotspot-Zone verschiebe, ist es auch beim VPN Tunnel außen vor. Das ist aber keine wirkliche Lösung für meine Netzwerke, weil die Hotspot-Zone auch andere Einschränkungen mit sich bringt.

Bisher hatten wir Lancom-Router und Fireboxen in den Niederlassungen und bei denen kann man halt sehr einfach definieren, welche lokalen Netzwerke in den VPN Tunnel geroutet werden sollen.

**gierig** · November 25, 2025 at 2:36 PM

Quote from bluewave

ber dennoch versucht das UCG alle 4 VLANs auf der Watchguard als remote Netz zu registrieren.

Site2Site als RouteBase Setup ?

Ahh, umstellen auf Policy based (https://help.ui.com/hc/en-us/artic…teways-Advanced). Dann halt für die 1-x netze ne Policy erstellen was woher / wohin drüber soll.

Oder halt mit einem Transfer Netzt (Tunnel IP) arbeiten und dann Routen auf über den Tunnel Legen.
Das ist auch eigentlich der übliche weg für RouteBased...

Participate now!