USG DynDNS Site to Site VPN

Es gibt 8 Antworten in diesem Thema, welches 3.860 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hallo zusammen,


    ich fange einmal damit an, was mein aktuelles Setup ist:

    In Netzwerk A mit mehren Subnetzen (Aufbau hier: DrayTek Vigor -> USG -> Unifi Switche) steht mein Synology "Hauptnas" über das der Zugriff per Netzlaufwerk und Synology Drive möglich ist. Synology Drive von extern, Netzlaufwerk natürlich nur von intern.

    20 km entfernt, in Netzwerk B mit einem Netz (Aufbau hier: Fritz!Box 7590 -> D-Link Switch) steht mein Synology "Backupnas". Der Zugriff auf die Dateien ist hier nicht möglich, hier wird lediglich täglich ein Backup vom Hauptnas aufgespielt. Aktuell baue ich die Verbindung zwischen den beiden Netzen per OpenVPN Access Server (in Netzwerk A) auf, als Client (in Netzwerk B) dient ein Raspberry.

    Zudem dient der OpenVPN-AS Server aktuell zusätzlich auch als Server für User Verbindungen ins Netz.


    Doch nun dazu was ich ändern möchte:

    Damit das ganze funktioniert muss ich natürlich auf dem USG in Netzwerk A den entsprechenden OpenVPN Port an den Server weiterleiten. Nachdem ich jedoch mehr und mehr davon Weg möchte, Ports auf meinen Gateways freizugeben/weiterzuleiten, habe ich mich in der letzten Zeit etwas eingelesen die beiden Netzwerke über die Gateways miteinander zu verbinden. Im Internet habe ich auch schon eine "Anleitung" gefunden, welche per .cfg Datei die VPN Einstellungen in die Fritze importiert und per config.gateway.json die entsprechenden Einstellungen im USG vornimmt.


    Leider wird die VPN Verbindung dennoch nicht aufgebaut! :loudly_crying_face:

    In der Fritze wird die VPN nach dem import der .cfg Datei erfolgreich angezeigt, die Verbindung schlägt mit IKE Error0x2027 (Timeout) Fehl. Dazu habe ich schon einmal zwei Vermutungen:

    Entweder das USG provisioniert meine config.gateway.json nicht richtig (das provisionieren dauert nach dem erstellen der Datei auf dem Controller gerade mal ca. 20 sekunden? Erscheint mir irgendwie etwas zu wenig...) Das würde auch die Timeout Meldung erklären, die Gegenstelle (das USG) hat ja keine Site to Site Config...

    Oder das ganze Spiel geht mit DynDNS grundsätzlich nicht? Leider haben beide Anschlüsse dynamische IPs. Dies kann ich leider auch nur sehr schwer und teuer ändern, da Telekom, usw... :face_with_rolling_eyes:


    Nun meine Fragen an euch hier ins Forum:

    Geht eine Site to Site L2TP Verbindung überhaupt mit DynDNS und USG? (Normale User Verbindungen funktionieren per L2TP und DynDNS)

    Falls ja, kann das sein, dass mein USG die config.gateway.json nicht schluckt, da Fehler in der Datei o.ä?

    Falls nein, gäbe es für mein Vorhaben irgend eine alternativ Lösung ohen Ports öffnen zu müssen? (Ich denke da z.B. an einen EdgeRouter hinter der Fritze, oder ähnliches)


    An die, die bis hier her gelesen haben schon einmal vielen Dank, dass ihr die Zeit, für meine Problemchen aufgewandt habt :grinning_squinting_face:

    Ich würde mich rießig über Lösungsideen freuen!

    Climbingflo

    Hallo climbingflo ,


    um Deine "Ahnung" mit der falsch formatierten config.gateway.json auszuräumen könntest Du das File HIERMIT prüfen. Wenn OK, dann OK.


    Ich bin auch noch auf dem Quest das von Dir beschriebene Szenario umzusetzen. Über die GUI ist keine VPN-Verbindung via DNS möglich / vorgesehen. ("Sicherheitsbedenken").

    Das kann also nur über die Config klappen. Ich war wegen eines ähnlichen Szenarios (USG-2-USG) auch schon mit ich meine defcon im Kontakt. Das haben wir allerdings etwas schleifen lassen.

    Hallo razor ,


    vielen Dank für deine schnelle Antwort! Meine config.gateway.json ist laut der Website korrekt, daran kann es also nicht liegen...


    Ist es denn absehbar, dass Ubiquiti die Funktion eine Site-to-Site Verbindung per DynDNS herstellen zu können noch nachliefert?

    Ansonsten bin ich gerade am überlegen, ob ich meinen OpenVPN Server auf einen angemieteten vServer umziehe und mich aus den beiden Netzen auf diesen dann Verbinde. Das würde mir zumindest weiterhelfen, Ports auf meinem USG zu schließen...


    Soweit viele Grüße und besten Dank!

    Climbingflo

    Mion climbingflo


    das mit dem "Nachliefern" ist glaube ich schon seit drei (3!) Jahren offen - keine Ahnung, ob das jemals noch etwas wird.


    Zu Deinem Vorhaben: Dient der OpenVPN-Server (auf dem gemieteten vServer) dann nur als Authentifizierungsinstanz oder muss der gesamte Traffic durch eben jenen Server durch, wenn zwei Clients aus den verschiedenen Sites miteinander kommunizieren wollen? Magst das kurz skizzieren? Planst Du auch ein Road-Warrior-Szenario?


    Danke Dir.

    Hast Du einen bzw. 2 Raspberry Pi rumliegen?


    Da kannst Du einen Wireguard-VPN Server einrichten.

    Einen 2. auf die Gegenseite und Du kannst site 2 site einrichten.

    Ist bei mir noch offen, 2. Pi liegt schon hier...


    So brauchts Du nichts anderes verbiegen. 2 Routen auf dem Wireguard eintragen und gut ist...



    Link zum Thema:


    Wireguard Site to Site

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Einmal editiert, zuletzt von kleinp () aus folgendem Grund: Aus Router wurde Routen.

    Ich habe den Artikel aufmerksam gelesen. Bisher gibt es noch keine Lösung für eine vermaschte Infrastruktur (mehr als ein Teilnehmer-Paar).

    Außerdem braucht's dafür einen weiteren Client im entfernten Netz, wofür ich bisher noch nicht alle möglichen Teilnehmer begeistern konnte.

    Ich hab’s leider auch noch nicht in Betrieb.

    Nur den VPN vom iPhone.


    Aber ja, deswegen schrieb ich von 2 Pi‘s :winking_face:


    Da ich meinen VPN unter UniFi nicht zum laufen bekomme, musste ich ausweichen.


    Und einen site2site zu einem Standort bräuchte ich zusätzlich, weil dort (m)ein NAS steht.

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Gefällt mir 1

    Als kleine Notiz an alle:

    Mittlerweile habe ich das USG aussortiert und den UDR im Einsatz. Hat nicht das Problem gelöst, ich bastle jetzt aber an einem anderen Thema... Konstruktive Ideen und Tipps bitte hier:

    Thema
    Wireguard Site to Site VPN
    Hallo zusammen,

    nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke :winking_face_with_tongue: Und zwar folgendes:

    Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt…
    climbingflo

    Hallo climbingflo ,


    ich habe eine Lösung für Dein Problem:

    WireGuard-Installation auf dem USG


    Ich kenne allerdings nach wie vor nicht die komplette Konfiguration einer FRITZ!Box in Verbindung mit einem USG / UDR / einer UDM ganzheitlich.

    USG + FRITZ!Box sollte sich aber mit meinem AVM-Kontakt lösen lassen. Ich muss ihn nur zu fassen kriegen.