USG-3 & Fritz!Box Site-to-Site VPN Problem

Servus zusammen,

ich habe am vergangenen Wochenende mein bestehendes Ubiquiti-Equipment um ein USG-3 erweitert.

Nun habe ich einen CloudKey V1, mehrere APs und Switche.

Vor dem USG-3 hängt eine Fritz!Box, welche die Internet-Einwahl und Telefonie verwaltet.

Das USG-3 hängt an WAN1 dahinter. Über LAN1 des USG bilde ich dann mein eigentliches Netzwerk (Switche, WLAN, Clients) ab.

Im USG habe ich NAT deaktiviert. Das geht ja über den Import einer json-Datei. Dadurch wird die Firewall entsprechend modifiziert.

Soweit läuft bei mir auch fast alles.

Nur gibt es bei mir auch noch eine andere Fritz!Box an einem anderen Standort. Beide Boxen sind per VPN verbunden

Das VPN steht soweit. Ich kann Geräte, die direkt an beiden Boxen angeschlossen sind auch standortübergreifend erreichen (anpingen). Nur Geräte aus dem Netz hinter dem USG, also 10.0.0.0/24 sind vom Standort 2 (192.168.1.1) aus nicht anpingbar. Ebenso erreiche ich vom Standort 1 (hinter dem USG) den Standort 2 nicht.

Im Standort 2 habe ich in der Fritz!Box eine Route nach 10.0.0.0/24 eingerichtet, da die Box dieses Netz ja sonst nicht kennt.

Vom Netz 10.0.0.0/24 kann ich per Browser auch die Fritz!Box vom Standort 1 erreichen.

DPI ist aktiviert, aber kein "Threat Management".

Hast jemand eine Idee, woran es liegen könnte ?

Ich vemute jetzt einfach mal die Firewall oder fehlende Routen ?!

An Firewallregeln habe ich schon etwas herumprobiert (WAN1), aber keine Lösung gefunden.

Netzwerkdaten:

Standort 1:

Fritz!Box (Internetzugang, Telefonie usw.) :

IP: 10.10.10.1 / 24

DHCP: 10.10.10.202-249

Route: 10.0.0.0/24 über 10.10.10.250

USG:

NAT: Via json-Datei deaktiviert - Regel 5999 enthalten

WAN1: 10.10.10.250

LAN1: 10.0.0.1/24

DHCP: 10.0.0.202-249

GW: 10.0.0.1

Standort 2:

Fritz!Box (Internetzugang):

IP: 192.168.1.1 / 24

DHCP: Via Server

Route: 10.0.0.0/24 über 192.168.1.1

Testweise Regel:

WAN eingehend

Name: Fritz!Box VPN

Vor den vorkonfigurierten Regeln

Akzeptieren

Alle

Quelle

Port-Adressgruppe - Dort gibt es eine Gruppe mit div. 192.168.1.x Adressen

Ziel

Netzwerk

LAN IPv4 Subnetz

Viele Grüße

Tobias

Hi,

die Datei sieht so aus:

{
    "service": {
        "nat": {                                       
            "rule": {                   
                "5999": {                        
                    "exclude": "''",        
                    "outbound-interface": "eth0",
                    "type": "masquerade"
                }
            }
        }
    }
}

5999 taucht auch als Regel nach Eingabe von "sudo iptables -t nat -L -n -v" im USG auch auf.

Ich habe die Route in der FB am Standort 1 auf 10.0.8.0/24 geändert.

Dadurch war allerdings die Internetverbindung ab dem USG komplett weg.

Meinst Du es macht Sinn, die FB mal wieder in ein "richtiges" Klasse C Netz (z.B. 192.168.xxx.xxx) zu stecken ? Das wäre ja vom Aufwand her überschaubar.

Dann das VPN neu aufbauen und die Route setzen ?