Servus zusammen,
ich habe am vergangenen Wochenende mein bestehendes Ubiquiti-Equipment um ein USG-3 erweitert.
Nun habe ich einen CloudKey V1, mehrere APs und Switche.
Vor dem USG-3 hängt eine Fritz!Box, welche die Internet-Einwahl und Telefonie verwaltet.
Das USG-3 hängt an WAN1 dahinter. Über LAN1 des USG bilde ich dann mein eigentliches Netzwerk (Switche, WLAN, Clients) ab.
Im USG habe ich NAT deaktiviert. Das geht ja über den Import einer json-Datei. Dadurch wird die Firewall entsprechend modifiziert.
Soweit läuft bei mir auch fast alles.
Nur gibt es bei mir auch noch eine andere Fritz!Box an einem anderen Standort. Beide Boxen sind per VPN verbunden
Das VPN steht soweit. Ich kann Geräte, die direkt an beiden Boxen angeschlossen sind auch standortübergreifend erreichen (anpingen). Nur Geräte aus dem Netz hinter dem USG, also 10.0.0.0/24 sind vom Standort 2 (192.168.1.1) aus nicht anpingbar. Ebenso erreiche ich vom Standort 1 (hinter dem USG) den Standort 2 nicht.
Im Standort 2 habe ich in der Fritz!Box eine Route nach 10.0.0.0/24 eingerichtet, da die Box dieses Netz ja sonst nicht kennt.
Vom Netz 10.0.0.0/24 kann ich per Browser auch die Fritz!Box vom Standort 1 erreichen.
DPI ist aktiviert, aber kein "Threat Management".
Hast jemand eine Idee, woran es liegen könnte ?
Ich vemute jetzt einfach mal die Firewall oder fehlende Routen ?!
An Firewallregeln habe ich schon etwas herumprobiert (WAN1), aber keine Lösung gefunden.
Netzwerkdaten:
Standort 1:
Fritz!Box (Internetzugang, Telefonie usw.) :
IP: 10.10.10.1 / 24
DHCP: 10.10.10.202-249
Route: 10.0.0.0/24 über 10.10.10.250
USG:
NAT: Via json-Datei deaktiviert - Regel 5999 enthalten
WAN1: 10.10.10.250
LAN1: 10.0.0.1/24
DHCP: 10.0.0.202-249
GW: 10.0.0.1
Standort 2:
Fritz!Box (Internetzugang):
IP: 192.168.1.1 / 24
DHCP: Via Server
Route: 10.0.0.0/24 über 192.168.1.1
Testweise Regel:
WAN eingehend
Name: Fritz!Box VPN
Vor den vorkonfigurierten Regeln
Akzeptieren
Alle
Quelle
Port-Adressgruppe - Dort gibt es eine Gruppe mit div. 192.168.1.x Adressen
Ziel
Netzwerk
LAN IPv4 Subnetz
Viele Grüße
Tobias