Site-to-Site-VPN von UDM --> FritzBox und generelle VPN-Fragen

Es gibt 11 Antworten in diesem Thema, welches 8.730 mal aufgerufen wurde. Der letzte Beitrag () ist von graefe.

    Moin zusammen,


    nachdem mein UniFi Setup nun so läuft wie ich es mir vorgestellt habe gehts darum ein paar "Kleinigkeiten" noch einzustellen.

    Vor meiner UDM hatte ich eine Fritzbox 7590 und diverse Site-to-Site VPN Verbindungen zu Familie/Freunden

    Meine erste Frage daher:
    Gibts eine Möglichkeit diese Site-to-Site VPN Verbindungen zu den verschiedenen FritzBoxen wiederherzustellen? Ich nutze meine UDM direkt hinter einem Speedport Smart 3 im Modem Modus und habe auf der UDM 5 VLANS eingerichtet Ich vermute wenn ich ein VPN auf diese Art und Weise aufbauen "könnte" muss ich mich für ein VLAN, welches von den anderen Boxen aus erreicht wird entscheiden, oder?


    2. Frage:
    Ich würde gern mit meinem iPhone von unterwegs aus auf mein Netz zugreifen, also ebenfalls VPN. Wie konfiguriere ich das auf der UDM (hab da mal was vom Raduis Server gelesen) und muss ich mich da auch für ein VLAN entschieden was ich vom iPhone aus dann erreichen kann?

    Besten Dank im voraus für eure Antworten

    zu 2. Frage kann ich dir nur helfen.


    Wichtig ist wie die UDM mit den Internet verbunden ist.

    Direkt über Modem (PPPoE) oder über deine alte Fritzbox?


    (über Modem) musste nur über Netzwerk ein Remote Benutzer VPN erstellen.


    Über die FitzBox:

    dürfen keine VPN Verbindungen existieren. (auch keine User VPN)

    die UDM darf nicht an LAN 5 (WAN) angeschlossen werden

    UDM sollte eine feste IP haben (IP 4 reicht) Beispiel: 192.168.1.254

    muss nicht umbedingt direkt in der UDM eingestellt werden


    über Internet / Freigabe / Portfreigabe


    Muss Exposed Horst eingestellt werden auf den richtigen LAN

    hier sollte nur die UDM direkt angeschlossen sein über WAN natürlich.


    ich musste zusätzlich den Port TCP 1812 noch öffnen.

    Der Port ist für Unifi Anmeldung


    Danach umbedingt die Fritzbox einmal neu starten

    System / Sicherung / Neustart


    Danach in UDM ein VPN erstellen wie oben beschrieben.



    Wichtig: alle SuBnetze sind bei Unifi offen. Möchtest du die schließen

    Routing & Firewall / Firewall / LAN eingehend

    neue Regel erstellen



    [Externes Medium: https://www.youtube.com/watch?v=-vbwEGBTlLQ&t=202s]

    :thumbs_up:

    Einmal editiert, zuletzt von Gerleg ()

    DIe VPN Verbindung vom iPhone zur UDM hab ich hinbekommen, danke dafür. Meine UDM hängt direkt am Internet bzw. einem Speedport Smart 3 als Modem

    Offen bleibt immer noch ob man nun noch ein Dauerhaftes VPN zu einer FritzBox machen kann....

    Ich würde als erstes noch die Speedport Smart 3 raus werfen. Und die Fritzbox 7590 als sogenanntes Modem benutzen. Da die Fritzbox ein besseres Modem hat.


    Fritzbox 7590 (LAN4) ————> (WAN) UDM ———> Mein Netzwerk


    Fritzbox LAN 4 - Feste IP : 192.168.100.10

    unter Internet / Freigabe / Portfreigabe / Feste IP 192.168.1.254 Exposed Horst auswählen



    Zitat von Neo1984

    Vor meiner UDM hatte ich eine Fritzbox 7590 und diverse Site-to-Site VPN Verbindungen zu Familie/Freunden

    Meine erste Frage daher:
    Gibts eine Möglichkeit diese Site-to-Site VPN Verbindungen zu den verschiedenen FritzBoxen wiederherzustellen? Ich nutze meine UDM direkt hinter einem Speedport Smart 3 im Modem Modus und habe auf der UDM 5 VLANS eingerichtet Ich vermute wenn ich ein VPN auf diese Art und Weise aufbauen "könnte" muss ich mich für ein VLAN, welches von den anderen Boxen aus erreicht wird entscheiden, oder?


    Zur VPN von Unifi zur Familie/Freunden Fritzbox:


    Fritzbox benutzt IPSec und Unifi L2TP

    wird schwer das so zu verbinden…


    Warum benutzt du die Fritzbox 7590 nicht als VPN Server weiter?

    Hast du vielleicht noch ein NAS oder was anderes was eine VPN Verbindung aufbauen kann?


    Du brauchst ein VPN Server der IPSec kann.

    raspberry hier ist aber der Datensatz sehr gering ( bei der Fritzbox auch:) )


    oder ein separaten Server der als VPN Brücke fungiert. (monatlich kosten von 1 bis 3 Euro und monatliche Arbeit. Da der Server aktuell gehalten werden muss)

    :thumbs_up:

    Die meisten Menschen verbannen die Fritzbox als reine Telefonanlage HINTER die USG/UDM, damit sie kein doppeltes NAT haben. Das verlangsamt nur den Datenfluss, da die Fritzbox nicht als reines Modem funktionieren kann. Daher haben viele ein reines Modem wie z.B. ein Vigor 165 vor der USG/UDM.


    MODEM im Bridged Mode (Vigor) -----> USG oder UDM (PPPoE) -----> Netzwerk inkl. Fritzbox

    Gefällt mir 1

    Das ich ein Speedport als Modem einsetze hab ich aus diesem Forum hier, mein Setup vorher war komplett mit AVM Produkten unter anderem auch mit der FRITZ!Box 7590. ist aber bereits verkauft.

    Aber ich glaube auch die wenigsten hier wissen das man das speedport Smart 3 als reines Modem betreiben kann, also die Lösung ist auf jedenfall einer FRITZ!Box 7590 vorzuziehen - auch das das Modem der FRITZ!Box besser sei würde ich für Ein Gerücht halten. Also bei mir holt das Modem des speedport mehr aus der Leitung als es die FRITZ!Box je schaffte. Also von dem Aufbau mit dem speedport bin ich echt überzeugt. Ist gleichzusetzen wie der Aufbau mit dem Vigor Modem.

    Bzgl der VPN Geschichte. Ich habe in beiden Netzwerken die ich verbinden will eine Synology NAS, evtl. Kann ich auch damit die beiden Netze verbinden?

    Zitat von Neo1984
    Bzgl der VPN Geschichte. Ich habe in beiden Netzwerken die ich verbinden will eine Synology NAS, evtl. Kann ich auch damit die beiden Netze verbinden?

    Dann würde ICH die Synology bei dir benutzen. Und hier die Synology zusätzlich die Site to Site Verbindung aufbauen lassen. Ideal wäre wenn die Synology mehr als ein LAN Anschluss hat.


    Ob die Verbindung Stabil ist kann ich dir leider nicht sagen.

    Ich bin vor kurzen auch zu Unfi erst gewechselt. Da ich mehr power über die VPN brauchte.

    Habe aber über all mir ein Unifi Produkt hingestellt. Und bin jetzt mit der VPN Verbindung mehr als zu frieden.

    :thumbs_up:

    4 Mal editiert, zuletzt von Gerleg ()

    Hmm gibts da eine Anleitung? Problem ist die eine der beiden Synologys ist an einem Glasfaser Anschluss von Deutsche Glasfaser und dort ist nur IPv6 von Aussen erreichbar. Hab jetzt mal auf der NAS2 (die im IPv6 Netz) ein OpenVPN erstellt und die Daten auf der NAS1 (im Netz meiner UDM mit normalem VDSL Anschluss und IPv4 wo jedoch auch IPv6 aktiviert ist) aber kriege keine Verbindung. Frage mich auch wie denn ich gebe nur ein IP Netz an bei der Servereinrichtung und lasse dann ein Konfigfile erzeugen - aber die NAS2 weiß ja gar nicht welche DynDNS Adresse sie bsp. hat - wie soll also NAS1 bei Nutzung dieses Konfigfiles wissen wohin sie muss. Verbindung kommt auf jedenfall nicht zustande.

    Kann die Synology OpenVPN Site to Site???


    Nur das auf die Schnell gefunden:

    https://kb.synology.com/de-de/SRM/help/VPNPlusServer/vpnplus_server_standardvpn?version=1_2

    Musst auf VPN Server einrichten klicken. Die Webseite lässt sich nicht direkt verlinken.


    Bei OpenVPN kannst du natürlich die UDM benutzen. Was auch besserer wäre wegen Portweiterleitung.


    bei der Synologys gibst du wie auch bei jeder OpenVPN Verbinden an.

    • Remote-Ort:

      • IP-Adresse/FQDN: gibst du die Ip bzw. Domain an.
      • Remote-ID: Die IP die die UDM Lokal hat. 192…..
      • Privates Subnetz: Hier die IP Netz vom Synogys


    Am besten die Anleitung benutzen:


    Zitat von razor
    • Name: up to you
    • Purpose: Site-to-Site VPN
    • VPN Type: OpenVPN
    • Enabled: true
    • Remote Subnets: alle Netze, die sich hinter dem jeweiligen Partner befinden und die erreicht werden soll. Netze, die hier nicht auftauchen, werden nicht hinter dem Remote-Gateway gesucht.
    • Route Distance: 30
    • Remote Host: DNS des Partners (auch dynDNS möglich!)
    • Remote Address und Local Address müssen jeweils gegenseitig konfiguriert werden. Bei uns sieht das so aus:
      • Me:
        • Remote Address: 10.66.123.10, Port: 1321
        • Local Address: 10.66.123.11, Port: 1321
      • Partner:
        • Remote Address: 10.66.123.11, Port: 1321
        • Local Address: 10.66.123.10, Port: 1321
    • Shared Secret Key: https://help.ui.com/hc/en-us/a…1F6HS63YDTM7H62SYX2BND8PN
      • Kurz: auf der Console des USGs einloggen, generate vpn openvpn-key /tmp/ovpn und sudo cat /tmp/ovpn ausführen und auf beiden Seiten einfügen

    Und schon geht's. :grinning_squinting_face:


    Hoffentlich jetzt auch bei Dir.

    :thumbs_up:

    6 Mal editiert, zuletzt von Gerleg ()

    Danke 1

    Kurze Rückmeldung: Es klappt mit 2 Synology NAS - mit UniFi bzw. der UDM leider nicht denn die UDM, bzw. soweit ich gelesen habe generell UniFi unterstützen (wie so viele Hersteller) kein VPN über IPv6. Und genau das musste ich machen denn der Remote Standort ist eben nur über IPv6 erreichbar.
    Auf der Synology NAS wird allerdings auch IPv6 per OpenVPN unterstützt und so habe ich nun ein VPN zwischen den beiden NAS aufgebaut und zusätzlich ausgewählt das Geräte im Netz mit dem Server (der am Remote Standort) ebenfalls kommunizieren dürfen. Dazu war aber noch eine Statische Route in der UDM nötig damit sie weiß das Anfragen welche auf die IP des Remote Netzes abzielen an die NAS im lokalen Netz gegeben werden da diese ja das VPN zur NAS im Remote Netz hat.
    Bin auf jedenfall jetzt echt happy - funktioniert tadellos!

    Nein, das ist einfach nicht richtig. Dein Link bezieht sich auf Synology Router und nicht die NAS. Die NAS können nur VPN-Server. Site-to-Site-VPN geht damit definitiv nicht.

    Zitat von Neo1984

    Kurze Rückmeldung: Es klappt mit 2 Synology NAS - … und so habe ich nun ein VPN zwischen den beiden NAS aufgebaut

    Jetzt würde mich sehr interessieren, wie Du die beiden NAS verbunden hast. Meines Wissens bieten die NAS nur VPN-Server an, um eine End-to-Site-Verbindung zu machen. Auf den Hilfe-Seiten von Synology steht, dass Site-to-Site mit OpenVPN-Server nicht geht.