VPN mit Fiber-FritzBox vor UDM-Pro

Muss auch meinen "Senf" dazugeben 😎

Habe den Vorteil, dass ich mein Kabel-Modem in den Bridge-Modus versetzt habe bzw. versetzen konnte, dann gehts auch von intern 😎

Klarerweise ist der finale Test von extern wichtig

Für L2TP benötigt man nur UDP 500 & 4500 als Portweiterleitung auf der Fritzbox.

Damit das unter Win10/11 geht, muss folgende Ergänzung in die Registry implementiert werden:

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

Einfach in der CMD-Shell mit Adminrechten ausführen und das Gerät neu starten.

Der Rest steht hier:

UniFi - USG/UDM: Configuring L2TP Remote Access VPN

Overview Readers will learn how to set up an L2TP VPN server on the USG and UDM models using RADIUS authentication.  NOTES & REQUIREMENTS: Applicable to…

help.ui.com

Hallo zusammen,

ich bin neu hier und muss jetzt auch um Hilde bitten, da ich es einfach nicht schaffen will eine VPN-Verbindung herzustellen. Gleich vorab, ich bin ziemlicher Laie, was Netzwertechnik angeht.

Mein Setup:

- Fritzbox 7530 im Bridged Modus

- UDM Pro als Exposed Host hinter Fritzbox (Ports 500/4500 weitergeleitet)

- DynDNS bei NoIP

- Anschlusstyp DualStack (Laut Anbieter)

Konfiguration der UDM:

Netzwerke: Ein Netzwerk für VPN angelegt (Remote-Benutzer VPN/L2TP)

Radius: Benutzer inkl. Passwort angelegt. Diese benutze ich dann für die Einwahl ins VPN auf Android und Windows 10 unter dem Hostnamen von NoIP (siehe unten)

Radius: Server Passwort angelegt, Ports (1812/13) so belassen

Dynamisches DNS: WAN, Dienst: NoIP, Hostname: xxxxx.ddns.net, Benutzername & Passwort = Logindaten für noip.com (Korrekt so??)

Eine öffentliche IP scheint auch bei NoIP anzukommen.

Ich habe mal das Wlan am Smartphone ausgestellt, um mich "von extern" mit VPN zu verbinden, aber es findet kein Aufbau statt. Windows meldet (am Hotspot vom Handy) "Der L2TP Versuch ist fehlgeschlagen...".

Ich hoffe, dass für mein Problem keine Glaskugel von nöten ist und bedanke mich im Voraus für jeden Tip

wenn du meinst, ob ich das DynDNS auf der Fritzbox eigerichtet bzw. eingeschaltet habe, dann nein. Das habe ich auf der UDM eigerichtet.

Ich habe die Ports 500 & 4500 in den Freigaben der Fritzbox mit im Exposed host konfiguriert. Den 1701 noch nicht, probiere ich gleich mal.

Habe ich eingerichtet inkl. der o.g. Portfreigaben für die UDM. Die Fritzbox zeigt in der Übersicht zwar an, dass ein DynDNS eingerichtet ist aber auch "Kein Internet vorhanden". wahrscheinlich, weil sie als reines Modem dient?

Zitat von Nogger

wenn du meinst, ob ich das DynDNS auf der Fritzbox eigerichtet bzw. eingeschaltet habe, dann nein. Das habe ich auf der UDM eigerichtet.

Ich habe die Ports 500 & 4500 in den Freigaben der Fritzbox mit im Exposed host konfiguriert. Den 1701 noch nicht, probiere ich gleich mal.

Das wird nicht gehen, die UDM wird ja ihre Adresse übermitteln. Das dürfte, da sie ja hinter der Fritzbox hängt, eine RFC 1918 Adresse sein. Du benötigst die öffentliche Adresse der Fritzbox. Also dort dyndns aktivieren. Ob die übermittelte Adresse stimmt, kannst Du in der CMD Shell überprüfen ping -a "dein dyndnsName". Die Adresse muss die selbe sein, wie die in der Fritzbox unter ->Internet->Onlinemonitor. Bevor die Adressen nicht identisch sind, geht nichts.

Also meine Fritzbox zeigt im Onlinemonitor keine IP an (außer die Interne für die UDM an Port 4), ABER, die IP die in via Ping erhalte ist die, die ich bei NoIP sehe und die ich auch auf meiner UDM sehe. Also scheint meine UDM die öffentliche IP zu erhalten.

Wenn du die Fritzbox als Modem eingerichtet hast, dann ist das soweit auch richtig. Dann hast du die PPOE Daten auch in die UDM eingetragen und diese macht die Einwahl. Somit hast du dort auch die richtige Adresse, Also keine aus den Bereichen 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16. Sind meine Annahmen so richtig?

Richtig, Daten zur Einwahl sind in der UDM hinterlegt. Die IP liegt aktuell im 89.xx Bereich.

Da du die Fritzbox nur als Modem benutzt und die UDM als Exposed host eingerichtet hast, sollten eigentlich keine Weiterleitungen und Freigaben mehr notwendig sein... Wenn die F-Box wirklich nur ein Modem ist... Nun habe ich dies aber noch nie mit L2TP, sondern nur mit IPSEC probiert. Somit kann ich da keine verifizierte Auskunft geben. Um eine zweite Firewall / Paketfilterstufe zu haben, würde ich, um die Sicherheit zu erhöhen, die Fritz Box die Einwahl machen lassen und nur die Ports 500 & 4500 an die UDM weiterleiten. Dies reicht für einen L2TP Tunnel. Du hast danach ein zweistufiges FW Konzept und das funktioniert. Ein doppeltes NAT ist kein Nachteil, bei einer Kompromittierung der ersten Stufe, erhält man so keine Informationen über das Netz hinter der zweiten Stufe.

Vom Kabel her muss ich dann aber nichts umstecken oder (FB LAN -> UDM WAN)?

Wenn ich doch aber der UDM freien Zugriff durch die Fritzbox gewähre, dann sollte doch auch eine VPN Verbindung möglich sein, oder irre ich mich da so sehr?

Das ist richtig

Gibts vielleicht doch noch eine Alternative zum Umstieg auf Einwahl über die Fritzbox?

Wenn die FBox nur Modem ist und alles zu UDM weiterleitet, dann ist deine Annahme richtig. Wie gesagt, dies habe ich nicht verifiziert und eine Einwahl mit dem Handy, egal ob IOS oder Android Client habe ich ebenfalls nicht getestet.

Habe es nun mit einem I-Phone getestet, läuft einwandfrei in der Konfiguration Fritzbox als Einwahl-Router mit Portweiterleitung 500 & 4500 UDP auf UDM und doppeltem NAT. Ein Android steht leider nicht zu Verfügung.

Zitat von Blandwehr

Habe es nun mit einem I-Phone getestet, läuft einwandfrei in der Konfiguration Fritzbox als Einwahl-Router mit Portweiterleitung 500 & 4500 UDP auf UDM und doppeltem NAT. Ein Android steht leider nicht zu Verfügung.

Also machst du die Einwahl nicht über die UDM sondern direkt über die Fritzbox?

Nein, das VPN GW ist die UDM, daher ja die Weiterleitung der Ports UDP 500 & 4500 auf die UDM. Sowohl der Windows Client als auch der IOS Client nutzen L2TP.