[UDM] Remote VPN Traffic zu Site2Site VPN

Es gibt 39 Antworten in diesem Thema, welches 5.806 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    Hallo,


    ich habe an 2 Standorten jeweils eine UDM.

    Diese sind per Site2Site VPN Verbunden.


    Nun logge ich mich von meinem Laptop von unterwegs per L2TP-VPN Auf dem Standort A ein.

    Hierdurch erhalte ich Zugriff auf alle Geräte vom Standort A.

    Ich erreiche jedoch keine Geräte vom Standort B, obwohl Standort A und B per Site2Site VPN verbunden sind.


    Bin ich im Lokalen LAN von Standort A/B erreiche ich auch alle Geräte von Standort B/A. Nur nicht per Remote VPN.


    Muss hier eine Route erstellt werden damit dies möglich wird oder was fehlt mir hier?


    Hintergrundwissen:

    IP Standort A: 10.0.0.0/254 | 10.0.1.0/24

    IP Standort B: 10.1.0.0/254


    IP Remote VPN von Standort A: 172.30.0.0/254



    Danke schonmal für die Hilfe :smiling_face:

    Zeig' uns bitte, welche Routen der Client hat, wenn er

    1. im LAN am Standort A ist
    2. im LAN am Standort B ist
    3. per VPN verbunden ist (je nach dem, was geht)
      1. mit Standort A
      2. mit Standort B

    Dann sehen wir weiter.

    Ich vermute, dass der Client nicht weiß, dass sich das gewünschte Netz "hinter" der jeweiligen UDM befindet - via Tunnel.

    Anbei der Screenshot der Routen vom Client welcher per VPN in das Standort A Netzwerk connected.


    Sie wie ich das verstehe gehen prinzipell alle Verbindungen über die 172.30.0.x an den Standort A, was ja so auch erstmal richtig ist.

    Aber wie sage ich der UDM vom Standort A nun, das dass Paket von 172.30.0.x über Standort A zu Standort B finden soll?


    Route in der UDM vom Standort A anlegen?

    Ich möchte diesen "alten-" Thread von mir gerne wieder uppen, da ich bis dato immer noch keine Lösung für mein Problem gefunden habe.


    Leider bekomme ich es nicht auf die Reihe, von meinem PC welcher am Standort A mittels L2TP-VPn verbunden ist, nicht die Geräte vom Standort B zu erreichen.

    Standort A und Standort B haben jeweils eine UDM - Pro welche per OpenVPN Site2Site verbunden sind.


    Hat jemand das gleiche Problem und vllt. eine Lösung gefunden?

    Da dein VPN ja nicht weis wohin er soll wenn du IPs aus Standort B aufrufen willst, müssen da irgendwie Routen gesetzt werden das diese IPs auch durch den VPN gehen. Da bin ich aber grad raus wie man das bei Unifi einrichtet.

    Was mir noch nicht ganz klar ist:

    Ich hatte mal aufgeschnappt, das es bei Unifi nicht möglich sei, von der UDM zum Client Routen zu pushen.

    Kann man hierfür eine statische Route im Unifi eintragen um das Problem zu umgehen?


    Wie sieht es dann ab UDM Pro Firmware 2.x/3.x aus?

    Hier wird ja dann Wireguard verfügbar sein. Macht dies das Leben für soein Vorgehen leichter?

    Kann da schon jemand Erfahrung teilen?

    Ja das macht das Leben wesentlich leichter... Routen Pushen kannst du nicht, aber eintragen geht bei Wireguard zumindest.

    Leider ist Wireguard auf der UDM nicht vollumfänglich nutzbar. Ubiquiti stellt nur den WG Server zu Verfügung und nicht den Clienten! Über Umwege könnte man hier noch Split-VPN nutzen (ein eigenes Script) Die Konfiguration ist ziemlich Tricky und ein gewisses Know How ist vorrausgesetzt.

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

    Leider ist Wireguard auf der UDM nicht vollumfänglich nutzbar. Ubiquiti stellt nur den WG Server zu Verfügung und nicht den Clienten! Über Umwege könnte man hier noch Split-VPN nutzen (ein eigenes Script) Die Konfiguration ist ziemlich Tricky und ein gewisses Know How ist vorrausgesetzt.

    Hier geht es ja auch nicht um den Site2Site sondern um die Vebindung des Clients zur UDM und da funktioniert der wie gewohnt.

    Gefällt mir 1
    Zitat von jkasten

    Da dein VPN ja nicht weis wohin er soll wenn du IPs aus Standort B aufrufen willst, müssen da irgendwie Routen gesetzt werden das diese IPs auch durch den VPN gehen. Da bin ich aber grad raus wie man das bei Unifi einrichtet.

    I.d.R. kümmern sich VPN-fähige Router um die notwendigen Routen selbst, wenn man beim Einrichten des S2S-VPN die "zu verbindenden" Netzwerke alle angibt. Bei der Sophos sieht das dann bei 4 verbundenen Netzen so aus:



    Vielleicht hilft es ja dem TE, wenn er ermittelt, welches Netzwerk oder welche Hostadresse seinem L2TP-Client bei der Einwahl auf der UDM verpasst wird (oder er festgelegt hat) und er dieses/diese dann der Einrichtung des S2S-VPN (auf beiden Seiten) hinzufügt.

    Zitat von bic

    I.d.R. kümmern sich VPN-fähige Router um die notwendigen Routen selbst, wenn man beim Einrichten des S2S-VPN die "zu verbindenden" Netzwerke alle angibt. Bei der Sophos sieht das dann bei 4 verbundenen Netzen so aus:



    Vielleicht hilft es ja dem TE, wenn er ermittelt, welches Netzwerk oder welche Hostadresse seinem L2TP-Client bei der Einwahl auf der UDM verpasst wird (oder er festgelegt hat) und er dieses/diese dann der Einrichtung des S2S-VPN (auf beiden Seiten) hinzufügt.

    Das Problem ist der Client der per VPN mit Seite A verbunden ist und dann keine Geräte auf Seite B erreicht. Die Konfig für den Client muss die Routen für Seite B auch enthalten und das ist nicht der Fall. Das ließe sich zumindest sicher mit Wireguard umsetzen.

    Zitat von jkasten

    Das Problem ist der Client der per VPN mit Seite A verbunden ist und dann keine Geräte auf Seite B erreicht. Die Konfig für den Client muss die Routen für Seite B auch enthalten und das ist nicht der Fall. Das ließe sich zumindest sicher mit Wireguard umsetzen.

    Ich weis schon, wo das Problem liegt und meine immer noch, dass sich dieses beheben liese, wie ich schrieb. Nun kenne ich zwar nicht die Konfigurationsoberfläche der UDM, aber der Sophos sieht das so aus:



    Wenn hier nun das Netzwerk/die Adresse des L2TP-Clients zusätzlich eingetragem würde, sollte das Problem eigentlich gelöst sein, zumindest einen Versuch wäre es wert. Um die erforderlichen Routen kümmert sich die FW jedenfalls selbst.

    Das funktioniert so bei Unifi nicht. Der Client kennt die IP Adressen aus dem B Netz nicht. Also schickt er die nicht über den VPN. Der Client braucht die Routen, die UDM hat die schon.

    Zitat von bic

    Das ist jetz aber wirklich schade :winking_face:

    Das liegt schlicht an dem alten L2TP VPN, mit dem neuen Wireguard ließe sich das umsetzen.

    Zitat von robotsox

    Dann werde ich wohl auf das UDM Pro Update auf 2.x/3.x warten, da soll ja Wireguard dann dabei sein.

    Ich hoffe das dies im nächsten Monat rauskommt, nachdem ja eine EarlyAccess bereits vorhanden war.

    Wireguard ist erst ab Version 3.x, aber das sollte generell jetzt nicht mehr lange dauern. Ansonsten, wenn du irgendwo die Möglichkeit hast (NAS, Proxmox, Raspberry) , einfach da nen Wireguard installieren.

    Ich bin ja nun stolzer Besitzer einer UDM-SE, worauf das Unifi OS 3.x bereits läuft inkl Wireguard.

    Über Wireguard kann ich mich auch verbinden und erreiche so meine Geräte im Heimnetzwerk.


    In der Konfiguration des Wireguard-Clients, habe ich bei AllowedIP=10.0.0.0/8 angegeben.

    Damit sollte in der Theorie der Standort A (10.0.x.x) sowie der Standort B (10.1.x.x) erreichbar sein.


    Leider erreiche ich aber mit der Wireguard Verbindung nur Geräte des Standort B, da auch dort die UDM-SE mit dem Wireguard Server steht.

    Was mache ich denn falsch? Muss hier noch etwas konfiguriert werden damit der Wireguard Client über den Site2Site OpenVPN Tunnel mit Standort A reden kann?

    Du hast da einen Denkfehler:

    Der Client muss wissen, welches LAN sich an welchem Standort befindet und wie er das erreichen kann. Wir sind hier noch beim Thema Routing und nicht Firewalling.

    Wenn das Netz 10.0.0.0/24 an Standort A ist, dann muss das auch Deine Konfiguration widerspiegeln; ebenso für LAN 10.1.0.0/24 an Standort B. Bei der genannten Konfiguration von AllowedIP wird das nie sauber funktionieren.


    Poste gern Deine gesamte Client-Config hier - gern ohne das Schlüsselmaterial. Das brauche ich für die Config nicht.

    Zusätzlich auch die DNS-Namen der Standorte oder Fantasie-Namen, wenn Du die echten nicht nennen möchtest. Wichtig ist, dass wenn ich von z.B. standort-a.ubiquiti-networks-forum.de und standort-b.ubiquiti-networks-forum.de spreche musst Du wissen, was das bei Dir bedeutet.

    Zitat von robotsox

    Hintergrundwissen:

    IP Standort A: 10.0.0.0/254

    IP Standort B: 10.1.0.0/254

    Diese Netz-Adressen gibt es nicht.

    Anbei die Config vom Wireguard Client, wobei diese sehr minimal ist. (Standart von der UDM-SE).

    Kann man das Routing am Client erledigen, oder muss man dies auf der UDM-SE einstellen?

    Das erschließt mich mir noch nicht so ganz.


    Was vielleicht auch noch wichtig ist zu wissen, am Standort A gibt es nur eine UDM-Pro ohne Wireguard, lediglich Standort B besitzt eine UDM-SE mit Wireguard.


    Code
    [Interface]
PrivateKey = xxxxxxxx
Address = 10.1.101.3/32
DNS = 1.1.1.1

[Peer]
PublicKey = xxxxxxxxx
AllowedIPs = 10.0.0.0/8
Endpoint = standort_b.meineDomain.at:51820