Site to Site VPN einrichten Manuelles IPsec

**PA Media Service** · 16. Oktober 2019

Brauch mal eure Hilfe, ein Kollege ist seit gester im KH und das noch länger.

Sein Netzwerk hab ich aufgebaut für seine Firma. Vigor und USG ist vorhanden.

Controller hat jede Site extra einen.

Müsste jetzt eine Site to Site VPN zu ihm einrichten damit ich auf seine Cams komme.

Sein Nas ist heut auch noch abgeschmiert.

Kann mit da eine genau sagen wie die Config für Manuelles IPsec aussehen muss.

A Site = Ich 192.168.24.1 USG IP

B Site = Kollege 192.168.38.1 USG IP

Remote-Subnetze:

Peer-IP: Sollte Internet IP sein?

Lokale WAN-IP: IP der USG oder was ist da genau gemeint?

Pre-Shared Key: das ist klar

IPsec-Profile:

Schlüsselaustauschversion: Wählen Sie entweder IKEv1 oder IKEv2.

Verschlüsselung: Wählen Sie die AES-128-, AES-256- oder 3DES-Verschlüsselung.

Hash: Wählen Sie entweder SHA1 oder MD5

DH-Gruppe (Diffie-Hellman): DH-Gruppen 2, 5, 14, 15, 16, 19, 20, 21, 25, 26 sind verfügbar.

PFS (Perfect Forward Secrecy): Aktivieren oder deaktivieren. Wenn PFS aktiviert ist, wird die DH-Gruppe der Phase 2 mit derselben Gruppe fest codiert, die in der DH-Gruppe ausgewählt ist .

Dynamisches Routing:

Hoff da kann mir jemand helfen das einzurichten. Nicht das ich eine Fehler mach und es geht nichts mehr danach.

Wäre ganz ganz schlecht.

Steh im Moment auf den Schlauch.

**iTweek** · 16. Oktober 2019

Da kann ich dir leider nicht weiter helfen. Kenne mich null aus mit VPN xD

**PA Media Service** · 16. Oktober 2019

Hm kein Problem, hab da schon was gefunden. Es muss halt nur zu 1000% Funktionieren

auf der Gegenseiten. Nicht das gar nichts mehr geht, und ich 400km fahren muss um

den Fehler zu beheben.

**PA Media Service** · 16. Oktober 2019

So das habe ich jetzt mal gefunden aber noch nicht getestet.....

Site-A ------------------------------------ WAN ------------------------------------ Site-B

Public IP: 80.123.321.123----------------------------------------Public IP: 203.0.113.3

Speedport (mit Portforwarding UDP 500, 4500, 1701)-------------------------------------------Cisco ASA 5506 (mit NAT für UDP 500.4500.1701)

Lokale IP: 192.168.2.1/24-----------------------------------------------Lokale IP: 192.168.3.1/24

WAN 1 IP: 192.168.2.2/24-----------------------------------------------WAN 1 IP: 192.168.3.2/24

USG-Pro-4 USG-Pro-4

Lokale IP: 10.27.2.1/24------------------------------------------------Lokale IP: 10.27.3.1/24

Switch / Clients 10.27.2.2-254------------------------------------------------Switch / Clients 10.27.3.2-254

Konfigurationsseite-A:

Code

Name: ipsec
Purpose: Site-to-Site VPN
VPN Type: IPsec VPN
Enabled: Enable this Site-to-Site VPN
Remote Subnets: 10.27.3.1/24
Peer IP: 203.0.113.3
Local WAN IP: 192.168.2.2
Pre-Shared Key: <secret>
IPsec Profile: Customized
Key Exchange Version: IKEv1
Encryption: AES-128
HASH: SHA1
DH Group: 14
PFS: Enable Perfect Forward Secrecy
Dynamic Routing: Enable

Alles anzeigen

Konfiguration Site-B:

Code

Name: ipsec
Purpose: Site-to-Site VPN
VPN Type: IPsec VPN
Enabled: Enable this Site-to-Site VPN
Remote Subnets: 10.27.2.1/24
Peer IP: 80.123.321.123
Local WAN IP: 192.168.3.2
Pre-Shared Key: <secret>
IPsec Profile: Customized
Key Exchange Version: IKEv1
Encryption: AES-128
HASH: SHA1
DH Group: 14
PFS: Enable Perfect Forward Secrecy
Dynamic Routing: Enable

Alles anzeigen

Zur Veranschaulichung wird Ihr config.gateway.json für euren Controller der Site-A und Site-B.

Angenommen Ihr nutzt nur einen Zone pro Controller, dann nutzt Ihr vermutlich die Zone "Default" .Wer bereits eine config.gateway.json hat, kennt das Prozedere und liest bitte noch einmal aufmerksam den Artikel

Verbindet euch per ssh auf beiden Controllern mit dem Cloudkey oder zB dem UbuntuController

Controller = CloudKey:

Code

cd/srv/unifi/data/sites/default/

Controller = Ubuntu:

Code

cd/usr/lib/unifi/data/sites/default/

Site-A :

vi config.gateway.json

Code

{
    "vpn": {
        "ipsec": {
            "site-to-site": {
                                "peer": {
                                        "203.0.113.3": {
                                                "authentication": {
                                                        "id": "80.123.321.123"
                        }
                    }
                }
            }
        }
    }
}

Alles anzeigen

Konfigurationsdatei speichern mit:

Code

qw

Site-B :

vi config.gateway.json

Code

{
    "vpn": {
        "ipsec": {
            "site-to-site": {
                                "peer": {
                                        "80.123.321.123": {
                                                "authentication": {
                                                        "id": "203.0.113.3"
                        }
                    }
                }
            }
        }
    }
}

Alles anzeigen

Konfigurationsdatei speichern mit:

Code

qw

Wie wird die Konfigurationsdatei überprüft, in dem man den folgenden Befehl ausführt:

Code

python3 -m json.tool config.gateway.json

Hat das soweit geklappt, probiert die Provisionierung wie zu erzwingen.

**razor** · 7. Juni 2020

Zitat von PA Media Service
So das habe ich jetzt mal gefunden aber noch nicht getestet.....

Site-A ------------------------------------ WAN ------------------------------------ Site-B
Public IP: 80.123.321.123----------------------------------------Public IP: 203.0.113.3
Speedport (mit Portforwarding UDP 500, 4500, 1701)-------------------------------------------Cisco ASA 5506 (mit NAT für UDP 500.4500.1701)
Lokale IP: 192.168.2.1/24-----------------------------------------------Lokale IP: 192.168.3.1/24
WAN 1 IP: 192.168.2.2/24-----------------------------------------------WAN 1 IP: 192.168.3.2/24
USG-Pro-4 USG-Pro-4
Lokale IP: 10.27.2.1/24------------------------------------------------Lokale IP: 10.27.3.1/24

Switch / Clients 10.27.2.2-254------------------------------------------------Switch / Clients 10.27.3.2-254

Konfigurationsseite-A:
Code
Name: ipsec
Purpose: Site-to-Site VPN
VPN Type: IPsec VPN
Enabled: Enable this Site-to-Site VPN
Remote Subnets: 10.27.3.1/24
Peer IP: 203.0.113.3
Local WAN IP: 192.168.2.2
Pre-Shared Key: <secret>
IPsec Profile: Customized
Key Exchange Version: IKEv1
Encryption: AES-128
HASH: SHA1
DH Group: 14
PFS: Enable Perfect Forward Secrecy
Dynamic Routing: Enable
Alles anzeigen
Konfiguration Site-B:
Code
Name: ipsec
Purpose: Site-to-Site VPN
VPN Type: IPsec VPN
Enabled: Enable this Site-to-Site VPN
Remote Subnets: 10.27.2.1/24
Peer IP: 80.123.321.123
Local WAN IP: 192.168.3.2
Pre-Shared Key: <secret>
IPsec Profile: Customized
Key Exchange Version: IKEv1
Encryption: AES-128
HASH: SHA1
DH Group: 14
PFS: Enable Perfect Forward Secrecy
Dynamic Routing: Enable
Alles anzeigen
Zur Veranschaulichung wird Ihr config.gateway.json für euren Controller der Site-A und Site-B.

Angenommen Ihr nutzt nur einen Zone pro Controller, dann nutzt Ihr vermutlich die Zone "Default" .Wer bereits eine config.gateway.json hat, kennt das Prozedere und liest bitte noch einmal aufmerksam den Artikel

Verbindet euch per ssh auf beiden Controllern mit dem Cloudkey oder zB dem UbuntuController

Controller = CloudKey:
Code
cd/srv/unifi/data/sites/default/
Controller = Ubuntu:
Code
cd/usr/lib/unifi/data/sites/default/
Site-A :
vi config.gateway.json
Code
{
    "vpn": {
        "ipsec": {
            "site-to-site": {
                                "peer": {
                                        "203.0.113.3": {
                                                "authentication": {
                                                        "id": "80.123.321.123"
                        }
                    }
                }
            }
        }
    }
}
Alles anzeigen
Konfigurationsdatei speichern mit:
Code
qw
Site-B :
vi config.gateway.json
Code
{
    "vpn": {
        "ipsec": {
            "site-to-site": {
                                "peer": {
                                        "80.123.321.123": {
                                                "authentication": {
                                                        "id": "203.0.113.3"
                        }
                    }
                }
            }
        }
    }
}
Alles anzeigen
Konfigurationsdatei speichern mit:
Code
qw
Wie wird die Konfigurationsdatei überprüft, in dem man den folgenden Befehl ausführt:
Code
python3 -m json.tool config.gateway.json
Hat das soweit geklappt, probiert die Provisionierung wie zu erzwingen.
Alles anzeigen

Guten Abend,

ich / wir habe(n) auch vor diesem Problem gestanden, siehe HIER.

Du hast leider oben gar nicht geschrieben, wie die jeweiligen Sites ins Internet kommen: Modem und PPPoE im USG, Router + USG, usw.
Würdest Du uns dan noch mitteilen? Statische IP oder dynamische? Ist das hier von mir zitierte Deine (Ziel-)Konfiguration?

Ich habe das Thema "Site-to-Site-VPN mit dynamischen Adressen" auch noch vor der Brust. Das das aber so ein Krampf mit UniFi ist hätte ich mir nicht träumen lassen.

Danke für Deine Rückmeldung und einen schönen Abend.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Site to Site VPN einrichten Manuelles IPsec

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 71

Wer war online 256