UDM VPN zu UDM PRO

Es gibt 6 Antworten in diesem Thema, welches 160 mal aufgerufen wurde. Der letzte Beitrag () ist von amaskus.

  • Hallo ihr lieben,


    ich verzweifle fast ich will eine Site-to-Site VPN aufbauen.


    UDM Pro hängt hinter einer Vodafone Box in dem Beige Mod und Fester IP Adresse.

    Internes Netz 172.16.1.1/16


    UDM hängt an einem Long-range LTE Client mit einer Telekom Karte.

    Internes Netz 172.17.1.1/16


    Beide haben die gleiche Controller Version 7.1.65


    VPN Einstellung
    Manual IPsec

    Pre-shared Key snd auf beiden geraten gleich.

    Remote Gateway/Subnets ist immer das Netz von der Gegenstelle eingetragen zb 172.17.0.0/16
    Advanced steht auf Auto



    Was kann jetzt noch falsch sein?


    Gibt es Alternativen? was ich auf die UDM`s spielen kann wie zb Wiregurd? kann man es direkt auf die qdm Laden mit ssh?
    Leider kann ich kein englisch daher bin ich auf deutsch leider angewiesen.

    Danke für die Hilfe.

    1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 2x US-8-150W - 1x US-16-XG - 5xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 16x UVC-G4-PRO

  • Gibt es Alternativen? was ich auf die UDM`s spielen kann wie zb Wiregurd?

    IPsec - Site2Site VPN ist ausgereift, bewährt, schnell und quasi Industriestandard. Die Verbindung von Router auch verschiedener Hersteller ist damit i.d.R. überhaupt kein Problem - Wireguard ist dagegen noch lange nicht zu Ende entwickelt. Willst Du eine stabile, zuverlässige "Standleitung", dann bringe IPsec ans Laufen :smiling_face:


    Allzuviel Konfiguration ist dazu ja nicht nötig und egal welcher Router auch immer, untergliedert sich diese wie folgt:


    1. Allgemeine Angaben:

    • IP-Version
    • Verbindungstyp (z.B Standort zu Standort)
    • Gateway-Typ (z.B. Verbindung herstellen)

    2. Verschlüsselung:

    • Verschlüsselung-Profil (z.B. IKEv2)
    • Authentifizierungsmethode (z.B. verteilter Schlüssel)

    3. Gateway-Einstellungen (auf den beteiligten Router spiegelbildlich einrichten):

    3.1 Lokales Gateway:

    • Lausch-Schnittstelle (z.B. WAN-Port)
    • Schnittstellenadresse (öffentliche IP)
    • Lokaler ID-TYP (z.B. DNS)
    • Lokale ID (z.B. router.hier.net)
    • Lokales Subnetz (können auch mehrere sein)

    3.2 Enterntes Gateway:

    • Gateway-Adresse (entfernte öffentliche IP oder FQDN - auch über DDNS)
    • Enternter ID-TYP (z.B. DNS)
    • Entfernte ID (z.B. router.dort.net)
    • Entferntes Subnetz (siehe vor)

    So, oder so ähnlich finden sich die erforderlichen Einträge in jedem Router, wobei die Bezeichnungen etwas abweichen können oder gar auf englisch sind. Wichtig ist hierbei vor allem:

    • da das VPN übers Internet läuft, müssen bei den Routern an den Gateway-Ports (i.d.R. der WAN-Port) jeweils die öffentliche IP anliegen (fest oder über DDNS). Hier ist unklar, wie dies bei Deiner Vodafone Box ist, wenn Du schreibst "Beige Mod und Fester IP Adresse" - was ist übrigens der "Beige Mod" ? Richte die Box als Modem/respkive Bridge ein und reiche die öffentliche IP auf den WAN-Port des Router durch. Desgleichen gilt natürlich auch für deinen Long-range LTE Client, falls bei dem überhaupt etwas anderes möglich ist.
    • dass die Authentifizierungsmethode (Pre-shared Key oder Zertifikat) auf den beteiligten Router identisch ist - dies scheint ja bei Dir der Fall zu sein
    • dass das Verschlüsselung-Profil auf den beteiligten Router identisch ist. Hier gibt es unendlich viele Möglichkeiten und außerdem händelt jeder Routertyp die Handhabung/Konfiguration der Profile unterschiedlich. Hier solltest Du daher noch einmal genau schauen, ob UDM und UDM Pro tatsächlich identische Profile verwenden.
    • dass die per VPN zu verbindenden (Sub)Netze jeweils richtig und spiegelbildlich bei den Routern eingetragen sind und das diese auch unterschiedliche Adressbereiche haben, was ja bei Dir der Fall zu sein scheint.

    Das war es dann auch schon, denn die Angabe von ID-TYP und ID (lokal und entfernt) ist nicht immer zwingend erforderlich und dient eigentlich nur der Verwaltung. Oft gibt es dann noch "spezielle" Einstellungen, z.b. bzgl. des Verbindungsmodus (normal oder aggresiv), ebenso kann man oft die Authentifikation an externe Dienste (Radius/AD) auslagern oder NAT oder NAT-Traversal verwenden. I.d.R. ist ein daran herumschrauben aber nicht nötig, dies ist dann etwas für Sonderfälle.


    Also, lange Rede, kurzer Sinn - ich sehe bei Dir eigentlich nur zwei Fehlerquellen - entweder bekommen Deine Router die öffentliche IP nicht an den WAN-Port, oder sie verwenden unterschiedliche Verschlüsselung-Profile - oder natürlich beides :grinning_squinting_face:


    Vodafone Box

  • Danke BIC für die ausführlichen Zeilen :smiling_face:

    Ich glaube tazächlich das es an der UDM Seite mit dem LTE liegt da ich da mit der Öffentlichen IP Probleme habe.

    Leider kann ich keine DYN DNS Namen eintragen er will da eine IP Adresse.
    das hatte ich auch schon am Anfang getestet.


    Daher kam ich eben auf die Idee mit Wiregurd.

    Ich denke ich brauche irgend was wo ich mich von beiden Seiten wie als Client einwählen. und der das dann weiterleitet.

    1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 2x US-8-150W - 1x US-16-XG - 5xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 16x UVC-G4-PRO

  • Ich glaube tazächlich das es an der UDM Seite mit dem LTE liegt da ich da mit der Öffentlichen IP Probleme habe.

    Wie das? Ist das nun nur nen Modem oder routet das LTE Teil selbst? Ist letzteres der Fall, wird es schwierig - grundsätzlich lässt sich IPsec VPN zwar auch hinter einem Router konfigurieren, dieser sollte dann aber VPN-Passthrough beherrschen (wie z.B. die Fritzboxen), aber auch dann kann es noch zu Problemchen kommen. Ich glaube aber nicht, dass Dein Long-range LTE Client das überhaupt kann (kann man da am Routing etwas konfigurieren?), es wird daher notwendig sein, diesen in den Bridgemodus zu schalten. Dann sind NAT und der DHCP-Dienst deaktiviert und dafür IPPT (IP Pass-Through) aktiviert. Gehst Du dann damit an den WAN-Port Deiner UDM, sollte da auch die öffentliche IP anstehen - zumindest können :smiling_face: Ob man dann och am Protokoll des WAN-Ports herumschrauben muss , ich kenne die UDM leider nicht.

  • Der Long-range LTE Client ist am WAN Port aber ich sehe da nicht die Öffentliche IP sondern die vom Long-range LTE Client.
    Und leider kann man beim Long-range LTE Client nicht wirklich viel einstellen :frowning_face:

    1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 2x US-8-150W - 1x US-16-XG - 5xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 16x UVC-G4-PRO

  • Was für eine öffentliche IP Adresse bekommst du beim LTE ?

    Es kann sein, dass du hinter einem CGNAT hängst und eine Adresse aus dem 10er Bereich bekommst. Dann kannst du Weiterleitungen und co vergessen, da du quasi schon hinter einem Router der Telekom hängst. Mit anderen APN Einstellungen bekommst du eine öffentliche IP bei Telekom Mobilfunk.


    Wegen dynDNS geh mal auf OpenVPN Site 2 Site da kannst du auch FQDNs verwenden.

    Ich meine es war OpenVPN Site2Site - sicher ist bei einer der drei S2S Optionen geht FQDN

    Mein Projekt