UDM VPN zu UDM PRO

Es gibt 26 Antworten in diesem Thema, welches 5.877 mal aufgerufen wurde. Der letzte Beitrag () ist von MIBE.

    Hallo ihr lieben,


    ich verzweifle fast ich will eine Site-to-Site VPN aufbauen.


    UDM Pro hängt hinter einer Vodafone Box in dem Beige Mod und Fester IP Adresse.

    Internes Netz 172.16.1.1/16


    UDM hängt an einem Long-range LTE Client mit einer Telekom Karte.

    Internes Netz 172.17.1.1/16


    Beide haben die gleiche Controller Version 7.1.65


    VPN Einstellung
    Manual IPsec

    Pre-shared Key snd auf beiden geraten gleich.

    Remote Gateway/Subnets ist immer das Netz von der Gegenstelle eingetragen zb 172.17.0.0/16
    Advanced steht auf Auto



    Was kann jetzt noch falsch sein?


    Gibt es Alternativen? was ich auf die UDM`s spielen kann wie zb Wiregurd? kann man es direkt auf die qdm Laden mit ssh?
    Leider kann ich kein englisch daher bin ich auf deutsch leider angewiesen.

    Danke für die Hilfe.

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Zitat von MIBE

    Gibt es Alternativen? was ich auf die UDM`s spielen kann wie zb Wiregurd?

    IPsec - Site2Site VPN ist ausgereift, bewährt, schnell und quasi Industriestandard. Die Verbindung von Router auch verschiedener Hersteller ist damit i.d.R. überhaupt kein Problem - Wireguard ist dagegen noch lange nicht zu Ende entwickelt. Willst Du eine stabile, zuverlässige "Standleitung", dann bringe IPsec ans Laufen :smiling_face:


    Allzuviel Konfiguration ist dazu ja nicht nötig und egal welcher Router auch immer, untergliedert sich diese wie folgt:


    1. Allgemeine Angaben:

    • IP-Version
    • Verbindungstyp (z.B Standort zu Standort)
    • Gateway-Typ (z.B. Verbindung herstellen)

    2. Verschlüsselung:

    • Verschlüsselung-Profil (z.B. IKEv2)
    • Authentifizierungsmethode (z.B. verteilter Schlüssel)

    3. Gateway-Einstellungen (auf den beteiligten Router spiegelbildlich einrichten):

    3.1 Lokales Gateway:

    • Lausch-Schnittstelle (z.B. WAN-Port)
    • Schnittstellenadresse (öffentliche IP)
    • Lokaler ID-TYP (z.B. DNS)
    • Lokale ID (z.B. router.hier.net)
    • Lokales Subnetz (können auch mehrere sein)

    3.2 Enterntes Gateway:

    • Gateway-Adresse (entfernte öffentliche IP oder FQDN - auch über DDNS)
    • Enternter ID-TYP (z.B. DNS)
    • Entfernte ID (z.B. router.dort.net)
    • Entferntes Subnetz (siehe vor)

    So, oder so ähnlich finden sich die erforderlichen Einträge in jedem Router, wobei die Bezeichnungen etwas abweichen können oder gar auf englisch sind. Wichtig ist hierbei vor allem:

    • da das VPN übers Internet läuft, müssen bei den Routern an den Gateway-Ports (i.d.R. der WAN-Port) jeweils die öffentliche IP anliegen (fest oder über DDNS). Hier ist unklar, wie dies bei Deiner Vodafone Box ist, wenn Du schreibst "Beige Mod und Fester IP Adresse" - was ist übrigens der "Beige Mod" ? Richte die Box als Modem/respkive Bridge ein und reiche die öffentliche IP auf den WAN-Port des Router durch. Desgleichen gilt natürlich auch für deinen Long-range LTE Client, falls bei dem überhaupt etwas anderes möglich ist.
    • dass die Authentifizierungsmethode (Pre-shared Key oder Zertifikat) auf den beteiligten Router identisch ist - dies scheint ja bei Dir der Fall zu sein
    • dass das Verschlüsselung-Profil auf den beteiligten Router identisch ist. Hier gibt es unendlich viele Möglichkeiten und außerdem händelt jeder Routertyp die Handhabung/Konfiguration der Profile unterschiedlich. Hier solltest Du daher noch einmal genau schauen, ob UDM und UDM Pro tatsächlich identische Profile verwenden.
    • dass die per VPN zu verbindenden (Sub)Netze jeweils richtig und spiegelbildlich bei den Routern eingetragen sind und das diese auch unterschiedliche Adressbereiche haben, was ja bei Dir der Fall zu sein scheint.

    Das war es dann auch schon, denn die Angabe von ID-TYP und ID (lokal und entfernt) ist nicht immer zwingend erforderlich und dient eigentlich nur der Verwaltung. Oft gibt es dann noch "spezielle" Einstellungen, z.b. bzgl. des Verbindungsmodus (normal oder aggresiv), ebenso kann man oft die Authentifikation an externe Dienste (Radius/AD) auslagern oder NAT oder NAT-Traversal verwenden. I.d.R. ist ein daran herumschrauben aber nicht nötig, dies ist dann etwas für Sonderfälle.


    Also, lange Rede, kurzer Sinn - ich sehe bei Dir eigentlich nur zwei Fehlerquellen - entweder bekommen Deine Router die öffentliche IP nicht an den WAN-Port, oder sie verwenden unterschiedliche Verschlüsselung-Profile - oder natürlich beides :grinning_squinting_face:


    Zitat von MIBE

    Vodafone Box

    Danke BIC für die ausführlichen Zeilen :smiling_face:

    Ich glaube tazächlich das es an der UDM Seite mit dem LTE liegt da ich da mit der Öffentlichen IP Probleme habe.

    Leider kann ich keine DYN DNS Namen eintragen er will da eine IP Adresse.
    das hatte ich auch schon am Anfang getestet.


    Daher kam ich eben auf die Idee mit Wiregurd.

    Ich denke ich brauche irgend was wo ich mich von beiden Seiten wie als Client einwählen. und der das dann weiterleitet.

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Zitat von MIBE

    Ich glaube tazächlich das es an der UDM Seite mit dem LTE liegt da ich da mit der Öffentlichen IP Probleme habe.

    Wie das? Ist das nun nur nen Modem oder routet das LTE Teil selbst? Ist letzteres der Fall, wird es schwierig - grundsätzlich lässt sich IPsec VPN zwar auch hinter einem Router konfigurieren, dieser sollte dann aber VPN-Passthrough beherrschen (wie z.B. die Fritzboxen), aber auch dann kann es noch zu Problemchen kommen. Ich glaube aber nicht, dass Dein Long-range LTE Client das überhaupt kann (kann man da am Routing etwas konfigurieren?), es wird daher notwendig sein, diesen in den Bridgemodus zu schalten. Dann sind NAT und der DHCP-Dienst deaktiviert und dafür IPPT (IP Pass-Through) aktiviert. Gehst Du dann damit an den WAN-Port Deiner UDM, sollte da auch die öffentliche IP anstehen - zumindest können :smiling_face: Ob man dann och am Protokoll des WAN-Ports herumschrauben muss , ich kenne die UDM leider nicht.

    Der Long-range LTE Client ist am WAN Port aber ich sehe da nicht die Öffentliche IP sondern die vom Long-range LTE Client.
    Und leider kann man beim Long-range LTE Client nicht wirklich viel einstellen :frowning_face:

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Was für eine öffentliche IP Adresse bekommst du beim LTE ?

    Es kann sein, dass du hinter einem CGNAT hängst und eine Adresse aus dem 10er Bereich bekommst. Dann kannst du Weiterleitungen und co vergessen, da du quasi schon hinter einem Router der Telekom hängst. Mit anderen APN Einstellungen bekommst du eine öffentliche IP bei Telekom Mobilfunk.


    Wegen dynDNS geh mal auf OpenVPN Site 2 Site da kannst du auch FQDNs verwenden.

    Ich meine es war OpenVPN Site2Site - sicher ist bei einer der drei S2S Optionen geht FQDN

    Mein Projekt

    Danke nochmal für eure Antworten hab mir jetzt einige Sachen wieder angeschaut und getestet.

    Nach dem ich den Modem Mode nicht zum laufen bekommen habe hab ich mir doch noch ein 5g Teil gekauft den zyxel NR7101 und der läuft jetzt als Modem. Hier die IP Adresse was ich von der Telekom bekomme.


    Habs mit Manual IPsec und OpenVPN probiert leider ohne erfolg.

    Hier mal noch die Einstellungen von beiden.

    UDM PRO mit fester ip Adresse.


    UDM mit der Ip von der UDM PRO


    Was mich noch ärger es steht nichts in der system Log von der Verbindung.


    Muss ich noch einen bestimmten Log einschalten oder ist der an einer bestimmten Stelle wo ich schauen muss.

    Leider komme ich mit meinen nicht Englisch können nicht mehr weiter.

    Danke für eure Hilfe

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Du sitzt hinter einer Carrier nat - daher auch die 10er IP.

    Da kannst du alles vergessen weil die Ports nicht ankommen.


    Google mal mach Telekom APN öffentliche IP

    Stell dein Modem auf die APN um und versuche es noch mal.

    Sorry bin unterwegs sonst hätte ich eben nachgeschaut

    Mein Projekt

    Danke werd ich morgen machen

    ok konnte es doch nicht erwarten.


    Die Verbindung geht aber leider immer noch nicht

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von MIBE mit diesem Beitrag zusammengefügt.

    Ich habe mit OpenVPN die Konfiguration sehr genau auf- und beschrieben. Ich suche nochmal nach meinem Beitrag und verlinke ihn hier.


    --- UPDATE ---

    Gefunden MIBE :

    Beitrag
    RE: Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP
    (Zitat von rodney76)

    • Name: up to you
    • Purpose: Site-to-Site VPN
    • VPN Type: OpenVPN
    • Enabled: true
    • Remote Subnets: alle Netze, die sich hinter dem jeweiligen Partner befinden und die erreicht werden soll. Netze, die hier nicht auftauchen, werden nicht hinter dem Remote-Gateway gesucht.
    • Route Distance: 30
    • Remote Host: DNS des Partners (auch dynDNS möglich!)
    • Remote Address und Local Address müssen jeweils gegenseitig konfiguriert werden. Bei uns sieht das so aus:
      • Me:
        • Remote Address: 10.66.123.10, Port: 1321
    razor

    Vielen Vielen dank.

    Leider geht es bei mir immer noch nicht.
    Wo kann ich die Logs dazu finden über ssh?

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Zitat von MIBE

    Vielen Vielen dank.

    Leider geht es bei mir immer noch nicht.
    Wo kann ich die Logs dazu finden über ssh?

    Magst Du uns vielleicht Screenshots Deiner Config zeigen?

    Kannst ja den DNS unkenntlich machen, aber den Rest bitte nicht. Das Passwort (Shared Secret Key) sollte ja nicht zu sehen sein.

    Den "Shared Secret Key" hast Du auch richtig erstellt und eingefügt?

    Auf meinem USG (lokale Console als root) kann ich mit show vpn log das Log sehen. Ob es so auch bei Dir funktioniert kann ich nicht sagen.

    So das sind die Einstellungen von der UDM-Pro


    Das die der UDM


    die Keys hab ich mit openvpn --genkey --secret /tmp/ovpn und cat /tmp/ovpn erstellt und eingefügt ohne Leerzeilen.


    Leider kann ich mit dem Befehl es nicht anzeigen lassen.

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Zitat von MIBE

    die Keys hab ich mit openvpn --genkey --secret /tmp/ovpn und cat /tmp/ovpn erstellt und eingefügt ohne Leerzeilen.

    Was meinst Du hiermit? Es muss ein Key erzeugt werden auf auf beiden Seiten eingretragen werden - pro VPN-Berbindung. Nicht ein eigner Key pro Site.

    Habe meinen verlinkten Beitrag noch einmal konkretisiert, falls es missverständlich war.

    Zitat von MIBE

    die Keys hab ich mit openvpn --genkey --secret /tmp/ovpn und cat /tmp/ovpn erstellt und eingefügt ohne Leerzeilen.


    Leider kann ich mit dem Befehl es nicht anzeigen lassen.

    Mit dem cat solltest Du den Key angezeigt bekommen oder wie ist hier die 2. Zeile zu verstehen? :confused_face: Sonst könntest Du die Keys ja auch nicht eingeben. :grinning_squinting_face:

    Keys hab ich mit openvpn --genkey --secret /tmp/ovpn erstellt.

    Und mit cat /tmp/ovpn angezeigt.
    Und dann in Pre-shared-Key ohne Leerzeile eingetragen.
    Habe hier den Key Pro Seite generiert und eingetragen den den Key was ich auf der UDM-Pro generiert habe kann ich nicht auf der UDM eintragen.

    ABER gerade nochmal getestet und seit dem Update heute nacht geht das hab jetzt auf beiden Seiten den gleichen. Werd ich gleich mal Testen, und meld mich wieder.

    1x UDM PRO SE - 1x UDM PRO - 1x USW-Pro-Aggregation - 1x USW-Pro-48-POE - 1x USW-Pro-24-POE - 3x US-8-150W - 1x Enterprise 8 PoE - 1x US-16-XG - 6xU6-LR - 3x UAP-nanoHD - UNVR-Pro - 18x UVC-G4-PRO

    Zitat von MIBE

    Keys hab ich mit openvpn --genkey --secret /tmp/ovpn erstellt.

    Und mit cat /tmp/ovpn angezeigt.
    Und dann in Pre-shared-Key ohne Leerzeile eingetragen.
    Habe hier den Key Pro Seite generiert und eingetragen den den Key was ich auf der UDM-Pro generiert habe kann ich nicht auf der UDM eintragen.

    ABER gerade nochmal getestet und seit dem Update heute nacht geht das hab jetzt auf beiden Seiten den gleichen. Werd ich gleich mal Testen, und meld mich wieder.

    So muss das auch. Jetzt wird es auch klappen. Da bin ich sicher.

    Wenn sich der Key nicht auf beiden Seiten eintragen lässt, dann ist beim hin- und herkopieren etwas schief gegangen. Der muss auf beiden Seiten gleich sein - je VPN-Verbindung. Heißt ja nicht umsonst Pre-shared key.