SiteToSite VPN über 2 USGs und 1 Controller

Hallo Liebe Gemeinde,

ich habe seit ein paar Wochen ein Problem, vielleicht könnt ihr mir helfen.

Ich habe zwei Standorte (Home & Garten) per VPN (IPSec) miteinander verbunden. Das hat auch soweit funktioniert. Im Home-Bereich kommt ein USG zum Einsatz und im Garten bisher ein TP-Link Router mit LTE Modem. Jetzt habe ich dort ebenfalls ein USG, um zukünftig meine APs über diesen verwalten zu können. Ich bekomme aber irgendwie die VPN Verbindung zwischen beiden USGs nicht zustande. Der TP-Link Router ist noch vor dem USG, bis dahin klappt es mit der VPN-Verbindung, aber bis zum USG dann nicht. Wir haben hier doppeltes NAT, aber das ist auch im Home-Bereich der Fall, da hier das USG auch hinter einer Fritzbox hängt.

Also es gibt folgende Netze:

Standort A:

192.168.2.0/24: Fritz-Box

192.168.1.0/24: Home-LAN mit USG

Standort B:

192.168.5.0/24; TP-Link

192.168.10.0/24: Garten-LAN mit USG

Es gibt nur einen Controller und der ist im Home-Bereich. Seltsam ist auch, das der AP der im Garten am USG hängt, nach der Definition der VPN-Verbindung nicht mehr erreichbar ist. Der sollte davon eigentlich gar nicht beeinflusst werden. Ich habe die Konfiguration hier analog der bereits bestehenden VPN-Verbindung vorgenommen, also mit entsprechender Gateway IP.

Ist das eigentlich ein Problem, wenn 2 VPN-Verbindungen bei der gleichen Peer-IP einlaufen?

Ich hoffe das war alles einigermaßen verständlich.

Zum besseren Verständnis habe ich hier noch mal eine Übersicht erstellt:

Um auszuschließen, das sich die bereits bestehende VPN-Verbindung zwischen USG (A) und TP-LINK (B) mit der zusätzlichen zwischen den beiden USG behindern, habe ich diese auch zwischenzeitig deaktiviert. Dennoch kamn die Verbindung zwischen beiden USG nicht zustande. Die Verbindung zwischen USG und TP-Link ermöglich mir im Moment jedoch das USG bei Standort B überhaupt zu konfigurieren, da der Controler innerhalb von Standort A ist und die Komponenten von Standort B nur bei bestehender VPN-Verbindung über diesen verwaltet werden können.

Kann man aus den Logdateien zusätzliche Hinweise gewinnen, wo es hier klemmt?

Guter Hinweis, das habe ich tatsächlich bisher noch nicht. Da es auf der FritzBox (Standort A) bisher aber auch ohne geklappt hatte, dachte ich bisher das dies in meinem Fall gar nciht notwendig sei.
Hast du die notwendigen Ports eventuell parat?

Danke für die Ports, ich werds gleich mal probieren ...

Eigentlich läufts diese nicht als Exposed Host. Anfang hatte ich damit experimentiert. Als die Verbindung dann aber auch ohne Freigaben bzw. Forwardings funktionierte, hatte ich alles wieder deaktiviert. Auch die selbstständige Freigabe ist inaktiv:

Hat leider noch nicht geklappt. Habe gerade noch ein wenig herumprobiert. Trotz der freigegebenen Ports kommt der Tunnel nicht zustande.
Was mich immer wundert ist, sobald ich die VPN-Verbindung im USG von Standort B aktiviere, ist kurz darauf mein UAP von Standort B nicht mehr erreichbar. Es hat den Anschein, als würde dieser dann über das USG den Controler nicht mehr erreichen. Zuvor ist das ja noch möglich, weil der davorliegende TP-Link die VPN-Verbindung hergestellt hat und somit die Verbindung zum Controler ermöglicht. Das USG hat noch eine Verbindung, aber der UAP nicht. Selbst wenn ich die VPN-Verbindung im USG trenne, findet der UAP nichts. Ich muss das USG erst rebooten, bevor der UAP wieder eine Verbindung hat.

Das macht in sofern Sinn, da der UAP anscheinend das Routing schon nicht mehr über den TP-Link vornimmt, das USG hingegen schon, da es noch direkt daran hängt. Aber die Verbindung kommt an irgendeiner Stelle nicht zustanden, sonst wird der UAP den Controller von Standort A bereits wieder finden.