Multi-Site-VPN

Es gibt 19 Antworten in diesem Thema, welches 4.585 mal aufgerufen wurde. Der letzte Beitrag () ist von hommes.

    Guten Morgen zusammen,


    stelle mich mal kurz vor, bevor ich ärger kriege :winking_face: Ich komme aus München und wir bereuen soziale Vereine in München und Umgebung.


    Ich bin schon ne Weile am Testen und konfigurieren und meine Verzweiflung ist schon sehr groß, dass ich mich an ein Forum wende :grinning_squinting_face:

    Entweder sehe ich den Wald vor lauter Bäumen nicht oder es geht einfach nicht.

    Wie verbinde ich mehrere UDMs (Dream machine Pro) via site to site VPN miteinander (Stern). Zwei ist kein Problem, läuft 1a. Aber wie bekomme ich eine weitere DM in dieses VPN?


    Viele Grüße

    Stephan

    Einmal editiert, zuletzt von qx44905 ()

    Moin Stefan,

    oder Servus :winking_face:


    eine Site to Site ist immer eine Verbindung zwischen zwei punkten.

    Um mehrere Sites miteinander zu verbinden hast du eigentlich zwei Optionen


    Option 1

    Alle stellen laufen zentral zusammen und dort wird geroutet - nachteil wenn dein Hauptknoten ausfällt dann können die anderen auch nicht mehr miteinander kommunizieren


    Option 2

    Jede Site wird mit Jeder Site verbunden


    Ok Eigentlich noch option 3 eine Mischung aus den beiden oberen dabei würdest du die Ausfallsicherheit erhöhen und bist nicht auf ein knoten angewiesen.


    Wie viele Sites hast du denn ?


    LG

    Arne

    Mein Projekt

    Servus Arne,


    vielen Dank für die schnelle Antwort.

    Wir haben 7 Sites wobei 5 mit einer UDM Pro und zwei mit dem Zäpfchen ausgestattet werden.

    Sind die beiden Optionen, die du beschreibst auch mit den UDM Gateways möglich?


    LG

    Stephan

    Ja, das geht.


    Also die sichere variante wäre natürlich jeden mit jedem zu verbinden aber dann kommst du bei 42 Verbindungen raus die du einrichten musst.


    Müssen da alle mit allen kommunizieren ?


    Wie sehen die IP bereiche in den einzelnen Sites aus ? unterscheiden die sich ?

    Mein Projekt

    Die Sternvariante würde reichen. Es geht hauptsächlich darum, dass sich die AD-Server synchronisieren können und von allen Clients der Exchange erreichbar ist (Knotenpunkt).

    Dateizugriff auf unterschiedliche Standorte könnte man sicher mit nem Routing über den Sternpunkt erledigen. Die Netze unterscheiden sich alle (Bisher wird VPN über die Fritzboxen gemacht).

    Die entscheidende Frage ist, wie kann man das mit der UDM konfigurieren :grinning_squinting_face:

    Was vll noch wichtig ist zu wissen, dass die USGs hinter einer Fritzbox hängen. An machen Standorten mit Glasfaser könnte ich die UDM auch (theoretisch) direkt mit dem Glasfasermodem verbinden.

    Ich bin gleich in nem meeting - schreib dir danach noch mal was zusammen


    PS: USG ist ne eigen Serie bitte nicht für UDM/UDMP verwenden das sorgt für Verwirrung

    Mein Projekt

    Also die einrictiung vom SIte to SIte VPN ist bei allen gleich UDMP und UDM



    Neues Userinterface

    Settings -> VPN -> runter scrollen und da create Site to Site VPN


    Hast du statische IPs an allen standorten ?

    Falls nicht ast du DynDNS überall ?

    Mein Projekt

    Bei der Dritten und allen weiteren musst du ein neues site to site in deinem Knoten (Sternpunkt) erstellen.

    Am ende hast du in deinem Hauptknoten 7 Site to Site Netzwerke.

    Mein Projekt

    Gefällt mir 1

    Sollte beides gehen

    Mein Projekt

    Das wäre ein Traum aber bei OpenVPN lässt er es nicht zu. Und bei IPSec hab ich mir die Finger wund konfiguriert - da ich es nicht durch die FB bekommen habe (vermutl. weil die FB auch IPSec nutzt).

    Wir nähern uns kreisförmig dem Ziel.

    Ich fahre jetzt mal raus und versuche die UDMP direkt an das Glasfasermodem zu klemmen. Wenn das geht, hab ich das FB IPSec Problem nicht mehr und kann es mit dem UDMP IPSec versuchen.

    Hast du die Portweiterleitungen auf der FB aktiviert ?


    OpenVPN: 1194 UDP

    IPSec: 500 und 4500 beide UDP

    Mein Projekt

    Bin wieder zurück. OpenVPN brauchte ich nichts weiterleiten, das läuft sofort 1a. Deshalb dachte ich, wenn man so weitere Verbindungen herstellen kann, dann Top.

    Bei IPSec hab ich alles Probiert, ohne Erfolg, mit Weiterleitung, ohne, keine Verbindung.

    Die UDMP am Knotenpunkt hat sich testweise erfolgreich mit dem M-Net Modem verbinden können. So hab ich das FB Problem an dem Standort schon mal nicht mehr.

    Muss ich wohl am Wochenende mal testen, ob ich so mehrere Verbindungen herstellen kann (IPSec)..

    Hallo,


    Ohne den Thread übernehmen zu wollen: Bitte sag bescheid, ob das mit mehreren Site-to-Site IPSec Tunneln bei Dir klappt. Ich versuche hier, einen zweiten Tunnel zu nutzen, dann geht der erste Tunnel aber nicht mehr (sobald ich den zweiten Tunnel aktiviere). :frowning_face:


    Danke!

    Zitat von bic

    Klick!

    Danke für den Link. Ich vermute, dass es zu Konflikten kommt, wenn die FB selbst auch IPSec Tunnel aufbaut und gleichzeitig durchleiten muss.

    Ich werde wohl an einem Tag alle 7 UDMs in Betrieb nehmen müssen und die FBs deaktivieren, bzw. bei DSL die VPN Tunnel löschen. Dann die Tunnel mit den UDMs neu aufbauen.

    Meine Hoffnung war, dass es eine Lösung mit UDM+Site to Site mit OpenVPN gibt.

    Ich werde auf jeden Fall berichten. Wenns Wetter mistig wird, am Samstag :smiling_face:

    OK, hab es geschafft. Multi Site to Site mit OpenVPN.

    Funktioniert mit Router vor UDMP oder ohne. Also IPSec Ärger mit FB vor UDMP is obsolet.

    Des Rätsels Lösung war, das für jede OpenVPN Verbindung eine neue lokale virtuelle Lanschnittstelle erzeugt wird. Ebenso muss ein anderer Port für jede zusätzl. VPN Verb. gewählt werden.

    Der Witz ist, die UDMP macht es von allein, wenn man eine neue OpenVPN Verbindung erzeugt und eine neue lokale Verbindungsadresse eintippt.

    Site A ist 192.168.1.0/24 LAN

    Site B ist 192.168.2.0/24 LAN

    Site C ist 192.168.3.0/24 LAN

    A -> B

    • Remote subnet: 192.168.2.0/24
    • Remote host: WAN IP
    • Remote address: 10.0.0.10; Port 1195
    • Local address: 10.0.0.11; Port 1195
    • Shared secret key: 512stelliger Code

    A -> C

    • Remote subnet: 192.168.3.0/24
    • Remote host: WAN IP
    • Remote address: 10.0.0.12; Port 1196 näschter Port
    • Local address: 10.0.0.13; Port 1196
    • Shared secret key: same same

    B -> A

    • Remote subnet: 192.168.1.0/24; 192.168.3.0/24
    • Remote host: WAN IP
    • Remote address: 10.0.0.11; Port 1195
    • Local address: 10.0.0.10; Port 1195
    • Shared secret key: same same

    C -> A

    • Remote subnet: 192.168.1.0/24; 192.168.2.0/24
    • Remote host: WAN IP
    • Remote address: 10.0.0.13; Port 1196
    • Local address: 10.0.0.12; Port 1196
    • Shared secret key: same same

    Usw usw


    Bin im ui Forum inspiriert worden...

    Moin, schön das es klappt, würdest du vielleicht Lust haben einen Wiki-Eintrag zu erstellen, dass User es "nachstellen" können, wäre echt Klasse :winking_face:, Danke.


    Gruß hommes

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz