VPN und Fallback - Wie soll das bei Unifi gehen?

Es gibt 20 Antworten in diesem Thema, welches 4.265 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hallo,


    Unifi und VPN wie passt das zu zusammen, denn ich finde keine Lösung.


    Kurze Bescheibung:


    WAN1 - VF Kabel im Bridgemodus

    WAN2 - LTE D1 auch im Bridgemodus


    Öffentliche IPs sind da,

    DynDNS ist eingerichtet und läuft auch


    Fällt WAN1 aus übernimmt WAN2 und das läuft auch


    VPN ist für mein Macbook Air klassisch für den WAN1 Port eingerichtet und als Adresse ist der DynDNS Hostname eingetragen


    Auch das läuft sehr gut und ohne Probleme


    ABER:


    Nun fällt WAN1 aus und WAN2 übernimmt. Die IP wird geändert und wird auch dem DynDNS Dienst übermittelt


    Ich wähle mich ein aber es geht nicht, weil der VPN Dienst für den WAN1 Port eingerichtet ist


    Das ist doch irgendwie doof. Wie macht ihr das denn?

    Einmal editiert, zuletzt von thghh ()

    Nicht mit Unifi, nutze Wireguard dafür.

    Wo läuft bei dir denn Wireguard?

    Den hab ich als Container auf meinem Proxmox laufen. Kannst aber auch auf nem Raspberry oder NAS installieren.

    Danke 1

    Habe auf meinem QNAP nun auch WireGuard eingerichtet. Tunnel geht auch aber mehr noch nicht. Ich komme in kein Netz.


    Ich vermute ich habe da etwas mit den IPs falsch gemacht.


    QNAP ist 192.168.50.xxx

    DNS ist mein lokaler Pihole 192.168.20.xxx

    WinGuard Server 198.18.7.1/24

    Peer 198.18.7.2./32


    Muss ich für WireGuard IP Bereiche aus meinem 50er VLAN nehmen? Hm aber die kann ich ja nicht ändern, grübel.

    Zitat von thghh

    WinGuard Server 198.18.7.1/24

    Was soll das für eine IP sein? Zumindest ist die nicht korrekt. Du scheinst auch verschiedene VLANs zu nutzen, hast du das entsprechend freigegeben? Im Wireguard auch die Netze freigegeben?

    Die IP kommt so aus der QNAP Anwendung als Standard

    Zitat von thghh

    Die IP kommt so aus der QNAP Anwendung als Standard

    Dann am besten mal korrigieren, das ist keine korrekte IP Adresse. In der Wireguard Konfig musst du deine Internen Netze noch eintragen die erreicht werden sollen, dann klappt auch der Zugriff.


    EDIT: das gleiche bei Peer

    Ich kann nur das laut Bild eintragen:


    Schau dir das hier mal an und korrigiere die IPs noch: https://www.qnap.com/de-de/how…llungen-in-qvpn-service-3

    Ja daran habe ich mich für den ersten Test gehalten. Ich verstehe gerade noch nicht welches Subnetz ich nehmen soll.


    Will WireGuard ein eigenes VLAN haben oder nutze ich das VLAN wo auch das QNAP steht? Vermutlich habe ich gerade nur eine Blockade im Kopf.

    Als erstes musst du für den VPN ein korrektes Netz nehmen, welches ist erstmal egal. Nur eins was es noch nicht bei dir gibt. In der Client verbindung unter Allowed IPs muss dann das Netz rein was du erreichen willst.

    Läuft danke für deine Hilfe

    3 Mal editiert, zuletzt von thghh ()

    Gefällt mir 1
    Zitat von jkasten

    Als erstes musst du für den VPN ein korrektes Netz nehmen, welches ist erstmal egal. Nur eins was es noch nicht bei dir gibt. In der Client verbindung unter Allowed IPs muss dann das Netz rein was du erreichen willst.

    Dieses Netzwerk darf es bei KEINEM VPN-Partner geben, nicht nur im lokalen Netzwerk nicht.

    Zitat von razor

    Dieses Netzwerk darf es bei KEINEM VPN-Partner geben, nicht nur im lokalen Netzwerk nicht.

    Darf an sich schon vorkommen nur muss man mit SNAT oder DNAT dann arbeiten und den Stress will man sich in der Regel vermeiden :grinning_squinting_face:

    Zitat von jkasten

    Als erstes musst du für den VPN ein korrektes Netz nehmen, welches ist erstmal egal. Nur eins was es noch nicht bei dir gibt. In der Client verbindung unter Allowed IPs muss dann das Netz rein was du erreichen willst.


    Kurze Erklärung noch was ich gemacht habe.

    • Ich habe ein Netzwerk ausgewählt, das in meinem IP-Bereich liegt, aber das es physikalisch in der UDM-Pro nicht gibt.
    • Ich habe alle Netze im VPN zugelassen mit 0.0.0.0/0.
    • Ich habe eine Portweiterleitung aus dem Internet zu meiner NAS IP auf Port 51820 eingerichtet.


    Damit geht alles und alle Geräte wie Android und Laptops können sich verbinden und mit allen Geräten in meinen ganzen VLANs arbeiten.

    Fällt die WAN1 Verbindung aus kann ich problemlos auch die VPN Verbindung über WAN2 nutzen.


    So hatte ich es mir vorgestellt und das Unifi das nicht kann, ist schon bedenklich.


    Mit WireGuard auf meinem QNAP bin ich nun zufrieden.

    Einmal editiert, zuletzt von thghh ()

    Perfekt, genau so soll es sein. Wireguard ist auch vom Durchsatz soviel schneller als der VPN von Unifi.

    Bringt dir aber wenig, wenn du nur z.B. 50 Mbit upload hast oder sehe ich das falsch?


    Wenn man "normale" Dinge in mit deren Routern nutzen möchte, stößt man immer wieder an Probleme. Alleine Failover VPN etc. nervt immer mehr.

    War eigentlich von dem Thema weg, aber vielleicht wirds doch pfSense oder OPNsense...

    Zitat von hYtas

    Bringt dir aber wenig, wenn du nur z.B. 50 Mbit upload hast oder sehe ich das falsch?

    Du kannst immerhin dann die 50Mbit nutzen und nicht nur 4-5Mbit wie bei Unifi