Site to Site VPN

Es gibt 38 Antworten in diesem Thema, welches 14.509 mal aufgerufen wurde. Der letzte Beitrag () ist von Adrian Buchmeier.

    Wo kann ich sehen ob die Verbindung überhaupt zustande gekommen ist? Der PING ist icht wirklich aussagekräftig.

    Könnte es Daran liegen das ich jeweils bereits das normale VPN also das USER VPN eingerichtet habe? weil das geht tadellos.

    also ich hab User-VPN und Site2Site-VPN (USG<--->USG4PRO) am laufen ... aber nix mit automatisch

    Allerdings nutze ich dazu die OpenVPN-Variante.

    1x USG (mit 40mm Fan shroud) + Draytek Vigor 130, mehrere Cisco SG300'er auch welche mit PoE, 4x UAP-AC-PRO, 2x Richtfunk mit NSM5, demnächst wird auch von Ubiquiti Edge-Technik getestet

    Hmmmmm oke das versuche ich sehr gerne mal aus. Frage was meinst du mit automatisch? Du meinst das Auto IPsec VTI das nehme ich nicht nehme nur das IPSec sprich Manual. Hast du mir mal ne anleitung den anscheined bin ich oder meine USG zu dämlich.

    OpenVPN ist nicht IPSec !!! Mit automatisch meinte ich, das der Controller die VPN-Verbindung automatisch einrichtet, das hat nämlich bei mir damals auch nicht funktioniert. Ich werde mal 2 anonymisierte Screenshots erstellen, damit sollte es dann aber mit OpenVPN wenigstens funktionieren. Da ich keine feste IP auf beiden Seiten benutze, mache ich mir das DynDNS von Synology zu nutze, MyFritz.net wäre bei Einsatz von Fritzboxen auf beiden Seiten aber auch realisierbar. OpenVPN benötigt nur einen Port (normalerweise 1194).

    1x USG (mit 40mm Fan shroud) + Draytek Vigor 130, mehrere Cisco SG300'er auch welche mit PoE, 4x UAP-AC-PRO, 2x Richtfunk mit NSM5, demnächst wird auch von Ubiquiti Edge-Technik getestet

    Zitat von Adrian Buchmeier

    Hi Stone

    Leider habe ich erst jetzt wieder den Clasic Mode gefunden musst neu ein Hacken deaktivieren. Aber sende dir nochmals das PIC.

    Das mit den Netzten das könnte es sein. Die Remote Netzte sind natürlich vorhanden. Ich war der Meinung das ich das exakte Ziel Netz angeben muss.

    Die Modems sind reine Modems sprich keine Firewall beim Swisscom Modem heisst es Passthroug.Es ist auch kein DHCP nix mehr Funktionsfähig.

    Die IPS sind FIX auch keine Firewall mehr dazwischen. Vom Moden auf den WAN und dan LAN auf Switch.

    Servus
    Ok ich arbeite auch lieber im Classic Mode.
    Danke habe ich bekommen aber es fehlt im Screenshot der aufgeklappte "erweiterte Mode" wo die IPSEC Einstellungen zu finden sind.
    Bitte pass die Netze mal an.
    Und neben IPSEC sollte es nicht gehen probiere mal OPENVPN.
    Beim testen ist alles erlaubt du musst versuchen Dinge auszuschließen. Dokumentiere das auch in einem Protokoll File von dir. Leg dir ein Word an und schreib dort einfach rein was du alles schon probiert hast damit jemand der dich unterstützt anhand dessen schon weiß was man ausschließen kann. Du hast ja schon Stunden investiert da zählen jetzt Details.


    Troubleshooting Infos bist du durch ?

    lg Stone

    Zitat von ente-b

    also ich hab User-VPN und Site2Site-VPN (USG<--->USG4PRO) am laufen ... aber nix mit automatisch

    Allerdings nutze ich dazu die OpenVPN-Variante.

    Das ist jene Variante die gehen sollte. Gerade wenn man "Geräteklassen" mischt habe ich gelesen dass es mit OPENVPN am wenigsten Probleme gibt.
    IP-Sec macht eventuell Probleme. Da habe ich selbst schon viel "Lehrgeld" bezahlt :winking_face:

    Zitat von ente-b

    OpenVPN ist nicht IPSec !!! Mit automatisch meinte ich, das der Controller die VPN-Verbindung automatisch einrichtet, das hat nämlich bei mir damals auch nicht funktioniert. Ich werde mal 2 anonymisierte Screenshots erstellen, damit sollte es dann aber mit OpenVPN wenigstens funktionieren. Da ich keine feste IP auf beiden Seiten benutze, mache ich mir das DynDNS von Synology zu nutze, MyFritz.net wäre bei Einsatz von Fritzboxen auf beiden Seiten aber auch realisierbar. OpenVPN benötigt nur einen Port (normalerweise 1194).

    Genau wie du schreibst das ist sehr wichtig.

    OPENVPN = OPENVPN
    IPSEC = IPSEC
    Nicht kreuzen.

    Adrian
    Deshalb bitte schick bitte den Screenshot mit den erweiterten Einstellungen.
    Bei der Verschlüsselung muss auch alles gleich sein.
    AES128 arbeitet nicht mit AES256
    AES128 ist übrigens nicht mehr zu empfehlen.

    lg Stone

    Hallo kurz zur erleuterung. Ich vermische keiner der beiden Protokolle, werde IPsec noch Open VPN noch die Automatische lösung von Ubiquiti VTI. Ich verwende auf beiden seiten das gleiche Protokoll. Ich habe auch versucht mit den identischen USGs die Verbindung herzustellen. Damit es keine Fehlerquallen giebt. Ich kann gerne auch noch die erweiterten einstellungen schicken auch dort ist alles genau identisch.

    OK sehe das passt.
    Und OpenVPN hast natürlich auch probiert also du hast beide schon probiert?

    Schick mal alle Fehlermeldungen die du bekommst? Hilfreich wäre vor allem der Controller LOG von beiden Seiten zum Zeitpunkt des tests das kannst du auslesen. Da steht dann genau drin warum die Connection nicht aufgebaut werden konnte.

    lg Stone

    Hallo Stone

    Danke für deine Hilfe also Open VPN habe ich noch nicht getestet da wollte ich Fragen wegen einer Schlaune Anleitung für mich mit der von Ubiquiti kann ich fehler machen.

    Betrefen LOG habe ich mal die Frage gestellt wo finde ich diese dan wäre ich auch mal weiter gekommen.

    so, hier mal die Screenshots von beiden Seiten


    Seite A USG (bei mir Zuhause)


    Seite B USG4PRO

    noch als Ergänzung:



    Ich hoffe, das hilft und nach dem Muster sollte OpenVPN kein Problem sein. Hier in dem Fall stehen auf beiden Seiten Synology-NAS, die kümmern sich um das DynDNS. Bei mir ist noch ein Draytek Vigor 130 vor dem USG und auf der entfernten Seite ist ein Kabelmodem vor dem USG4PRO und am VoIP-Port hängt dann eine 7490 wegen der Telefonie.


    Herzliche Grüße


    Heiko

    1x USG (mit 40mm Fan shroud) + Draytek Vigor 130, mehrere Cisco SG300'er auch welche mit PoE, 4x UAP-AC-PRO, 2x Richtfunk mit NSM5, demnächst wird auch von Ubiquiti Edge-Technik getestet

    Einmal editiert, zuletzt von ente-b ()

    So ich gebe es auf ich habe es nun mit drei USGs geteste drei unterschidliche Orte unterschidliche externe ips. Ich habe alles sogar auf Werkseinstellungen gesetzt ohne Erfolg. Ich habe nun keinen Rat mehr. Open VPN geht nicht Manual IPsec geht auch nicht. Ich habe es mit Zyxel hinbekommen aber UNFI geht das einfach nicht. Nach dem Testen konnte ich plötzlich nicht mehr Remote Benutzer VPN nutzen musste alles neu einricht. Was ich einfach noch speziell finde ist das bild Ping. Lösche ich die VPN kommt die Meldung Zeitübschreitung. Richte ich das VPN ein kommt Antwort von Zielhost nicht erreichbar. Ich wei das ist eine spezielle Frage aber so als gegentest würde nimand eine VPN mit seiner und meiner USG aufbauen? Damit ich das mal testen kann ob eine Verbindung überhaut zustande kommt. Ich gehe ja davon aus ich muss meinen PC nicht speziel in eine Netz bringen oder?

    Hast du den Haken bei SITE-to-SITE VPN aktiviert? Wenn du das nicht gemacht hast kannst du machen was du willst das wird nicht funktionieren.


    Aber was mir auch aufgefallen ist Unifi ist teilweise wirklich noch ein BETA System.


    Ich würde dir sonst noch empfehlen den Support direkt zu kontaktieren = [email protected]


    https://help.ui.com/hc/en-us/a…igure-Site-to-Site-VPNs#2
    Zusätzlich emfpehle ich dir für die Konfiguration den CLASSIC MODE zu verwenden. Die neue Oberfläche ist noch BETA!


    lg Stone

    Adrian


    wenn es Dich tröstet, ich hab damals auch ne Weile gebraucht, bis ich dahinter gestiegen bin.

    Wichtig, möglichst nicht mit Standard-IP's (Bsp.: 192.168.1.1 oder 192.168.0.1) arbeiten.
    Wie machst Du DynDNS oder haste auf beiden Seiten feste IP's?
    Ich wäre bereit mit Dir mal OpenVPN zu testen ...

    1x USG (mit 40mm Fan shroud) + Draytek Vigor 130, mehrere Cisco SG300'er auch welche mit PoE, 4x UAP-AC-PRO, 2x Richtfunk mit NSM5, demnächst wird auch von Ubiquiti Edge-Technik getestet

    Hey Stone Hey ente-b

    Danke für eure Gedult. Also Clasic habe ich eingestellt ich Arbeite lieber damit. Hacken Site to Site nehme ich an ja den habe ich ausser du meinst einen anderen.

    Ich habe Fixe Ips auf meinem System sprich vom Provider auf beiden seiten.

    Netze habe ich alle geteste A,B,C ohne Erfolg.

    Das mit dem OPEN VPN würde ich sehr gerne Testen sag mir doch einfach oder mach am besten ein Foto was ich einstellen muss. Vermutlich am besten sende es mir direkt zu nicht im Chat Wände haben Ohren :smiling_face: