VPN Optionen gesucht

Es gibt 16 Antworten in diesem Thema, welches 4.314 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    Guten Morgen,


    ich habe einen x86 Mini-PC mit Ubuntu Server 22.04 LTS aufgesetzt, den ich bald an einem entfernten Standort in Betrieb nehmen möchte.

    Ich suche nach Möglichkeiten für den Fernzugriff auf diesen Rechner. Minimal möglich ist SSH via Port-Forwarding, aber eine dauerhafte VPN Verbindung wäre mir lieber.


    Die finale Strecke wird sein:

    • lokaler Arbeitsplatz
    • lokale UDM Pro
    • lokale FritzBox Cable im Bridge Modus
    • dieses „Internet“
    • entfernte FritzBox 7270v3 DSL
    • entfernter „Server“ PC

    Welche Optionen habe ich? Am liebsten hätte ich ein Site-2-Site VPN zwischen der UDM Pro und der FritzBox, aber da hab ich wenig Hoffnung.

    Zweitbeste Lösung wäre, dass der entfernte Rechner sich ins VPN der UDM einwählen, aber auch da bin ich auf die Schnelle nicht fündig geworden.


    Was bleibt?

    Wireguard kann auch Site to Site, das könntest du mit 2 PIs oder Synologys oder so lösen.

    Gruß

    defcon

    Zitat von maxim.webster

    Was bleibt?

    Ipsec site-2-site. Kann die Fritte (klick!), kann die UDM Pro (klick!). Die Frage ist nur, was für einen Durchsatz Du erreichst, die Fritten sind doch recht schmalbrüstig. Hier kann es dann helfen, mal etwas mit der Verschlüsselung herumzuspielen. Apropos, mehr als 20 Mbit/s habe ich vor Jahren mir einer 4790 nicht erreicht, aber die Dinger sind ja schneller geworden.

    Zitat von defcon

    Wireguard kann auch Site to Site, das könntest du mit 2 PIs oder Synologys oder so lösen.

    Ne, nicht noch mehr Hardware, die „Remote Site“ ist das weitgehend technikfreie Elternhaus, der Mini PC wird die Beleuchtung steuern.

    Zitat von bic

    Ipsec site-2-site. Kann die Fritte (klick!), kann die UDM Pro (klick!). Die Frage ist nur, was für einen Durchsatz Du erreichst, die Fritten sind doch recht schmalbrüstig. Hier kann es dann helfen, mal etwas mit der Verschlüsselung herumzuspielen. Apropos, mehr als 20 Mbit/s habe ich vor Jahren mir einer 4790 nicht erreicht, aber die Dinger sind ja schneller geworden.

    Danke, das probiere ich aus. Durchsatz ist kein Problem, remote ist eh nur DSL16MBit/s und der Fernzugriff beschränkt sich auf SSH.

    Die Anleitung zur FritzBox bezieht sich auf FritzOS 7.29 oder höher. Die FB 7270 hat 6.06, neueres gibt es nicht (das Teil ist uralt).


    Aber - ich hab auf der FritzBox bereits einen VPN Zugang für mein iPhone eingerichtet, das ist auch IPSec. Grundsätzlich geht es also.


    Wer sollte eigentlich das VPN initiieren: Meine UDMP oder die entferne FritzBox?

    Ich scheitere schon an den Basics :frowning_face:


    Ich habe remote Zugriff auf die Fritzbox (via MyFritz-Dienst) und laut Anleitung gehe ich auf Internet -> Freigaben -> VPN: VPN Verbindung hinzufügen.



    Dort dann "Diese FRITZ!Box mit einem Firmen-VPN verbinden" bringt mich zu:



    So, schnell rüber auf die UDM Pro, VPN Settings, "Create-Site-to-Site VPN":



    Welcher Wert aus dem Unifi Interface muss in das Feld "VPN-Benutzername (Key-ID)" der Fritz!Box?

    Zitat von maxim.webster

    und der Fernzugriff beschränkt sich auf SSH

    Ah, noch einen Tipp, installiere Dir auf dem Ubuntu (ich mag Debian übrigens mehr) eine Mini-GUI und dann XRDP. Dann kommst Du bequem mit RDP auf die Kiste:


    Zitat von maxim.webster

    Ich scheitere schon an den Basics :frowning_face:



    Grundsätzlich sollte es dann gehen, falls die beiden Teile sich über die zu verwendenden Verschlüsselungsprofile selbstständig einigen können. Falls dies scheitert, musst du das händisch erledigen. Orientiere Dich hierzu bei o.a. Frittenlink und übernimm, bzw. gleiche die Werte mit der UDM ab. Ich habe bisher noch immer jedes Ipsec-VPN zum Laufen bekommen, egal mit welchen Kisten auch immer :smiling_face:


    Ich vergaß - beide Kisten müssen immer die öffentliche IP des Gegenübers kennen, dies funktioniert aber klaglos über Dyndns - es muss nicht einmal für beide der gleiche sein.

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von bic mit diesem Beitrag zusammengefügt.

    Zitat von bic

    Ich habe bisher noch immer jedes Ipsec-VPN zum Laufen bekommen, egal mit welchen Kisten auch immer

    Dann hast Du Dich für weitere Anfragen geradezu beworben, denn - es geht nicht.


    Aber im Detail: Ich hab zunächst auf der UDM Pro ein Site-2-Site-VPN aufgesetzt, wie folgt:


    Dann in der Fritzbox folgendes:


    Die Fritzbox meldet zyklisch "VPN-Fehler: 178.201.212.106, IKE-Error 0x203f". Wobei lt. Dokumentation 0x203f für "authentication failed" steht.


    Durch /var/log/messages der UDM Pro rauscht periodisch folgendes:


    Zitat von maxim.webster

    Die Fritzbox meldet zyklisch "VPN-Fehler: 178.201.212.106, IKE-Error 0x203f". Wobei lt. Dokumentation 0x203f für "authentication failed" steht.

    Na bitte, dann sehen sich die Kisten zumindest erst einmal. Vielleicht wird Dein Problem schon dann behoben, wenn Du für die Benutzerkennung nicht auf beiden Seiten "Remote" einträgst - ich hatte zwar geschrieben "wahlfrei" aber auch unterschiedlich. Dann schalte mal auf der UDM "PFS" aus, das kann die Fritte nicht. Wenn es dann immer noch nicht geht, vergleiche bitte den Preshared Key auf beiden Kisten, dieser muss identisch sein. Geht es dann immer noch nicht, dann bleibt nichts weiter, als auf beiden Geräten die verwendeten Schlüssel für Phase 1 und 2 abzugleichen, die müssen auch identisch sein.

    Zitat von bic

    Vielleicht wird Dein Problem schon dann behoben, wenn Du für die Benutzerkennung nicht auf beiden Seiten "Remote" einträgst - ich hatte zwar geschrieben "wahlfrei" aber auch unterschiedlich.

    Ändert nichts.



    Zitat von bic

    Dann schalte mal auf der UDM "PFS" aus, das kann die Fritte nicht.

    Das hatte ich schon gefunden (und deaktiviert), auch die DH Gruppe auf 2 (statt 14) gestellt.


    Zitat von bic

    Wenn es dann immer noch nicht geht, vergleiche bitte den Preshared Key auf beiden Kisten, dieser muss identisch sein.

    Ich hab den Key zu Testzwecken extern generieren lassen und in beide Seiten eingetragen. Keine Änderung (am Ergebnis).


    Zitat von bic

    Geht es dann immer noch nicht, dann bleibt nichts weiter, als auf beiden Geräten die verwendeten Schlüssel für Phase 1 und 2 abzugleichen, die müssen auch identisch sein.

    Wie? Auf der Fritzbox kann ich die vpncfg über den System Export finden, allerdings stehn die Schlüssel dort "maskiert" drin ($$$$GEBWQD3MU6HXYDMT....). Auf der UDM Pro finde ich nix.


    Aber - ich denke es wird eh nichts: Ich muss feststellen, dass die Remote Site (T-DSL) offenbar alle paar Minuten eine neue IP bekommt und diese public IP muss ja in der UDM Pro eingetragen werden. Ändert sich die Remote IP wechselt der Fehler von AUTH_FAILED auf NO_PROP. Die Remote IP dient offenbar zu Identifizierung des VPNs seitens der UDM Pro.


    Alternativees Szenario wäre ein VPN Aufbau seitens des Remote PCs zur UDM Pro, ähnlich wie ich es mit meine Telefon machen kann.

    Zitat von maxim.webster

    Die Anleitung zur FritzBox bezieht sich auf FritzOS 7.29 oder höher. Die FB 7270 hat 6.06, neueres gibt es nicht (das Teil ist uralt).

    Besorg dir aus der Bucht 'ne gebrauchte 7520. Die gibt da teilweise für <50€.

    Und dann flasht du die auf 7530 um:

    Fritzbox 7520: Unechte Einschränkungen
    Laut Datenblatt der Fritzbox 7520 erhält man nur zwei Gigabit-Ports und nur USB 2.0. Mit ein paar Anpassungen verpasst man der 7520 das 7530-Upgrade.
    www.heise.de


    Dann hast du für schmales Geld eine aktuelle Box, die noch ein paar Jahre mit Firmware-Updates versorgt wird.

    Zitat von maxim.webster

    Aber - ich denke es wird eh nichts: Ich muss feststellen, dass die Remote Site (T-DSL) offenbar alle paar Minuten eine neue IP bekommt und diese public IP muss ja in der UDM Pro eingetragen werden. Ändert sich die Remote IP wechselt der Fehler von AUTH_FAILED auf NO_PROP. Die Remote IP dient offenbar zu Identifizierung des VPNs seitens der UDM Pro.

    Das regelt man mit Dyndns, statt der Remote-ID wird in der UPN der FQDN des Dynaccount der Fritte eingetragen. Diesen Account mit der jeweils aktuellen IP zu füttern, sollte die Fritzbox wohl hinbekommen. Wenn Du zu Hause auch eine dynamische IP hast, gilt das Ganze natürlich auch umgekehrt. Wirff die Flinte nicht allzuschnell ins Korn :grinning_face_with_smiling_eyes:

    Scheint tatsächlich nur bei OpenVPN zu gehen :neutral_face: Ich habe noch einen Satz 15 Jahre alter Netgear SRX5308 VPN-Firewall-Router, die kannste haben, die können mit Dyndns bei IPsec umgehen. Genau so, wie die noch älteren FVS338, die BeIPs (da hätte ich auch noch welche), die Fritten und was sonst noch so kreucht und fleucht. Nur UniFi hat wohl keine Lust auf dieses Feature - Google ist voll von Beschwerden.


    Aber vielleicht hilft dies ja, zumindest temporär:


    "found a workaround which at least works till next reboot:

    here you find some Hints: https://help.ui.com/hc/en-us/a…roubleshooting-IPsec-VPNs

    ssh to your UDM

    swanctl --list-conns shows all connections configured

    cd /run/strongswan/ipsec.d/tunnels

    vi .config

    ## connection data ##

    left=xxx.xxx.xxx.xxx

    right=yyy.yyy.yyy.yyy

    remove IP and replace by the dyndns names

    save

    restart strongswan

    check log"