VLANs und L2TP VPN

**cosmos** · 18. November 2022

Hallo zusammen,

ich spiele gerade ein bisschen mit der VPN-Funktionalität unserer UDMP herum. Teleport/Wifiman war zwar erstmal einfach einzurichten, aber ernüchternd in der Funktion. Es ist schon beim Test am iPhone alle paar Sekunden abgestürzt. Nun also DDNS eingerichtet und den L2TP-VPN Server aktiviert. Klappt auch soweit. Mein Problem ist, dass ich jetzt Zugang in alle VLANs habe. Idealerweise können aber in Zukunft bestimmte Nutzer nur in bestimmte VLANs. Da ich unter Radius (zumindest im Legacy Interface) jedem Nutzer eine VLAN-ID zuordnen konnte, dachte ich, dass diese dann auch automatisch mit dem richtigen VLAN verbunden werden und sich nur dort "bewegen" können. Das ist nicht der Fall. Gibt es hier einen Workaround?

**cosmos** · 22. November 2022

Meine Google-Suche brachte mich zu folgenden Ergebnissen: https://administrator.de/forum…-vpn-und-vlan-561986.html und https://www.reddit.com/r/UNIFI…ers_into_different_vlans/ Demnach scheint es einfach nicht zu gehen. Irgendwie kann ich mir aber nicht richtig vorstellen, dass es da nicht irgendeine Lösung geben sollte. Es ist doch ein Standard-Szenario, dass bestimmte Nutzer über VPN einen Zugang zu bestimmten Ressourcen/Subnetzen bekommen können und zu anderen eben nicht. Wenigstens das Subnetz sollte doch zugeordnet werden können. Ist bei meiner Frau in der Firma auch so (die btw. auch eher klein als groß ist...). Da wir hier das Netz in mehrere private, dienstliche (und öffentliche) Bereiche segmentiert haben ist das VPN-Tool so für mich leider erstmal nutzlos. Einen Super-User soll das hier nicht ermöglichen ;-). Vielleicht hat ja jemand noch eine Idee.
Falls die Wireguard-Implementierung irgendwann mal auf die UDMP kommen sollte. Wäre die Zuordnung zu VLANs damit möglich? Über eine Antwort wäre ich sehr dankbar. Ist im Moment noch nicht soooo dringend, aber mittelfristig halt schon und da braucht es dann eine Lösung.

**maikki** · 23. November 2022

Hallo cosmos

Das gleiche Problem nervt mich auch seit ich die UDM Pro habe (ca 2 Jahre). Zusätzlich kann ich aktuell mit meinem Android Smartphone (Android 13) keine VPN Verbindung mehr herstellen. Echt mühsam aktuell, die schlechte VPN Integration. Teleport funktioniert leider nur wenn man den Fernzugriff erlaubt, das möchte ich aber nicht. Somit, abwarten bis eventuell ein Update auf die 2.x oder sogar 3.x erscheint.

Was ich gemacht habe um trotzdem eine Trennung zu erreichen:

Bei Profiles habe ich bei "Port and IP Groups" eine Gruppe mit der IP Adresse des VPN Netzwerk erstellt.

Danach bei den Firewal Regeln diverse Regeln mit "LAN OUT" erstellt. Zuerst das Intervlan Routing geblockt und dann die Verbindungen zu den jeweiligen Geräten wieder freigegeben.

Einziges Problem dabei ist, es haben alle die gleichen Möglichkeiten. Du kannst so keine Benutzerunterschiede machen. Das ist aktuell bei mir noch der Knackpunkt, da ich selber gerne mehr Freiheiten hätte als meine "Gäste".

Leider kann man auch nicht den jeweiligen Benutzern eine Feste IP Adresse im VPN zuweisen. Oder ich habe es einfach nicht gefunden. Weil dann könnte man ja Firewall Regeln anhand der IP Adressen erstellen.

Deshalb bin ich drauf und dran meine UDMP zeitnah eventuell durch eine OPNSense zu ersetzen. Mir stellt sich hier die Frage, wäre es eventuell möglich auf die UDMP OPNSense zu installieren?

Gruss mAik

**cosmos** · 23. November 2022

Hi mAik,

vielen Dank für deine Rückmeldung. Deinen Lösungsansatz hatte ich mir so in etwa auch gedacht, aber irgendwie trotzdem gehofft, dass sich individuellere Freigaben und Zuordnungen ermöglichen lassen. Ich weiß jetzt, dass das nicht möglich ist. Nichtsdestotrotz bietet dein Ansatz zumindest eine Art provisorische Lösung, weil dadurch ein "Super-User" vermieden wird. Damit ließe sich erstmal arbeiten, wenn auch nicht optimal. Mit pfSense/OPNsense hatte ich mich in diesem Zusammenhang auch schonmal beschäftigt, aber ehrlich gesagt, bin ich mit der UDMP in unserem Einsatzszenario gar nicht mal so unzufrieden und würde die nicht gerne austauschen wollen. Ich hoffe mal auf ein entsprechendes Update, wobei ich, ehrlich gesagt, auch gar nicht weiß, ob die Wireguard-Implementiereung, wie sie bei der SE verwirklicht ist, mein Problem mit den VLANs wirklich lösen würde. Wäre ja nicht das erste Mal, dass Unifi es "anders" machen würde. Wenn alle Stricke reißen, müsste die UDMP halt trotzdem raus.

**maikki** · 23. November 2022

Zitat von cosmos

Mit pfSense/OPNsense hatte ich mich in diesem Zusammenhang auch schonmal beschäftigt, aber ehrlich gesagt, bin ich mit der UDMP in unserem Einsatzszenario gar nicht mal so unzufrieden und würde die nicht gerne austauschen wollen. Ich hoffe mal auf ein entsprechendes Update, wobei ich, ehrlich gesagt, auch gar nicht weiß, ob die Wireguard-Implementiereung, wie sie bei der SE verwirklicht ist, mein Problem mit den VLANs wirklich lösen würde. Wäre ja nicht das erste Mal, dass Unifi es "anders" machen würde. Wenn alle Stricke reißen, müsste die UDMP halt trotzdem raus.

Ja ich bin sonst grundsätzlich auch zufrieden mit der UDMP. Läuft sonst top und hatte selten irgendwelche Probleme. Manchmal vermisse ich noch ein besseren Firewall Log mit Live view. Aber mit etwas testen fand ich dann die Fehler auch so..

Zur Umsetzung der Wireguard Implementierung kann eventuell ein UDMP SE User mehr dazu sagen.

Gruss mAik

**cosmos** · 23. November 2022

Zitat von maikki

Zur Umsetzung der Wireguard Implementierung kann eventuell ein UDMP SE User mehr dazu sagen.

Das wäre definitiv hilfreich :-).

Willkommen! Melden Sie sich an oder registrieren Sie sich.

VLANs und L2TP VPN

Ähnliche Themen

Site-to-Site-VPN von UDM --> FritzBox und generelle VPN-Fragen

L2TP-VPN zu UDM-Pro ok, aber kein Zugang zu den internen VLANs

UDM Pro VPN Teilweise nicht erreichbar?

2 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 63

Wer war online 75