Unifi OS 3.0.13 -> VPN-Client-> Zweite VPN-Verbindung funktioniert nicht

**Truman** · 14. Dezember 2022

Hallo,

ich habe auf meiner UDM SE UniFi OS 3.0.13 laufen und habe jetzt zwei VPN-Client Konfigurationen angelegt.
Beide sind beim zweiten Anbieter, ein VPN geht zu Land 1 und das andere zu Land 2.

Beide Netzwerke verbinden und es wird auch eine entsprechende IP im VPN-Client der UDM angezeigt.

Im Traffic Management route ich VPN1 zu VLAN50 und VPN2 zu VLAN51. Für beide VLAN´s gibt es auch ein separates WLAN-Netzwerk.

Verbinde ich mich nun mit Wifi 1 (=VPN1) und prüfe die Verbindung bzw. mache einen DNS Leak Test, so ist alles in Ordnung. Der Traffic wird durch das VPN geleitet.
Verbinde ich mich mit Wifi 2 (=VPN2), dann verlaufen die entsprechenden Tests alle negativ, so dass offensichtlich der Traffic nicht durch dieses VPN geleitet wird.

Hat jemand ähnliche Erfahrungen gemacht ?

Weiterhin würde mich noch interessieren, wie ihr ggf. das Routing mit den Möglichkeiten des Traffic Managements machen würdet. Ich würde gerne alle Geräte, die in VLAN51 und VLAN52 sind über das VPN Routen, aber die Geräte sollen bei Zugriff auf interne Adressen (im gleichen VLAN oder in anderen VLANs), direkt Zugriff auf diese VLANs haben. Ich hoffe, ich habe mich verständlich ausgedrückt.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Kann es sein, dass du im VLAN51 IPv6 aktiv hast?

**Truman** · 14. Dezember 2022

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Kann es sein, dass du im VLAN51 IPv6 aktiv hast?

Ich habe gerade nochmal nachgesehen. IPv6 ist bei beiden VLANs deaktiviert.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Also, da ich selber an VPN drann bin hab ich das mal versucht mit NordVPN zu reproduzieren:

UDM-SE-EU - Settings - Teleport & VPN - Create new VPN Client #909 DE NordVPN UDP

Name: #909 DE NordVPN UDP

VPN Type: OpenVPN

Username: <Geheim>

Password: ••••••••••••••••••••••••

Configuration File: de909.nordvpn.com.udp.ovpn

UDM-SE-EU - Settings - Teleport & VPN - Create new VPN Client #909 DE NordVPN UDP

Name: #1054 DE NordVPN UDP

VPN Type: OpenVPN

Username: <Geheim>

Password: ••••••••••••••••••••••••

Configuration File: de1054.nordvpn.com.udp.ovpn

Als nächtes habe ich 2 eigene Netzwerke angelegt.

UDM-SE-EU - Settings - Networks - NordVPN LAN #1

UDM-SE-EU - Settings - Networks - NordVPN LAN #2

Meine WIndows Kiste hängt am Port2 an der UDM-SE.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Wenn ich jetzt am Port2 das Portprofil auf "NordVPN LAN #2" abändere, komme ich über den gewünschten VPN raus!

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Aktuelle Einstellung mit "NordVPN LAN #2"

Code: ifconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DESKTOP-SOM2LB5
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : nordvpn02.lan

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: nordvpn02.lan
   Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Controller (3) I225-V
   Physische Adresse . . . . . . . . : 68-54-5A-05-31-AE
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::9576:2c0:216b:539b%6(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.9.61(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 14. Dezember 2022 17:56:43
   Lease läuft ab. . . . . . . . . . : Donnerstag, 15. Dezember 2022 17:56:42
   Standardgateway . . . . . . . . . : 192.168.9.1
   DHCP-Server . . . . . . . . . . . : 192.168.9.1
   DHCPv6-IAID . . . . . . . . . . . : 409490522
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-2A-07-C2-ED-00-25-22-E7-EB-25
   DNS-Server  . . . . . . . . . . . : 192.168.9.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Alles anzeigen

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Aktuelle Einstellung mit "NordVPN LAN #1"

Code: ifconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DESKTOP-SOM2LB5
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : nordvpn01.lan

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: nordvpn01.lan
   Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Controller (3) I225-V
   Physische Adresse . . . . . . . . : 68-54-5A-05-31-AE
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::9576:2c0:216b:539b%6(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.8.61(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 14. Dezember 2022 17:48:54
   Lease läuft ab. . . . . . . . . . : Donnerstag, 15. Dezember 2022 17:48:54
   Standardgateway . . . . . . . . . : 192.168.8.1
   DHCP-Server . . . . . . . . . . . : 192.168.8.1
   DHCPv6-IAID . . . . . . . . . . . : 409490522
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-2A-07-C2-ED-00-25-22-E7-EB-25
   DNS-Server  . . . . . . . . . . . : 192.168.8.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Alles anzeigen

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Ganz wichtig, beim switchen des Portprofil muss man einmal die Netzwerkverbindung trennen und wieder neu verbinden, damit man ein neues DHCP Lease erhält!

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Und zu deiner letzten Frage, du musst gucken, dass deine Netzwerke sich in den Einstellung -> Networks -> Global Network Settings -> Multicast DNS befinden!

**Truman** · 14. Dezember 2022

Erstmal vielen Dank für deine detaillierte Darstellung. Ich kann nicht wirklich Unterschiede zu meiner Konfiguration erkennen. Ich habe die zweite Verbindung auch nochmal gelöscht und neu angelegt. Weiterhin habe ich auch nochmal ein weiteres ovpn-File von NordVPN heruntergeladen, um auszuschließen, dass etwas mit dem Konfigurationsfile falsch ist.

Nachfolgend meine Einstellungen:

VPN-Client:

Traffic-Management:

Netzwerk:

VLAN1:

VLAN2:

Vielleicht sieht ja jemand noch etwas.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Und zu deiner letzten Frage, du musst gucken, dass deine Netzwerke sich in den Einstellung -> Networks -> Global Network Settings -> Multicast DNS befinden!

Die Netzwerke befinden sich im Multicast DNS. Allerdings möchte ich das Ganze noch etwas restriktiver handhaben. Gerät X im VLAN1 soll nur nur mit Gerät Y und Z kommunizieren dürfen usw.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Hast du die Möglichkeit mit nem Windows Lappy auf beide Netzwerke via WIFI zuzugreifen? Das mit dem isolierten Routing würde ich erst als 2. Prio setzten. Erstmal müssen wir schauen das beide Netzwerke ins jeweilige VPN richtig geroutet werden.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Was natürlich auch sein kann, dass dein routing table bogus ist durch das ganze testen. Hier würde ich vorschagen deine UDM-SE oder nur das Netzwerk mit service unifi restart neu zu starten

**Truman** · 14. Dezember 2022

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Hast du die Möglichkeit mit nem Windows Lappy auf beide Netzwerke via WIFI zuzugreifen?

Ich habe ein Macbook. Ich hoffe, das tut es auch ;).

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Hier würde ich vorschagen deine UDM-SE oder nur das Netzwerk mit service unifi restart neu zu starten

Das habe ich gemacht. Ergebnis ist das gleiche.

Könnte es vielleicht einen Zusammenhang mit split-vpn geben ? Das hatte ich noch installiert, als ich das Update auf 3.0.13 durchgeführt habe. Allerdings habe ich es gelöscht, bevor ich den OS internen VPN-Client verwendet habe.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

poste mal bitte das Routing Table von deiner UDM-SE und deinem MacBook. Bitte drauf achten, dass du deine Public IPv4/6 anonymisierst

**Truman** · 14. Dezember 2022

Hier mal die IP4 Routing Tabellen des Macbook:

Routing tables

Internet:

Destination. Gateway Flags Netif Expire

default 192.168.51.1. UGScg en0

127 127.0.0.1 UCS lo0

127.0.0.1 127.0.0.1 UH lo0

169.254 link#6 UCS en0 !

192.168.51 link#6 UCS en0 !

192.168.51.1/32 link#6 UCS en0 !

192.168.51.1 v 75:a9:44:af:97:3a UHLWIir en0 1179

192.168.51.16/32 link#6 UCS en0 !

192.168.51.255 ff:ff:ff:ff:ff:ff UHLWbI en0 !

224.0.0/4 link#6 UmCS en0 !

224.0.0.251 1:0:5a:0:0:ff UHmLWI en0

255.255.255.255/32 link#6 UCS en0 !

Und hier noch von der UDM SE:

Last login: Wed Dec 14 22:35:39 2022 from 192.168.51.16

root@UDM-SE:~# ip route

10.8.0.0/24 dev tunovpnc1 proto kernel scope link src 10.8.0.12

10.8.3.0/24 dev tunovpnc2 proto kernel scope link src 10.8.3.11

62.155.243.214 dev ppp0 proto kernel scope link src 193.159.63.76

77.243.181.195 dev ppp0 scope link

192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1

192.168.20.0/24 dev br20 proto kernel scope link src 192.168.20.1

192.168.30.0/24 dev br30 proto kernel scope link src 192.168.30.1

192.168.50.0/24 dev br50 proto kernel scope link src 192.168.50.1

192.168.51.0/24 dev br51 proto kernel scope link src 192.168.51.1

192.168.178.0/24 dev br178 proto kernel scope link src 192.168.178.1

Reicht das ?

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Wenn du auf der SE und Mac i Terminal folgendes eingibst: curl ifconfig.me wird dir dann die richtige public tunnel ip angezeigt?

**Truman** · 14. Dezember 2022

Ich weiss nicht, ob das mit dem vorherigen Neustart des Netzwerks zusammenhängt, aber jetzt komme ich auch über das vorher noch funktionierende VLAN (VLAN50) nicht mehr ins Internet.

Entsprechend ergibt curl ifconfig.me für beide VPN-Verbindungen, dass der Host nicht aufgelöst werden kann.

VLAN51 (die zweite VPN-Verbindung) zeigt die Public IP an.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Public IP Adressen lassen sich jedoch anpingen? Versuche mal Smart DNS Server bei NordVPN zu aktievieren und trage diese mal bitte in deine Netzwerke als DNS Server ein!

**Truman** · 14. Dezember 2022

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Public IP Adressen lassen sich jedoch anpingen?

Ja, das hat geklappt.

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Versuche mal Smart DNS Server bei NordVPN zu aktievieren und trage diese mal bitte in deine Netzwerke als DNS Server ein!

SmartDNS habe ich jetzt aktiviert. Bei VPN1 kann ich trotzdem keine Webseite aufrufen. Bei VPN2 kann ich ins Internet. Bei http://www.dnsleaktest.com wird mir aber die Public IP angezeigt. Beim Test wird mir aber der DNS von NordVPN gelistet.

**꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂** · 14. Dezember 2022

Ich gehe mal von aus, dass du die DNS Server von SmartDNS ebenfalls im Netzwerk von VPN1 eingetragen hast! Du bist dir sicher, dass du beide Routen jeweils unter Traffic Management richtig eingestellt hast?

Sonnst ist das ganze ziemlich strange.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Unifi OS 3.0.13 -> VPN-Client-> Zweite VPN-Verbindung funktioniert nicht

Tags

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 104

Wer war online 218