WireGuard-VPN mit Win10/11-Clients und Zugriff auf alle VLANs

Es gibt 19 Antworten in diesem Thema, welches 4.232 mal aufgerufen wurde. Der letzte Beitrag () ist von Saarlaender.

    Servus Leute,


    ich hab ganz frisch meine UDM SE und soweit alles mehr oder weniger so eingerichtet wie zuvor mit dem USG-4-Pro.

    Mir fehlt jetzt noch die VPN-Verbindung, die zuvor via L2TP ging und jetzt gerne via Wireguard.


    Ich habe mal testweise eine Verbindung eingerichtet, kann allerdings nach dem Aufbau der Verbindung weder online noch lokal irgendwas erreichen.


    (Wie) richte ich die VPN-Verbindung korrekt ein, sodass ich alle Netzwerke erreichen kann? Dh. genau so, als ob der Client tatsächlich im lokalen Netz wäre....




    Vielen Dank für die Hilfe

    Zeig doch mal deine conf datei ...

    Bitte die Keys und deine IP/Dyndns löschen :smiling_face:


    Danke.

    Gefällt mir 1

    Is das ne Fangfrage? 😁


    Da bräucht ich eine kurze Hilfestellung wie ich da ran komme - habs über die Weboberfläche eingerichtet.


    Ich hatte unter advanced noch als DNS den Gateway sowie 8.8.8.8 drinne



    Beim USG-4-Pro musste man damals glaube ich extra irgendwo eintragen, welche Netze vom VPN-Netz aus erreichbar sind. Ausserdem musste man damals wirklich ein VPN-Netzwerk anlegen sowie Radius-Nutzer etc.


    Das entfällt hier alles?

    Hallo Saarlaender,


    was soll daran eine Fangfrage sein. Wir reden hier über Wireguard.

    Wenn du einen Account erstellst wird dir ein Download für den Client angeboten.

    Diesen herunterladen und mit einem Editor öffnen.


    Der sieht dann so oder so ähnlich aus... Ich trage da nur die DYNDNS ein und schon geht alles und ich komme in jedes Netz bei mir.

    Ohne eine weitere Freigabe oder Konfiguration.


    Code
    [Interface]
PrivateKey = Geheim
Address = 192.168.4.7/32
DNS = 1.1.1.1,192.168.1.1

[Peer]
PublicKey = Geheim
AllowedIPs = 192.168.4.1/32,192.168.4.7/32,0.0.0.0/0
Endpoint = dyndns:45766


    Dank dieses Forums konnte ich das letzte feintunnig machen :smiling_face:


    Läuft bei mir mit 6 Endgeräten ohne Probleme.

    Danke 1

    Sorry, ich dachte du meintest die Unifi Gateway-Konfig (das geht ja auch irgendwie via Text bzw. SSH).


    In der WireGuard-Datei steht folgendes:

    Code
    [Interface]
PrivateKey = xxx
Address = 192.168.10.2/32
DNS = 192.168.1.1,1.1.1.1

[Peer]
PublicKey = xxx
AllowedIPs = 192.168.10.1/32,192.168.10.2/32,0.0.0.0/0
Endpoint = dyndns:port

    Erreichen möchte ich folgende IP-Ranges / Netzwerke via VPN (also genau so, als wenn mein Laptop zuhause lokal angeschlossen wäre)

    • 192.168.1.0/24 (Default, hat keine VLAN-Einstellung - Internetzugang hat aber VLAN 7 wg. Telekom)
    • 192.168.2.0/24 (VLAN 2)
    • 192.168.171.0/24 (VLAN 171)
    • 192.168.172.0/24 (VLAN 172)

    Ich hatte auch Probleme meine Netze alle sauber zu erreichen. Erst mit dem nachfolgenden Eintrag ging es bei mir:


    AllowedIPs = 192.168.10.1/32,192.168.10.2/32,192.168.0.0/16

    Zitat von thghh

    Ich hatte auch Probleme meine Netze alle sauber zu erreichen. Erst mit dem nachfolgenden Eintrag ging es bei mir:


    AllowedIPs = 192.168.10.1/32,192.168.10.2/32,192.168.0.0/16

    Wenn Du 192.168.0.0/16 (Host-Adressbereich: 192.168.0.1 - 192.168.255.254) in die AllowedIPs schreibst, dann kannste Dir aber 192.168.10.1/32,192.168.10.2/32 sparen, denn die sind beim letzten Netz mit drin. :winking_face:

    Ja das ist bekannt aber ich wollte nichts weiter daran ändern, weil ja die Syntax von der UDM kommt.

    Also ich hab jetzt durch Löschen der DNS Einträge (192.168.1.1 - IP UDM, 1.1.1.1) geschafft dass ich "online" komme via VPN


    Aber die internen IPs sind nicht erreichbar


    Mein VPN Netz ist 192.168.10.x


    Was fehlt noch?Muss ich das VPN Netz nicht noch unter Netzwerke anlegen?



    edit: Bei L2TP gehts

    Einmal editiert, zuletzt von Saarlaender ()

    Trage bei


    AllowedIPs = 192.168.0.0/16


    und teste.

    Hast du die UDM-SE mal neu gestartet?

    Nein das wird automatisch vom System angelegt werden.

    Da kann man ja nicht so viel falsch machen und eine Verbindung wird bei dir ja aufgebaut. Bei mir ist nur anders, dass ich die Netze 192.168.1.0 bis 192.168.9.0 nicht belegt habe, da dieser Bereich von UniFi genutzt werden kann.


    Guten Rutsch auch aus Hamburg

    Also ich werde es mal mit Automatischen Einstellungen testen aber ansonsten hab ich echt keinen Plan wieso es mit L2TP geht aber nicht mit WireShark.



    PS: Wie bekommt ihr die Konfig-Datei sicher aufs iPhone? QR Code gibts ja keinen zum Scannen

    Zitat von Saarlaender

    PS: Wie bekommt ihr die Konfig-Datei sicher aufs iPhone? QR Code gibts ja keinen zum Scannen


    In der WG App oben rechts das Pluszeichen drücken und dann aus Datei erstellen anklicken.


    Wie hast du es den bisher gemacht?

    Also verstehen tu ichs nich, aber nun gehts.


    Was ich gemacht habe:


    Wireguard-VPN im Unifi-Portal auf Automatisch gestellt -> Apply -> dann wieder auf Manuell gestellt -> Apply und danach die Clients neu angelegt mit Einstellung auf manuell (und manueller Vergabe IP).

    In der Config hab ich dann alles wie folgt eingestelt

    [Interface]
    PrivateKey = xxx
    Address = 192.168.10.11/32
    DNS = 192.168.1.1,1.1.1.1

    [Peer]
    PublicKey = xxx
    AllowedIPs = 192.168.0.0/16,0.0.0.0/0
    Endpoint = xxx:51820



    Jetzt geht "normales surfen" und ich kann auch die "internen" IPs / Netze erreichen