Wireguard Site to Site VPN

Es gibt 40 Antworten in diesem Thema, welches 10.979 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke :winking_face_with_tongue: Und zwar folgendes:


    Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt miteinander zu verbinden.


    Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...

    Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???


    Weiß hier eventuell jemand nen Trick, wie ich das per WireGuard hinbekomme? Ich denke nicht, dass ich auf einen Client des WireGuard Servers ein ganzes Netz routen kann... Oder doch?

    Oder weiß evtl. jemand, dass bei Ubiquiti in die Richtung schon etwas in Arbeit ist?


    VIele Grüße

    Climbingflo

    Zitat von climbingflo

    Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...

    Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???

    Ubiquiti stellt sich das so vor, dass User mit Dynamischen IPs das bereits integrierte OpenVPN mit DynDNS benutzen.

    Zitat von graefe

    Ubiquiti stellt sich das so vor

    Tja, halt Consumerkram :face_with_tongue:


    IPsec mit einem halbweg modernen Verschlüsselungsverfahren (ein auf die AES-NI Extension der x86 Architektur abgestimmtes) hat eine deutlich höhere Performance als OpenVPN, schon allein deshalb, weil OpenVPN nur single-threaded läuft und nicht von Multi-Core CPUs profitiert - siehe auch hier und hier.

    Vor allem dass Ubiquiti das OpenVPN-Ding dermaßen kastriert implementiert hat, dass offensichtlich nur mit einer Ubiquiti-Gegenstelle Site-to-Site-VPN möglich ist, macht daraus „Consumerkram“.

    Kommt noch mehr... Unter anderem Wireguard:

    • Add Magic Site-To-Site VPN Support (uses Wireguard VPN & OSPF, and requires UniFi OS 3.1+ Consoles with gateways).

    Schau dir mal das Video an. Insbesondere die Firewallregel die da im Edge Router bei WAN_IN eingetragen wird. Mit der sollte es dann auch klappen.

    Es wird aber trotzdem keine Vollwertige S2S, da der Wireguard Client NATet. Für viele Dinge egal, aber ein VOIP Telefon im Clientnetz, welches an einer TK-Anlage im PFSense Netzt ist ... problematisch :winking_face:


    [Externes Medium: https://www.youtube.com/watch?v=JBYILNJK9zY]

    Ich bin ja verbunden mit der PFSense... ich kann da die PFsense anpingen ... aber von der PFsense komme ich nicht ins Unifi Netz...

    Ping an meine Geräte geht nicht. Das heisst mir fehlt wohl an der UDM was.


    Hmm, ich lese das aber weiss nicht was du meinst...


    Am besten die UDM SE rausschmeissen und dafür einen Pfsense Router hinstellen... Kostet viel weniger und funktioniert einfach.

    Ich verstehe absolut nicht warum Unifi ein Wireguard S2S drin hat ... Nur mit den neuen Dingern da für 100Euro geht das in der Software.

    Unifi hat kein S2S Wireguard drin. Nur Server und Client. Damit kann man was bauen was dicht dran ist.


    tomtim Hast Du das Video geschaut? Da ist eine Stelle bei der explizit eine Firewallregel erwähnt wird. Genau die brauchst Du auch.

    - Firewallregeln erstellen

    - NAT auf Wireguard Client deaktivieren

    - Remotenetwork beim Client in der Serverkonfiguration eintragen.


    Und natürlich müssen die Geräte aus dem Clientnetzwerk auch den Tunnel nutzen.

    Ich habe mal direkt unter deine Antworten geantwortet.

    Die einzige Firewallregel die automatisch angelegt wird, ist auf der Serverseite für den Wireguard Serverport damit die Clients eine Verbindung aufbauen können. Je nachdem was noch so in der Firewall drin ist, muss hier ggf. angepasst werden.


    NAT kann in der aktuellen Netwok Version unter Settings - Routing - NAT angepasst werden.


    Für konkretere Hilfe brauchts Infos über die Netze auf Server und Clientseite und VPN Tunnelnetz, Firewallregeln bei INTERNET_IN und INTERNET_LOCAL

    Hier mal die Infos.

    Wie zuvor erwähnt, vom Client zum Server geht, nur vom Server zum Client nicht.


    UDM Server: 192.168.8.1 mit 192.168.8.0/24 sowie 192.168.50.0/24

    UDM Client: 192.168.1.1 mit 192.168.1.0/24 sowie 10.0.50.0/24

    Tunnelnetz: 10.12.13.0/24 mit Gateway 10.12.13.1


    Was zu allen Anleitungen nicht funktioniert, ist das Hinzufügen des Tunnelnetzes als Remote-Client-Netzwerk auf der Serverseite.




    Auf der Clientseite habe ich die Config angepasst und dann eingefügt.

    Sowie die statischen Routen eingefügt.




    Firewall vom Client.