Wireguard Site to Site VPN

climbingflo · January 10, 2023 at 8:00 PM

Hallo zusammen,

nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Und zwar folgendes:

Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt miteinander zu verbinden.

Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...

Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???

Weiß hier eventuell jemand nen Trick, wie ich das per WireGuard hinbekomme? Ich denke nicht, dass ich auf einen Client des WireGuard Servers ein ganzes Netz routen kann... Oder doch?

Oder weiß evtl. jemand, dass bei Ubiquiti in die Richtung schon etwas in Arbeit ist?

VIele Grüße

Climbingflo

bic · January 11, 2023 at 12:47 AM

Quote from climbingflo

Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...
Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???

Vielleicht hilft ja das hier.

graefe · January 30, 2023 at 10:29 PM

Quote from climbingflo

Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...
Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???

Ubiquiti stellt sich das so vor, dass User mit Dynamischen IPs das bereits integrierte OpenVPN mit DynDNS benutzen.

bic · January 30, 2023 at 11:16 PM

Quote from graefe

Ubiquiti stellt sich das so vor

Tja, halt Consumerkram

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

IPsec mit einem halbweg modernen Verschlüsselungsverfahren (ein auf die AES-NI Extension der x86 Architektur abgestimmtes) hat eine deutlich höhere Performance als OpenVPN, schon allein deshalb, weil OpenVPN nur single-threaded läuft und nicht von Multi-Core CPUs profitiert - siehe auch hier und hier.

graefe · January 31, 2023 at 9:00 AM

Vor allem dass Ubiquiti das OpenVPN-Ding dermaßen kastriert implementiert hat, dass offensichtlich nur mit einer Ubiquiti-Gegenstelle Site-to-Site-VPN möglich ist, macht daraus „Consumerkram“.

jkasten · January 31, 2023 at 1:37 PM

Kommt noch mehr... Unter anderem Wireguard:

Add Magic Site-To-Site VPN Support (uses Wireguard VPN & OSPF, and requires UniFi OS 3.1+ Consoles with gateways).

Bertl · August 6, 2023 at 8:20 PM

Wann kommt denn das?

Bertl · August 8, 2023 at 9:59 AM

Oder meinst du das "Magic SD-Wan"?

**tomtim** · May 7, 2024 at 9:29 AM

Gibt es nun schon einen Weg - Site 2 Side mit einer PFSense zu realisieren ?

Als Client kappt es, aber leider dann eben nur in eine Richtung.

DoPe · May 7, 2024 at 10:29 AM

Schau dir mal das Video an. Insbesondere die Firewallregel die da im Edge Router bei WAN_IN eingetragen wird. Mit der sollte es dann auch klappen.

Es wird aber trotzdem keine Vollwertige S2S, da der Wireguard Client NATet. Für viele Dinge egal, aber ein VOIP Telefon im Clientnetz, welches an einer TK-Anlage im PFSense Netzt ist ... problematisch

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

External Content www.youtube.com

Content embedded from external sources will not be displayed without your consent.

**tomtim** · May 7, 2024 at 3:12 PM

Ich bin ja verbunden mit der PFSense... ich kann da die PFsense anpingen ... aber von der PFsense komme ich nicht ins Unifi Netz...

Ping an meine Geräte geht nicht. Das heisst mir fehlt wohl an der UDM was.

DoPe · May 7, 2024 at 4:51 PM

einfach nochmal lesen was ich oben geschrieben hab.

**tomtim** · May 7, 2024 at 8:20 PM

Hmm, ich lese das aber weiss nicht was du meinst...

Am besten die UDM SE rausschmeissen und dafür einen Pfsense Router hinstellen... Kostet viel weniger und funktioniert einfach.

Ich verstehe absolut nicht warum Unifi ein Wireguard S2S drin hat ... Nur mit den neuen Dingern da für 100Euro geht das in der Software.

DoPe · May 7, 2024 at 10:38 PM

Unifi hat kein S2S Wireguard drin. Nur Server und Client. Damit kann man was bauen was dicht dran ist.

tomtim Hast Du das Video geschaut? Da ist eine Stelle bei der explizit eine Firewallregel erwähnt wird. Genau die brauchst Du auch.

**tomtim** · May 8, 2024 at 6:43 AM

Ok, schau ich mir nachher nochmal an.

Jensus11 · July 29, 2024 at 9:50 PM

Moin,

konntest das lösen? Ich habe auch das Problem, dass ich von der Server Seite nicht ins Client Netz komme. Vom Client zum Server klappt super. Ich habe 2 UDMs SE die direkt verbunden werden sollen.

DoPe · July 29, 2024 at 10:12 PM

- Firewallregeln erstellen

- NAT auf Wireguard Client deaktivieren

- Remotenetwork beim Client in der Serverkonfiguration eintragen.

Und natürlich müssen die Geräte aus dem Clientnetzwerk auch den Tunnel nutzen.

Jensus11 · July 29, 2024 at 10:41 PM

Quote from DoPe

- Firewallregeln erstellen
-> ich denke das machen die Geräte selber, wurde in der Youtube Anleitung gesagt.

- NAT auf Wireguard Client deaktivieren
-> wie mache ich das? Oder wo finde ich diese Option?

- Remotenetwork beim Client in der Serverkonfiguration eintragen.
-> ist erledigt, beide Netze sind in der Serverkonfiguration eingetragen.

Und natürlich müssen die Geräte aus dem Clientnetzwerk auch den Tunnel nutzen.
-> ich möchte den Tunnel um auf die Geräte und Dienste von der Serverseite zu zugreifen. Für Fernwartung und Konfigurationen.
Dafür habe ich auf der Clientseite zwei statische Routen eingerichtet.

Display More

Ich habe mal direkt unter deine Antworten geantwortet.

DoPe · July 29, 2024 at 11:44 PM

Die einzige Firewallregel die automatisch angelegt wird, ist auf der Serverseite für den Wireguard Serverport damit die Clients eine Verbindung aufbauen können. Je nachdem was noch so in der Firewall drin ist, muss hier ggf. angepasst werden.

NAT kann in der aktuellen Netwok Version unter Settings - Routing - NAT angepasst werden.

Für konkretere Hilfe brauchts Infos über die Netze auf Server und Clientseite und VPN Tunnelnetz, Firewallregeln bei INTERNET_IN und INTERNET_LOCAL

Jensus11 · July 30, 2024 at 11:37 AM

Hier mal die Infos.

Wie zuvor erwähnt, vom Client zum Server geht, nur vom Server zum Client nicht.

UDM Server: 192.168.8.1 mit 192.168.8.0/24 sowie 192.168.50.0/24

UDM Client: 192.168.1.1 mit 192.168.1.0/24 sowie 10.0.50.0/24

Tunnelnetz: 10.12.13.0/24 mit Gateway 10.12.13.1

Was zu allen Anleitungen nicht funktioniert, ist das Hinzufügen des Tunnelnetzes als Remote-Client-Netzwerk auf der Serverseite.

Auf der Clientseite habe ich die Config angepasst und dann eingefügt.

Sowie die statischen Routen eingefügt.

Firewall vom Client.

Participate now!