Wireguard Site to Site VPN

Es gibt 14 Antworten in diesem Thema, welches 6.657 mal aufgerufen wurde. Der letzte Beitrag () ist von tomtim.

    Hallo zusammen,


    nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke :winking_face_with_tongue: Und zwar folgendes:


    Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt miteinander zu verbinden.


    Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...

    Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???


    Weiß hier eventuell jemand nen Trick, wie ich das per WireGuard hinbekomme? Ich denke nicht, dass ich auf einen Client des WireGuard Servers ein ganzes Netz routen kann... Oder doch?

    Oder weiß evtl. jemand, dass bei Ubiquiti in die Richtung schon etwas in Arbeit ist?


    VIele Grüße

    Climbingflo

    Zitat von climbingflo

    Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...

    Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???

    Ubiquiti stellt sich das so vor, dass User mit Dynamischen IPs das bereits integrierte OpenVPN mit DynDNS benutzen.

    Zitat von graefe

    Ubiquiti stellt sich das so vor

    Tja, halt Consumerkram :face_with_tongue:


    IPsec mit einem halbweg modernen Verschlüsselungsverfahren (ein auf die AES-NI Extension der x86 Architektur abgestimmtes) hat eine deutlich höhere Performance als OpenVPN, schon allein deshalb, weil OpenVPN nur single-threaded läuft und nicht von Multi-Core CPUs profitiert - siehe auch hier und hier.

    Vor allem dass Ubiquiti das OpenVPN-Ding dermaßen kastriert implementiert hat, dass offensichtlich nur mit einer Ubiquiti-Gegenstelle Site-to-Site-VPN möglich ist, macht daraus „Consumerkram“.

    Kommt noch mehr... Unter anderem Wireguard:

    • Add Magic Site-To-Site VPN Support (uses Wireguard VPN & OSPF, and requires UniFi OS 3.1+ Consoles with gateways).

    Gibt es nun schon einen Weg - Site 2 Side mit einer PFSense zu realisieren ?

    Als Client kappt es, aber leider dann eben nur in eine Richtung.

    Schau dir mal das Video an. Insbesondere die Firewallregel die da im Edge Router bei WAN_IN eingetragen wird. Mit der sollte es dann auch klappen.

    Es wird aber trotzdem keine Vollwertige S2S, da der Wireguard Client NATet. Für viele Dinge egal, aber ein VOIP Telefon im Clientnetz, welches an einer TK-Anlage im PFSense Netzt ist ... problematisch :winking_face:


    [Externes Medium: https://www.youtube.com/watch?v=JBYILNJK9zY]

    Ich bin ja verbunden mit der PFSense... ich kann da die PFsense anpingen ... aber von der PFsense komme ich nicht ins Unifi Netz...

    Ping an meine Geräte geht nicht. Das heisst mir fehlt wohl an der UDM was.


    Hmm, ich lese das aber weiss nicht was du meinst...


    Am besten die UDM SE rausschmeissen und dafür einen Pfsense Router hinstellen... Kostet viel weniger und funktioniert einfach.

    Ich verstehe absolut nicht warum Unifi ein Wireguard S2S drin hat ... Nur mit den neuen Dingern da für 100Euro geht das in der Software.

    Unifi hat kein S2S Wireguard drin. Nur Server und Client. Damit kann man was bauen was dicht dran ist.


    tomtim Hast Du das Video geschaut? Da ist eine Stelle bei der explizit eine Firewallregel erwähnt wird. Genau die brauchst Du auch.