Wireguard Site to Site VPN

Jensus11

Das Tunnelnetzwerk gehört dort auch nicht rein. Beide UDMs haben eine IP aus dem Tunnelnetz und somit auch eine Route (die eben beim Wireguard auch schon als allowed-IPs eingetragen wird. Da gehören wirklich nur Netze rein, die sich hinter dem anderen Tunnelende befinden.

Der Wireguardclient der UDMs haut als allowed-ips 0.0.0.0/0 ins wg Interface. Kann man per ssh gut sehen mit "sudo wg". Die Routen eintragen reicht also. Bei mir läufts mit statischen Routen nicht so richtig, vermutlich weil ich auch policy based routing an hab.

Zum NAT deaktivieren AUF DEM CLIENT! ... Settings - Routing - NAT.

Wenn Du es einschränken magst kannst Du das mit Subnet oder IP machen mit Quelle, Source etc.

So wie im Bild mit 192.168.8.0/24 sowie 192.168.50.0/24 als Destination (also 2 Regeln) ist es dann bei Dir ohne NAT. Ist z.B. wichtig wenn im Client Netz IP Telefone sind und im Server Netz die TK-Anlage.

Thema Firewall im CLIENT! Bei INTERNET_IN am besten ein Profil anlegen in dem Du das Tunnelnetzwerk 10.12.13.0/24 und die 192.168.8.0/24 sowie 192.168.50.0/24 einträgst. Diese Gruppe als Source festlegen. Für Destination dann ANY oder ein Profil mit 192.168.1.0/24 sowie 10.0.50.0/24

Dann sollte es klappen.

Prima, es geht fast.

Ich habe die Originale vom Server erstellte Client Config mit angepasstem Endpoint hochgeladen, aber zuvor den alten Client gelöscht.

Dann die Firewall Regel mit vorher angelegter IP Gruppe erstellt. Ich glaube, das war es auch was gefehlt hat.

Ich komme auf alle Geräte, bis auf die UDM auf der Clientseite. Die kann ich auch nicht anpingen.

Was mich auch wundert, sind bei Nat 2 Quellen, die ich nicht als IP habe und auch nirgends finde in der UDM.

Jensus11

Für UDM Zugriff die Firewallregeln nochmal in INTERNET_LOCAL erforderlich. Du greifst auf ein UDM Interface zu.

Jetzt passt das auch. Warum muss denn dafür local und für die andern Devices Internet IN? Hast noch eine Idee wegen dem NAT mit der Quelle?

Alle Firewallregeln mit _local betreffen ausschliesslich die Schnittstellen des Gateways.

Alles mit _IN sozusagen alles was in den Port reinkommt und nit für das Gateway selbst ist.

Das Bild ist vom NAT? Hmm kann ich mir gerade keinen Reim drauf machen von was das ist.

Ja, das Bild ist vom NAT. Kann man die Einträge irgendwie löschen? Oder können Einstellungen noch irgendwo festhängen?

Just add two Cent:

Zitat von DoPe

Der Wireguardclient der UDMs haut als allowed-ips 0.0.0.0/0 ins wg Interface. Kann man per ssh gut sehen mit "sudo wg". Die Routen eintragen reicht also. Bei mir läufts mit statischen Routen nicht so richtig, vermutlich weil ich auch policy based routing an hab.

Was über den Tunnel von Unifi nach VPN Ziel geht muss IMMER per PolicyRouting bestimmt werden.

allowed-ips 0.0.0.0/0 sagt ja nur das der Tunnel alles transportieren wird. Nicht das auch Routing dafür angelegt werden.

Das ist ja aufgäbe des OS die Routen anzulegen und nicht WG selber. (bei Linux und GO macht das WG-Quick Script das für dich.)

Das wird also nicht wirklich mit Statischen Routen (in der normalen Routing Tabelle) gehen, weil Unifi da ne Advance Methode benutzt

Beispiel:

root@Lisa:~# ip rule list (stark gelürtzt)
32500: from all to 18.xxx.xx.xxx lookup 201.ppp0            <- IP zum VPN Client darf immer normal raus
32501: from all fwmark 0x1a0000/0x7e0000 lookup 201.ppp0    <- Normale Route *1
32503: from all fwmark 0x2e0000/0x7e0000 lookup 211.wgclt1  <- Route für den WG Client


*1 Bestimmte Services werden extra markiert um sicherzustellen das die aufjedenfall über den
"normalen" WAN weg rausgehen...(bei DNS wird da einiges an aufwand getrieben)

Das "Routing" ist dann für eine IP ist dann läuft dann das Pakete mit "0x2e0000/0x7e0000" Markiert werden

und dann die VPN Route nehmen. (das passiert über die "mangle" chain von IPtables"). Das ist recht Komplex aber durchaus "elegant"

(irgendwie)....

gierig Danke für die Ausführung.

Ja elegant ist an UniFi so einiges, daher aber leider auch oft undurchsichtig warum manches nicht geht, bis man im OS in den letzten Winkel kriecht.

Da der TE schrieb er kommt problemlos vom Clientnetz ins Servernetz und er hat statische Routen angelegt, bin ich davon ausgegangen, dass diese dann wohl funktionieren. Bei mir hatte ich vor WG Einführung das Wireguard an Unifi vorbei installiert und da ging es auch mit statischen Routen, allerdings nachdem Wireguard eingeführt wurde nicht mehr und da ich das Policy based praktisch fand habe ich danach auch gar nicht mehr mit den statischen Routen experimentiert.

Noch eine Frage an diech gierig dein *1 ist dann vermutlich auch der Grund warum mein DNS Versuchskonstrukt nicht funktioniert? Habe im UDM DNS ein Domain Forward eingerichtet zu einem DNS Server der hinter einem Wireguardtunnel liegt. Die Auflösung klappt aber nicht obwohl von UDM an sich der Server erreichbar ist. Liegt dann daran, dass die UDM diese DNS Pakete markiert und über den WAN verschickt oder?

Jensus11 kannst Du mal nen Screen machen von allen NAT Regeln und die beiden aus dem Screen mal aufmachen was da konfiguriert ist? Ist ja offenbar irgendwie Source NAT mit 1&1 also vermutlich WAN oder so.

Wenn die händisch angelegt wurden, sollten die löschbar sein. unten rechts am Ende der Tabelle ist dann Manage. Dann sollte man die anhaken und löschen/pausieren können. Also eigentlich die Standardvorgehensweise der GUI.

Zitat von DoPe

Noch eine Frage an diech gierig dein *1 ist dann vermutlich auch der Grund warum mein DNS Versuchskonstrukt nicht funktioniert? Habe im UDM DNS ein Domain Forward eingerichtet zu einem DNS Server der hinter einem Wireguardtunnel liegt. Die Auflösung klappt aber nicht obwohl von UDM an sich der Server erreichbar ist. Liegt dann daran, dass die UDM diese DNS Pakete markiert und über den WAN verschickt oder?

Kurze Version: Vergiss es

Lange:

Ich weis es nicht wirklich 100%. aber es sieht so aus. Die Veranstalten da einen großen häufen "Eleganz" wenns um DNS

geht. Genauer wird pro WG Client sogar ein eigner DNSMASQ gestartet (in /run/dns.conf.d/)

dieser nutzt dan die im Client hinterlegte DNS IPs.

Der wird aber NUR benutzt wenn du ne Policy hast die "ALL Traffic" umbiegt.

(defraWEB is mein VPN endpoint, NED is hier ne lokale Maschine zum testen)

Fallweise / einzelne Domains / IP Adressen kann man zwar Umbeigen aber

DNS mäßig bleibt alles "zu Hause". Forward Domains von der UDM selber dann auch

keine change. (was aber geht is ein forward von einem externen DNS Server, sprich solange

es nicht der UNIFI DNS server ist sollte es gehen)

Man könnte nun anfangen un die "Mangle" Tabelle von hand zu manipulieren,

aber das das ist ein ein sehr tiefes Loch

die Einträge wurden nicht händisch angelegt, deshalb auch keine Manage-Option.

Jensus11 Da bin ich überfragt wo das her kommt ... Scheinbar hast Du irgendwo was an, dass diese Einträge erzeugt.

Könnt das irgendein UPnP Käse sein ?

hast du UPnP an (Internet einstellungen) ?

Zitat von gierig

Könnt das irgendein UPnP Käse sein ?

hast du UPnP an (Internet einstellungen) ?

Hab ich auch für ein VLAN an mit genau einem Client, meiner Xbox. Aber ich hab trotzdem nur die beiden WAN masquerade Einträge plus einen masquerade Eintrag für den WG Tunnel, der auch löschbar wäre.

Und so recht verstehe ich auch nicht was die Einträge da eigentlich machen. Für vermutlich 2 VLANs, irgendwas mit vermutlich einer Gateway IP?!? und die WAN Schnittstelle im Boot *Schulterzuck*

UPNP ist nicht aktiviert.

Ich bin etwas weiter gekommen. Und zwar müssen das eine alte Einstellung aus den anfangs Zeiten sein.

Ob ich da den Controller auf einem Raspberry oder einen Cloud Key genutzt habe weiß ich nicht mehr.

Jedenfalls hinter einer FritzBox die für die Einwahl zuständig war. In den Internet Wan Einstellung unter statische IP ist die IP noch eingetragen.

Jetzt nutze ich ja die PPPoE Einwahl, aber trotzdem stehen die Daten noch drin.

Wie bekomme ich das weg?

Wenn ich zu Hause bin, werde ich mal auf DHCPv4 umstellen und dann wieder auf PPPoE zurück. Vielleicht ist die Adresse dann ja raus.

ubiquiti-networks-forum.de/index.php?attachment/27139/

Wenn Du auf DHCPv4 umstellst, dann sollte die verschwinden. Allerdings vermutlich wieder da sein wenn Du wieder auf static wechselst. Der merkt sich ja alles mögliche damit man umstellen kann ohne wieder alles auszufüllen. Aber die Adresse sollte nicht aktiv sein wenn PPPoE eingestellt ist.

Welche Seite ist das denn eigentlich? in einer hattest Du ja auch das 192.168.1.0/24 Netz aktiv.

Was hattest Du denn früher für ein Gateway hinter der Fritzbox?!?

Auf jeden Fall kannst Du das mal ausprobieren. Ist ja ohnehin der einzige Ansatz. Wobei ...

Gibt es diese beiden Netze noch (Management und Multimedia)? Schau mal bitte in die Netzkonfig. Da gibt es Internet Source IP / NAT Wie sieht das da aus? Vielleicht irgendne Spielerei mit mehreren WAN IPs von früher. Genau dafür könnte ich mir die Regel da vorstellen.

In der von dir genannten Einstellung steht es bei allen Netzen auf Main. Da kann ich nichts auswählen.

Wenn ich zurück bin, werde ich die Einstellungen mit DHCP ausprobieren. Eventuell auch mal einen anderen Port wählen.

Angefangen mit nem Raspberry, und dann Cloudkey 1 und dann die zweite Version.

Hi,

ich habe gerade alle Einstellungen durch, von DHCP, Statische IP, Port wechsel über Failover.

Leider alles ohne Änderung der Regeln unter NAT, selbst bei neuer statischer IP ändert sich da nichts.

Soll ich bei Unifi mal ein Ticket öffnen?

Ein Ticket ist hier vermutlich eine gute Idee. Vielleicht lässt sich so klären woher diese beiden NAT Source Regeln sind. Wenn Du mehr weißt wäre eine Rückinfo nett.

Hi,

nach etwas Schriftverkehr mit dem Support haben die sich per ssh auf meine UDM eingeloggt und das Problem beseitigt.

O-Ton zum Problem:

It appears there was an SNAT (Source NAT) configured previously, but the associated NAT rule wasn’t removed when the SNAT was deleted, which likely caused the issue.

Kann dann gerne als gelöst markiert werden.