OpenVPN mit DynDNS funktioniert nicht

Es gibt 6 Antworten in diesem Thema, welches 1.943 mal aufgerufen wurde. Der letzte Beitrag () ist von nik_ventures.

    Hallo zusammen,


    ich habe zwei UDR an zwei Standorten und möchte diese über OpenVPN S2S verbinden.

    DynDNS Einträge sind angelegt und die IP wird entsprechend aktualisiert übermittelt, wie ich sehen konnte, trdm wird die Verbindung einfach nicht hergestellt.


    Aufbau UDR 1:

    UDR 1 hinter dem DrayTek Vigor 167

    Management-Network: 192.168.1.0/24
    Netzwerke, die zu UDR 2 geroutet werden sollen: 192.168.10.0/24, 192.168.11.0/24


    Aufbau UDR 2:

    UDR 2 hinter dem DrayTek Vigor 167

    Management-Network: 192.168.2.0/24

    Netzwerke, die zu UDR 1 geroutet werden sollen: 192.168.30.0/24, 192.168.31.0/24


    Also habe ich beide angelegt (vorher einen PSK generiert und diesen auf beiden Seiten eingegeben). Verbindung ließ sich auf beiden Seiten erfolgreich erstellen, jedoch kann ich nicht auf das Subnetz des jeweils anderen Standortes zugreifen. Ein Ping, z.B. auf dem Gateway eines der Netze am UDR 2 läuft ins leere.

    Ich denke, ich habe hier irgendwo einen simplen Fehler in der Konfig, kann diesen gerade aber nicht finden..

    Könnt ihr mir helfen?


    Anbei Screenshots von der VPN-Config von UDR 1 und UDR2



  • Zum Hilfreichsten Beitrag springen

    • Hilfreich

    Sieht erstmal okay aus.


    Hast Du den Port 1194 UDP auf beiden Seiten in WAN Local zugelassen? Der Vigor wird ja vermutlich im Bridge Mode laufen, also PPPoE Einwahl durch die Unifi Router? Falls nicht hast Du die Ports dort weitergeleitet?


    Hast Du in den Firewalls evtl. Regeln drin die den Traffic blocken? Zum Beispiel RFC zu RFC verbieten um Traffic zwischen VLANS zu unterbinden?

    Zitat von DoPe

    Sieht erstmal okay aus.


    Hast Du den Port 1194 UDP auf beiden Seiten in WAN Local zugelassen? Der Vigor wird ja vermutlich im Bridge Mode laufen, also PPPoE Einwahl durch die Unifi Router? Falls nicht hast Du die Ports dort weitergeleitet?


    Hast Du in den Firewalls evtl. Regeln drin die den Traffic blocken? Zum Beispiel RFC zu RFC verbieten um Traffic zwischen VLANS zu unterbinden?

    Hey danke für die schnelle Antwort. Ja, ich habe tatsächlich eine Firewall-Regel, die Traffic untereinander verbietet, der nicht freigeschaltet ist.

    Siehe Anhang.


    Den Port 1194 UDP habe ich nicht extra freigeschaltet, da ich gelesen habe, das UniFi die Firewall-Regeln automatisch erstellt.

    Ja, beide Vigor auf beiden Seiten laufen im Bridge Mode, also als Modem only und laufen mit der neuesten Firmware.

    Ja, auch PPPoE Einwahl auf beiden Seiten erfolgt durch den UDR (beides DSL-Anschlüsse über Telekom).


    Also wenn Du die Regel mit dem RFC auf beiden Seiten hast kann das schon das Problem sein. Du musst natürlich in LAN IN auch erlauben dass ein lokales Netz mit einem Remotenetz kommunizieren darf. Und auf der anderen Seite natürlich das passende Gegenstück. Testweise kannst Du auch kurz mal die Firewallregeln pausieren in beiden Routern.


    Mit dem Port 1194 UDP in WAN Local bin ich mir ziemlich sicher die Regel selbst erstellt zu haben. Was automatisch angelegt wird sind die statischen Routen für die Remotenetze.

    Zitat von DoPe

    Also wenn Du die Regel mit dem RFC auf beiden Seiten hast kann das schon das Problem sein. Du musst natürlich in LAN IN auch erlauben dass ein lokales Netz mit einem Remotenetz kommunizieren darf. Und auf der anderen Seite natürlich das passende Gegenstück. Testweise kannst Du auch kurz mal die Firewallregeln pausieren in beiden Routern.


    Mit dem Port 1194 UDP in WAN Local bin ich mir ziemlich sicher die Regel selbst erstellt zu haben. Was automatisch angelegt wird sind die statischen Routen für die Remotenetze.

    Das mit der Firewall-Regel war goldrichtig! Nachdem ich diese auf beiden Seiten pausiert habe, konnte ich einen Ping auf die anderen Netze machen - VPN läuft also scheinbar, habe aber Port 1194 nicht extra freigegeben. Werde das mal so belassen und nur wenn nötig nachholen ..

    Ich würde trdm gern wieder alle anderen internen Kommunikationen blockieren, wie passe ich die Firewall-Regel am besten an? Die einzelnen Subnetze erst einzutragen ist ja bisschen aufwenig, hab auf jeder Seite mind. 10 Netze ..

    Hast du dazu noch eine Idee?

    Wenn Du das granular haben willst, dann wird es in jedem Fall aufwendig.


    Ganz simpel kannst du in beiden Routern ein Profil bei ports und ip groups "lokale Netze" und "remote Netze" erstellen vom typ ip adress/subnet. Dann jeweils in lokale Netze die IP Netze rein, die auf die anderen entfernten Netze zugreifen dürfen. In remote die IP Netze vom anderen Standort auf die zugegriffen werden darf.


    Dann in den firewalls bei LAN in eine allow Regel vor dem rfc blocken hinzufügen. Source "lokale Netze" und Destination "remote Netze". Das ganze kann man endlos aufblasen ... je nachdem wie die anforderungen sind.