VPN auf eine UDM über eine FRITZ!Box einrichten

Es gibt 14 Antworten in diesem Thema, welches 4.553 mal aufgerufen wurde. Der letzte Beitrag () ist von Bjoern.

    Hallo Community,


    seit gut vier Wochen habe ich bei mir zu Hause eine UDM im Einsatz.


    Grds. tut das Gerät alles, was es soll. Ein I-Tüpfelchen fehlt mir aber noch: ich würde gerne ein (WireGuard)VPN auf die UDM aufbauen.


    Hier meine aktuelle Infrastruktur (bitte seht mir das laienhafte nach, ich bin kein Experte):


    Ich habe versucht die wesentlichen Informationen in dem PDF zu notieren.


    Hier nun noch einmal meine Herausforderung: ich möchte gerne von Clients außerhalb des Heimnetzes eine VPN-Verbindung (idealerweise mit WireGuard) auf die UDM aufbauen, um z.B. Freigabeordner zu mounten und Backups zu erstellen.


    Problematisch erscheint mir, dass ich keine feste IP-von meinem DSL-Provider 1&1 erhalte und ich damit keine öffentliche IP-Adresse in VPN-Clients angeben kann.


    Ich habe allerdings einen Zugang über DynDNS auf die FRITZ!Box eingerichtet; womöglich ist das eine Lösung?


    Freue mich über alle Tipps, wie ich das bewerkstelligen kann.


    Danke & Gruß


    Konstantin


    P.S.: ich weiß leider nicht, was ich bei "Controller" eintragen soll, sorry. Habe, weil es eine Pflichtangabe ist, UDM ausgewählt, um den Beitrag posten zu können.

    --

    enjoy life ...

  • Zum Hilfreichsten Beitrag springen

    Hallo bic,


    herzlichen Dank für den Link.


    Dort steht allerdings, dass FRITZ!OS 7.5 oder höher benötigt wird. Meine FRITZ!Box kann nur 7.14. Weißt Du zufällig, ob das damit auch geht?


    Zudem: ich wollte eigentlich auf der UDM terminieren; also hinter der Firewall. Ist das möglich?


    Gruß


    Konstantin

    --

    enjoy life ...

    Hallo Konstantin,


    grundsätzlich sollte funktionieren, was Du Dir vorstellst. Du hast offenbar ein doppeltes NAT, also Router hinter Router.


    Da das Ganze nach einem nicht mehr ganz kleinen, möglicherweise gewerblichen Setup aussieht, ist mein erster Rat: schaffe Dir ein DaytekVigor 165 oder 166 an, der dann die schon sehr betagte und seit 3 Jahren nicht mehr von AVM gepflegte FritzBox als VDSL-Modem ersetzt. Damit erhöhst Du potentiell die Sicherheit des Netzwerks und reduzierst auch die Komplexität, weil das doppelte NAT wegfällt.

    Die FritzBox kannst Du innerhalb des Netzwerks, also "hinter" der UDM noch für Telefonie einsetzen, wenn es denn sein soll.

    Direkt am Internet-Anschluss ist diese FritzBox ein Sicherheitsrisiko, weswegen ich auch hier nicht auf andere Konfigurationsmöglichkeiten eingehen möchte.


    Ansonsten: Ohne feste IP-Adresse ist DynDNS ein probates Mittel, ja. Falls Du dafür den AVM-Dienst nutzt, geht dies nur solange, wie die FritzBox direkt am Anschluss verbleibt, was sie wie gesagt nicht sollte.

    Du bekommst einen kostenfreien DynDNS-Account z.B. bei ddnss.de - dieser ist dann auch unabhängig vom eingesetzten Routermodell.


    Sobald Du die FritzBox aus dem Setup bekommen hast, richtest Du PPPoE (die "Internet-Einwahl") in Deiner UDM ein, fütterst die UDM mit den Daten von ddnss.de und kannst dann einer Standard-Anleitung zur Einrichtung von WireGuard-VPN unter Unifi folgen.


    Viel Erfolg und Spaß dabei!

    Zitat von kstergi

    Zudem: ich wollte eigentlich auf der UDM terminieren; also hinter der Firewall. Ist das möglich?

    Eigentlich schon. Versuch von der Logik mal über folgendes Setup nachzudenken:

    • Fritzbox macht Verbindung ins Internet
    • UDM an die Fritzbox in die DMZ -> Exposed Host heisst das glaubs bei der Fritte -> alles was an Portanfragen aus dem Internet reinkommt und nicht schon auf der Fritte "abgefangen" wird, geht direkt an die UDM weiter
    • DynDNS macht die Fritzbox
    • Wireguard muss hinter (oder später mal auf) der UDM laufen -> kann oft auf einem NAS eingerichtet werden -> kann dein NAS sowas? Sonst z.B. ein Raspi mit Wireguard drauf hinter der UDM in Betrieb nehmen

    So läuft das bei mir. Mit doppeltem NAT. Stört aber nicht.

    ... dafür ohne Neukauf von Hardware realisierbar :winking_face:

    Gefällt mir 1

    Hallo Networker,


    vielen Dank für Deine Ratschläge.


    Ich versuche hier erst einmal weitere Neuanschaffungen zu vermeiden. Die Vigor-Variante ist mir bekannt, werde ich aber nur dann angehen, wenn es keine Alternative mit der FRITZ!Box gibt. Das Ganze ist in der Tat auch nur für private Zwecke ...


    Folgende Rückfragen habe ich noch:

    Du sprichst in Sachen FRITZ!Box von einem Sicherheitsrisiko - grds. kann ich das nachvollziehen, jedoch habe ich mich bemüht, das Risiko zu eliminieren, indem ich an der FRITZ!Box keinerlei Netzwerkgeräte mehr habe. Nur die UDM ist per "Exposed Host" angebunden und nach meiner Logik steht die dann 'direkt' am Internet und soll mit Ihrer Firewall dafür sorgen, dass das Heimnetz sauber bleibt. Oder habe ich da einen Denkfehler drin?


    Herzlichen Dank & Gruß


    Konstantin

    Hallo Kaetho,


    vielen Dank für Deine Antwort und die Tipps.


    In der Tat sieht das bei mir schon weitestgehend so aus, wie Du vorschlägst.


    Internet --> FRITZ!Box --> (exposed host) --> UDM (WAN-Anschluss) --> dahinter Clients


    Ziel ist nun, aus dem Internet auf die UDM eine VPN-Verbindung aufzubauen.

    Hast Du das schon mal gemacht und, falls ja, wie genau?


    Lieben Dank & Gruß


    Konstantin

    --

    enjoy life ...

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von kstergi mit diesem Beitrag zusammengefügt.

    Hoi Konstantin,

    Ich habe hinter meiner UDMpro einen Raspberry pi mit Wiregruard drauf. So komme ich von aussen in mein Heimnetz. Das sieht bei mir so aus:


    Internet -> Providerrouter (Internetbox3 von Swisscom, macht auch ddns, weil ich keine fixe IP habe) -> DMZ ("exposed host", so gehen alle Portanfragen von aussen direkt an die UDMpro weiter) -> UDMpro (mit eingerichteter Portweiterleitung auf den Raspberry pi für Wireguard) -> Raspberry pi mit Wireguard.


    Ich habe meine UDMpro seit Sommer 2020. Damals war es mit VPN und UDMpro für mich noch unmöglich, was Brauchbares hinzukriegen. Deshalb habe ich damals den Weg über den Raspi gemacht. Funktioniert heute noch.

    Die neue 2er Firmware für die UDM/UDMpro bietet mittlerweile ja einen eigenen VPN Server an, damit habe ich mich aber noch nicht auseinandergesetzt.

    Gefällt mir 1
    Zitat von kstergi

    Du sprichst in Sachen FRITZ!Box von einem Sicherheitsrisiko - grds. kann ich das nachvollziehen, jedoch habe ich mich bemüht, das Risiko zu eliminieren, indem ich an der FRITZ!Box keinerlei Netzwerkgeräte mehr habe. Nur die UDM ist per "Exposed Host" angebunden und nach meiner Logik steht die dann 'direkt' am Internet und soll mit Ihrer Firewall dafür sorgen, dass das Heimnetz sauber bleibt. Oder habe ich da einen Denkfehler drin?

    Wenn die FritzBox jegliche Anfrage an die UDM durchreicht (was als Exposed Host so passieren sollte), relativiert sich das Sicherheitsproblem etwas, ja.

    Mir selbst wäre mit so einem Szenario trotzdem nicht ganz wohl, da man sich ja leider nicht sicher sein kann, ob die FritzBox nicht doch irgendwelche Pakete als für sich selbst bestimmt auffasst.

    Auch wenn Dein internes Netz nicht direkt kompromittiert wird, so wäre es aus meiner Sicht schon Ärger genug, wenn die vorgelagerte FritzBox beispielsweise durch DenialOfService-Attacken "abgeschossen" werden könnte und man potentiell viele Stunden mit Fehlersuche und einer wegen dauernder Verbindungsabbrüche verärgerten Familie verbringen muss. :winking_face:


    Dieses Restrisiko wäre mit sehr schmalem Budget zu beseitigen, denn die Vigors gibt es bei Kleinanzeigen ab 50-60 €, eine FritzBox 7490 sogar für nur 20-30 €. Für mich wären es die paar Zehner in jedem Fall wert.

    Hallo kaetho,


    inzwischen habe ich mir auch einen Raspberry pi angeschafft. Das ist dann wiederum ein beträchtliches Lernfeld.

    Habe jetzt erst einmal eine Standard-Installation (inkl. Desktop) durchgeführt.


    Offen gestanden, weiß ich jetzt nicht weiter. Wie installiere ich Wireguard denn nun so, dass ich von draußen draufkomme?

    Kannst Du mir Links zu Anleitungen posten? Das wäre echt super.


    1.000 Dank & Gruß


    Konstantin

    --

    enjoy life ...

    Ich habe das Ganze jetzt ähnlich gelöst: Raspi an der UDM und Zerotier SD-WAN, das auch den Raspi beinhaltet. So komme ich von allen Geräten bequem von überall in das virtuelle Netzwerk. Funktioniert bis hierhin prima inkl. des Wake-on-LAN für mein NAS (vom Raspi aus, der durchläuft).

    • Hilfreich

    Hi zusammen,


    ich bin der Neue :winking_face:

    Vor ein paar Wochen habe ich eine UDM Pro produktiv genommen, die Einrichtung war soweit kein Problem.

    Das VPN mit WireGuard eine kleine Herausforderung. :grinning_squinting_face: also, hab ich nach einer Lösung in Foren gesucht und bin auf diesen Thread gestoßen. Die Idee mit dem Rapsi finde ich interessant.


    Ich denke, es gibt einige die das Setup FritzBox -> UDM haben. Ich hoffe, dass ich dem ein oder anderen hiermit helfen kann.


    Zu meiner Lösung:

    FritzBox: den Port, an dem die UDM hängt, als Exposed Port einrichten.

    UDM: WireGuard VPN einrichte, User anlegen

    Fertig!


    Problem ist, wenn man das so macht, liegt am WANPort die interne IP, die die UDM von der FritzBox zugewiesen bekommt, z.B. 192.168.178.42

    Diese IP steht dann in der WireGuard.conf in der [PEER] Section als Endpoint, das ist falsch. Hier muss entweder die öffentliche IP hin oder ein DynDNS Eintrag, z.B. der von myFritz inkl dem Port, den man bei der WireGuard Konfiguration auf der UDM eingegeben hat.

    wireguard.conf muss man dann nur noch am Client hinterlegen.


    Dadurch, dass man die wireguard.conf händisch ändert funktioniert der QR-Code nicht.


    Zu beachten ist noch, dass sobald die VPN Verbindung aufgebaut ist der gesamte Traffic über das VPN Netz geroutet wird.

    Wenn man das nicht möchte, muss man in der Config noch die AllowedIPs anpassen.


    Man kann sich per SSH auf der UDM anmelden und mit tail -f /var/log/messages überprüfen ob die Verbindung aufgebaut wurde.


    Die Wireguard Konfiguration inkl der User habe ich von der Fritz!Box gelöscht.



    Vielleicht hilft das dem ein oder anderen etwas weiter.


    Björn