Standortvernetzung (privat) mittels UDR / UDM

Liebe Community.

Seit geraumer Zeit schwebte mir vor, meine "Familiendomizile" zentral IT-technisch zu verwalten. Es gibt einen zentralen Standort, andem ich u.a. Monitoring, NVR, Backups etc. zusammenführe. Die einzelnen Standorte (4 Stück) sind jeweils von DSL bis hin zu LTE Anbindungen am Netz angeschlossen. Nun habe ich im Vorfeld mit Bekannten gesprochen, meine eigene IT-Erfahrung einbezogen und mich dann für Ubiquiti entschieden. Am zentralen Standort sollte es eine UDM sein, an den Satelitten eine UDR. Die Einrichtung und der Betrieb der LANs jeweils vor Ort ist tatsächlich sehr gut gelöst, insbesondere wenn es um Wi-Fi geht. Allerdings verzweifle ich an der VPN Anbindung und stelle meine Kaufentscheidung massiv in Frage mittlerweile.

Zentraler Standort 0 (DSL, dyn. IP, FritzBox Gateway)

Die UDM steht also hier hinter der FritzBox, Sie ist "exposed" und die IPSEC sowie OpenVPN Anfragen werden auch brav von der FritzBox durchgeroutet.

Standort 1 (DSL, dyn. IP, "Speedport" Gateway)

Dort steht ein UDR und soll "einfach" nur eine "Site-to-Site" Anbindung bekommen. Zwischenzeitlich habe ich (ernüchtert) verstanden, dass die "einfache" Variante mittels IPsec und dynamischer IP Adressen nicht klappt. Also dachte ich mir, nimmst die OpenVPN. Doch die klappt auch nicht. Hier auch meine ersten Fragen:

• Wie kann man auf der UDR / UDM vernünftig (!) die Verbindungen debuggen? Bislang bin ich weder mit SSH, noch an der Weboberfläche (dort ist es ja mehr als dürftig) weitergekommen.
• Gibt es unter euch ein vergleichbares Szenario und kann mir jemand von euch sein Setup übermitteln?
• Kann man an der grafischen Oberfläche irgendeinen "Experten-Modus" aktivieren, den ich noch nicht gefunden habe? Ich sehe ja im Prinzip gar nichts zum Status der VPN Verbindungen dort.

Hier die Log-Ausüge von Standort 0 (UDR-LL), die ich gefunden habe:

2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: TCP/UDP: Preserving recently used remote address: [AF_INET]x.x.x.x:1194
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: Socket Buffers: R=[229376->229376] S=[229376->229376]
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: UDP link local (bound): [AF_INET][undef]:1194
2023-03-15T22:02:51+01:00 UDR-LL openvpn[1873344]: UDP link remote: [AF_INET]x.x.x.x:1194

Standort 2 (LANCOM Router, LTE, Zyxel 4g Gateway)

Nachdem ich oben nicht weitergekommen bin, dachte ich mir, gehe ich auf diesen Standort und verbinde meine alte Lancom mit der UDM. Der Verbindungsufbau (IPsec) klappt sogar laut Lancom und der Tunnel ist dort auch "up", doch klappt das Aushandeln (Vermutlich in Phase2) doch nicht ganz.

Auch hier stellen sich mir die obigen Fragen.

Und nun noch ganz generelle Fragen:

• Habe ich eventuell bei der Geräteauswahl einen Fehler gemacht und die UDR / UDM sind noch zu sehr "Consumer" Produkte (obwohl ich die Einfachheit sehr schätzen würde)
• Ist z.B. die "UDM Pro" andere Möglichkeiten von Debugging und auch erweiterte Einstellungen der VPN Connections? Ich sehe ja bereits zwischen der UDR und der UDM leichte Unterschiede in den Menus.
• Was sind eure Setups für vergleichbare Szenarien?

Danke schon einmal vorab.

Viele Grüße

Thomas

Update: die OpenVPN Verbindung geht jetzt, warum auch immer Ich habe noch die "Early access" Updates eingeschaltet und heute eine neue Netzwerk App Version eingespielt bekommen. Vielleicht lag es ja auch daran. Mindestens kam danach ein "eindeutiger" Fehler im Daemon log:

2023-03-16T18:25:22+01:00 PN openvpn[3763]: TCP/UDP: Socket bind failed: Addr to bind has no AF_INET6 record
2023-03-16T18:25:22+01:00 PN openvpn[3763]: Exiting due to fatal error

Die Ursache hier war, dass meine dynamische DNS Adresse bei goip.de auch den IPv6 Record ausgegeben hat, der aber gar nicht aktualisiert wurde. Jetzt läuft zumindest schon mal diese Verbindung.