Wireguard auf udm pro

Ich habe es lediglich in der udm pro aktiviert und kann an den mobile-clients in der Wifiman app unter teleport einschalten. Klappt. Mit anderen clients habe ich es noch nie probiert

Ah, sorry, ich war bei Teleport

Du hast CGnat bei deinem Anbieter, also keine richtige IPv4 Adresse. Da ich mit sowas nichts zu tun habe, kann ich da nicht wirklich helfen. Fakt ist nur das mit der IPv4 kein VPN funktionieren wird.

Hallo,

hat jemand einen Tip, wie ich eine IPv6 Adresse in der neuen Wireguard Implementierung der Dreammachine Pro hinterlegen kann? Gegebenenfalls auch über SSH? Leider wird ja nach wie vor IPv6 zu wenig unter Unifi in den Menüs unterstützt.

Verstehe nach wie vor auch nicht warum keine DynDNS Adressen in VPN bei Unifi supportet werden!

Hintergrund ist, dass wie bei mir bei einem Deutsche Glasfaser-Anschluß ich eine IPv4 Adresse habe die ich mir mit zig anderen Kunden teile aber dafür eine mehr oder weniger feste IPv6 habe. Über eine VM unter Ubuntu funktioniert Wireguard ziemlich geil.

Wenn ich das aber über meine Dreammachine lösen kann, kann ich mir die Ressourcen für die VM sparen!

Du hast cgnat und keine öffentliche ip.

Bei CGNAT geht kein Portforwarding, die IP haben mehrere Kunden. Das wird auch der Grund sein warum es bei dir nicht geht.

Das sind alles Infos die du gleich im ersten Post hättest schreiben können... Naja.

Steht in deiner Wireguard Config denn die richtige Feste IP? Die musst du per Hand ändern.

Wenn du eine feste IP hast nicht, dann reicht es die dort einzutragen.

Hallo,

hier eine mehr oder weniger funktionierende Lösung mit einem DS-Lite Anschluß. Ich nutzte ausschließlich VPN über mein Handy und da die Telekom, zumindest in Deutschland, im Handynetz gut mit IPv6 funktioniert, bin ich ganz zufrieden. Österreich und Italien kann ich aber schon mitteilen funktioniert leider nicht!

Folgende Schritte sind nötig (Stand 7.4.162):

1. Teleport & VPN ->VPN Server -> Create VPN Server

2. WireGuard Server auswählen

3. Server Adress -> Die Pubic IPv4 des WAN Anschluß (bei mir Deutsche Glasfaser) belassen. Den Standard Port von Wireguard nehmen: 51820

4. Name server 1&2 habe ich den DNS meines regulären Standard Netzwerk genommen. Optional habe ich noch den von Quad9 hinterlegt. Möglich, dass beides gar nicht notwendig ist.

5. Speichern

6. Einstellungen des WireGuard Servers nochmals öffnen und einen Client erstellen.

7. Den Client einen Namen geben, die Datei downloaden und Client speichern.

8. Die heruntergeladene Client-Datei mit dem Editor öffnen und bearbeiten. Ich habe folgende Änderungen vorgenommen:

a. Unter der Zeile mit den DNS-Einträgen habe ich "MTU = 1450" hinzugefügt.

b. Unter der Zeile Endpoint habe ich "PersistentKeepalive =15" hinzugefügt (Gänsefüßchen natürlich nicht mit übernehmen)

c. Den Eintrag Endpoint habe ich die Public IPv4 Adresse des ISP gegen entweder deine DYNDNS oder meine IPV6 Adresse der UDM ausgetauscht. Die IPv6 in eckigen Klammern. Sieht dann in etwa so aus: [xxxx:xxxx:xxxx:xxxx::1]

d Speichern

9. Die Datei dann z.B per Email sich selber zusenden, öffnen und mit der Wireguard-App zum Öffnen auswählen. Ging zumindest mit dem iPhone so!

Nun das Wichtigste, damit es funktioniert:

10. In der UDM 2 Profile anlegen. Profil 1 wäre der Port 51820. Profil 2 wäre die IPv6 aber diesmal ohne die eckigen Klammern der UDM

11. Firewall Regel einrichten (Type "Internet v6 Local", Destination das neu angelegte Profil mit der IPv6 Adresse und Port Group das neu angelegte Profil mit dem Port 51820. Den Rest so belassen.

12. Wireguard App öffnen und VPN aktivieren.

Alles ohne Gewähr!

Vielleicht hilft es ja dem ein oder anderen!

Grüße

Zitat von Scheithi

Folgende Schritte sind nötig (Stand 7.4.162):

Hallo,

ich habe gerade versucht es entsprechend deiner Anleitung zu konfigurieren. Aber irgend etwas habe ich übersehen?

Wireguard VPN entsprechend deiner Anleitung auf meiner UDM SE eingerichtet. Firewall konfiguriert.

Danach die Wireguard Config auf mein MacBook kopiert und dort im Wireguard Client eingelesen. Funktioniert aber leider nicht. Der Wireguard Client meldet

2023-08-23 14:22:14.084 [NET] peer(7f3n…0DBI) - Handshake did not complete after 5 seconds, retrying (try 2)
2023-08-23 14:22:14.084 [NET] peer(7f3n…0DBI) - Sending handshake initiation

Ich habe das Logging für die Firewall Rule aktiviert. Und sehe auch dort, das das MacBook sich meldet und die Regel getriggert wird.

Einen Tip, wo ich noch nachschauen kann, warum der Wireguard Client in der UDM nicht reagiert?

Hallo dylan,

leider kann ich dein Problem nicht nachvollziehen. Mir ist allerdings etwas aufgefallen, was vielleicht dein Problem ist und was mir auch weitere graue Haare eingebracht hat:

Und zwar habe ich in der UDM einen neuen Client hinzufügen wollen. Ich habe diesen angelegt und abgespeichert. Die Datei habe ich allerdings nicht sofort heruntergeladen. Nachdem ich alles gespeichert und die Änderungen angewendet hatte bin ich wieder in den neuen Client hinein und mußte einen neuen Schlüssel generieren, damit ich die Datei herunterladen konnte. Wenn ich dann aber diese Datei im Wireguard Client importiere ist der Öffentliche Schlüssel dort nicht mit dem Öffentlichen Schlüssel der Clienteinstellungen der UDM identisch. Eine Verbindung wird zwar aufgebaut aber es ist kein Zugriff möglich. Dieser muß aber identisch sein!

Wenn ich aber einen Client anlege und die Datei direkt herunterlade und importiere bevor ich speichere dann funktioniert es. Keine Ahnung, ob das ein Bug ist, unschön gelöst oder ich einfach schlicht zu blöde dafür bin.

Vielleicht hilft Dir das ab er bei deiner Problemfindung.

Grüße

S