S-2-S VPN Fritzbox <> USG Subnet mit Vlan

**Rob901** · 7. Mai 2023

Hallo zusammen,
hab dank euch nun schon mehrfach IPSec Fritzboxen und USGs verbinden können.
Nun habe ich aber die Herausforderung mit einigen Subnetzen mit VLAN auf dem USG, die sich über den Tunnel nicht erreichen lassen.
Vorweg:

Tunnel kann aufgebaut werden und funktioniert auch zwischen Management Netz vomUSG und der Fritzbox.

In der vpn.cfg der FritzBox habe ich unter accesslist alle Subnetze der USG eingetragen. Im USG in der config.gateway.json lediglich das Local- und Remote- Netz.

Nun bin ich mir unsicher ob und ggf. welche statischen Routen oder Firewall Settings, ich noch vornehmen muss um die Subnetze zu erreichen?
Habt Ihr einen Tipp, welche Setting noch notwendig ist?

Danke!

**bic** · 7. Mai 2023

Zitat von Rob901

In der vpn.cfg der FritzBox habe ich unter accesslist alle Subnetze der USG eingetragen. Im USG in der config.gateway.json lediglich das Local- und Remote- Netz.

Also, ich habe bisher immer alle beteiligten Netze schön über Kreuz auf beiden Seiten eingetragen und bisher nie Probleme mit der Erreichbarkeit gehabt. Eigene Routen anzulegen, braucht man eigentlich nicht, darum kümmern sich die VPN-Kisten i.d.R. selbst.

**Rob901** · 8. Mai 2023

Ah Danke, das klingt schonmal gut. Könnt Ihr mir sagen an welcher Stelle in der config.gateway.json die zusätzlichen Netze eingetragen werden müssen?

Derzeit ist nur das .1 netz eingetragen.

Code

config.gateway.json

{
   "vpn":{
      "ipsec":{
         "auto-firewall-nat-exclude":"enable",
         "auto-update":"60",
         "esp-group":{
            "ESP-Fritzbox":{
               "compression":"disable",
               "lifetime":"3600",
               "mode":"tunnel",
               "pfs":"enable",
               "proposal":{
                  "1":{
                     "encryption":"aes256",
                     "hash":"sha1"
                  }
               }
            }
         },
         "ike-group":{
            "IKE-Fritzbox":{
               "key-exchange":"ikev1",
               "lifetime":"3600",
               "proposal":{
                  "1":{
                     "dh-group":"2",
                     "encryption":"aes256",
                     "hash":"sha1"
                  }
               }
            }
         },
         "site-to-site":{
            "peer":{
               "XXXXXXXXXX.com":{
                  "authentication":{
                     "id":"XXXXXXX.com",
                     "mode":"pre-shared-secret",
                     "pre-shared-secret":"XXXXXXXXXXXXXX",
                     "remote-id":"XXXXXXXXXXXXXXXX.com"
                  },
                  "connection-type":"initiate",
                  "ike-group":"IKE-Fritzbox",
                  "local-address":"any",
                  "tunnel":{
                     "1":{
                        "esp-group":"ESP-Fritzbox",
                        "local":{
                           "prefix":"192.168.1.0/24"
                        },
                        "remote":{
                           "prefix":"192.168.178.0/24"

                        }
                     }
                  }
               }
            }
         }
      }
   }
}

Alles anzeigen

**razor** · 8. Mai 2023

Da Du bei AVM ja nur ein Netzwerk hast solltest Du auf der UniFi-Seite nichts weiter eintragen müssen - IIRC.

Im UniFi-Umfeld hast Du mehrere VLANs. Das bedeutet, dass Du der FRITZ!Box mitteilen musst, wie sie die anderen Netze erreichen kann.

**Rob901** · 8. Mai 2023

Jup richitig, so dachte ich auch. Ich pack mal noch die VPN Konfig der Fritte hier rein. Da habe ich unter accesslist halt die Netze angegeben. Dachte das wäre ausreichend?

Code

vpn.cfg
vpncfg {    
    connections {         
        enabled = yes;
         conn_type = conntype_lan;
         name = "XXXXXXX";  
         always_renew = yes; 
         reject_not_encrypted = no;
         dont_filter_netbios = yes; 
         localip = 0.0.0.0;
         local_virtualip = 0.0.0.0;    
         remote_virtualip = 0.0.0.0;
         remotehostname = "XXXXXXXX.com";  //Hostname USG
        keepalive_ip = 0.0.0.0;
         localid {             
            fqdn = "XXXXXXXX.com";  //Hostname Fritzbox
        }
         remoteid {
            fqdn = "XXXXXXXXX.com";  //Hostname USG
         }         
        mode = phase1_mode_idp; 
         phase1ss = "all/all/all"; 
         keytype = connkeytype_pre_shared;
         key = "XXXXXXXXXXXXXXXXXXX";  // pre-shared-key
         cert_do_server_auth = no;
         use_nat_t = yes; 
         use_xauth = no;  
         use_cfgmode = no; 
         phase2localid {
            ipnet {
                ipaddr = 192.168.178.0;  // Netz der FritzBox
                mask = 255.255.255.0;             
                }         
        }         
        phase2remoteid {             
            ipnet {                 
                ipaddr = 192.168.1.0; // Management Subnet der USG
                mask = 255.255.255.0;             
            }
         }         
        phase2ss = "esp-all-all/ah-none/comp-all/pfs"; 
         accesslist = "permit ip any 192.168.1.0 255.255.255.0",
        "permit ip any 192.168.2.0 255.255.255.0",
        "permit ip any 192.168.100.0 255.255.255.0",
        "permit ip any 192.168.50.0 255.255.255.0",
        "permit ip any 192.168.11.0 255.255.255.0",
        "permit ip any 192.168.34.0 255.255.255.0";        //Subnetze der USG
        }     
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Alles anzeigen

**tomily** · 11. Mai 2023

Zitat von Rob901

Hallo zusammen,
hab dank euch nun schon mehrfach IPSec Fritzboxen und USGs verbinden können.
Nun habe ich aber die Herausforderung mit einigen Subnetzen mit VLAN auf dem USG, die sich über den Tunnel nicht erreichen lassen.
Vorweg:
Tunnel kann aufgebaut werden und funktioniert auch zwischen Management Netz vomUSG und der Fritzbox.

In der vpn.cfg der FritzBox habe ich unter accesslist alle Subnetze der USG eingetragen. Im USG in der config.gateway.json lediglich das Local- und Remote- Netz.

Nun bin ich mir unsicher ob und ggf. welche statischen Routen oder Firewall Settings, ich noch vornehmen muss um die Subnetze zu erreichen?
Habt Ihr einen Tipp, welche Setting noch notwendig ist?

Danke!

Alles anzeigen

Hallo Rob901,

du schreibst, dass du dank dem Forum bereits eine Fritzbox mit einer DreamMachin verbinden konntest.

Kannst du mir sagen in welchem Beitrag das beschrieben ist?

Das ist genau mein Ziel, allerdings finde ich nichts und möchte keinen neues Thema dafür aufmachen.

Viele Grüße und Danke

Tom

**Rob901** · 11. Mai 2023

Zitat von tomily

Hallo Rob901,

du schreibst, dass du dank dem Forum bereits eine Fritzbox mit einer DreamMachin verbinden konntest.
Kannst du mir sagen in welchem Beitrag das beschrieben ist?

Das ist genau mein Ziel, allerdings finde ich nichts und möchte keinen neues Thema dafür aufmachen.

Viele Grüße und Danke
Tom

Alles anzeigen

Hi Tom,

ich spreche vom USG = Unifi Security Gateway,
Nach meinem Wissen lässt sich UDM (Unifi Dream Machine) und FritzBox nicht wirklich per S-2-S IPSEC verbinden, wegen fehlender Möglichkeit der config.gateway.json .
Zumindest habe ich keinen Weg finden können, der Out of the Box lief, daher bin ich auch zurück zur USG gewechselt.
Zumal auch andere Dinge mit der UDM leider nicht funktionieren, die selbst mit der kleinen USG möglich waren. Aus meiner Sicht ist die UDM die schlechtere FritzBox.

Leider komme ich aber auch bei meinem Problem mit mehreren Subnetzen auf der USG nicht weiter. Es scheint mir fast, als wäre hier doch ein Problem mit dem Routing auf der USG. Denn in der vpn.cfg sind die Subnetze ja eingetragen.

Jemand noch einen Denkanstoß den ich anschauen könnte?

**tomily** · 11. Mai 2023

Danke für die schnelle Rückmeldung. Dann bin ich tatsächlich ins falsche Thema reingekrätscht. Sorry hierfür

Schade, dass das nicht geht. Also beides. Sowohl bei der USG als uach bei der UDM. Finde für den Heimgebrauch die UDM wirklich "schön" und einfach, aber dann hört es auch recht schnell auf. Leider muss ich wohl separat für ein VPN zwischen meiner NAS und der am RemoteStandort (Fritzbox) erstellen. Oder meine bisherige Firewall (SophosUTM) muss das erledigen.

Schade, aber dann liegt es nicht an mir

Grüße

**razor** · 12. Mai 2023

Zitat von Rob901

Hi Tom,
ich spreche vom USG = Unifi Security Gateway,
Nach meinem Wissen lässt sich UDM (Unifi Dream Machine) und FritzBox nicht wirklich per S-2-S IPSEC verbinden, wegen fehlender Möglichkeit der config.gateway.json .
Zumindest habe ich keinen Weg finden können, der Out of the Box lief, daher bin ich auch zurück zur USG gewechselt.
Zumal auch andere Dinge mit der UDM leider nicht funktionieren, die selbst mit der kleinen USG möglich waren. Aus meiner Sicht ist die UDM die schlechtere FritzBox.
Leider komme ich aber auch bei meinem Problem mit mehreren Subnetzen auf der USG nicht weiter. Es scheint mir fast, als wäre hier doch ein Problem mit dem Routing auf der USG. Denn in der vpn.cfg sind die Subnetze ja eingetragen.
Jemand noch einen Denkanstoß den ich anschauen könnte?

Du könntest auch WireGuard dafür verwenden. Geht hervorragend.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

S-2-S VPN Fritzbox <> USG Subnet mit Vlan

Tags

4 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 75

Wer war online 0