UDM Pro mit WireGuard VPN - Keine SQL Verbindung

Es gibt 10 Antworten in diesem Thema, welches 1.447 mal aufgerufen wurde. Der letzte Beitrag () ist von Grille.

    Hallo zusammen,


    ich verwende auf einer UDM Pro den WireGuard VPN Server. Dieser funktioniert soweit gut und ist auch schnell. Jedoch kann ich keine Verbindung zum SQL Server aufbauen.
    Zum "Testaufbau":
    Ich habe eine Konfigurationsdatei zum testen erstellt:

    Wenn ich lokal verbunden bin, funktioniert diese so und ich kann die Verbindung erfolgreich testen.
    Wenn nun der Laptop über WireGuard von extern diesen Test wiederholt, kann der SQL Server nicht erreicht werden.

    Gleiches verhalten ist mit dem SSMS.

    Vorher lief ein OPEN VPN Server auf einer Synology hinter der UDM Pro. Da war ein zugreifen auf den SQL Server ohne Probleme möglich.

    Müssen hier noch weitere Einstellungen vorgenommen?


    Viele Grüße

    Erreichst du über den VPN die IP denn? Wie ist denn dein Netzaufbau und die Firewall Regeln?

    Gefällt mir 1

    Die IP erreiche ich. Ist eine VM, diese kann ich z.B. per Remote Desktop erreichen.

    Netzaufbau:
    Laptop (extern) --- UDM Pro (feste IP v4 Adresse, LAN: 10.11.12.0/24) --- VM mit dem SQL Server (10.11.12.97)

    Die UDM Pro, baut noch einen Site 2 Site VPN zu einer anderen UDM Pro auf (10.12.12.0/24).


    WireGuard Konfig:

    Code
    [Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.3.2/32
DNS = 10.11.12.30, 10.11.12.31, 10.11.12.1, 1.1.1.1

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.0/24, 10.11.12.0/24, 10.12.12.0/24, 192.168.104.1/24
Endpoint = xxxxxxxxxx

    In der UDM Pro habe ich bisher keine Firewall-Regeln für den VPN erstellt. Muss hier noch was hinzugefügt werden?

    Die Config sieht erstmal gut aus. Da du die VM erreichst, sollte das eigentlich gehen oder bestehen da weitere Einschränkungen zwischen VPN und dem Netz des SQL Servers?

    Zitat von feinhalb

    ich wüsste jetzt nicht, welche Einschränkungen dort sein sollten. Weitere Portfreigaben etc. müssen doch eigentlich nicht erfolgen, oder irre ich mich jetzt?

    Wenn du zwischen dem VPN Netz und dem Netz des SQL Servers keine Firewallregeln eingestellt hast, dann sollte da alles offen sein.

    Zitat von feinhalb

    Die IP erreiche ich. Ist eine VM, diese kann ich z.B. per Remote Desktop erreichen.

    Na wenn RDP schon funktioniert dann geht doch alles also jedenfalls aus Sicht von Netzwerk und VPN.

    Wenn du nun einen Dienst nicht erreichst und du sicher bist das du auf Unifi, VM ende keine firewall

    active hast. Dann kann es ja nur noch der Serve selber sein.


    Da du SSMS / RDP sagst meinst du sicher auch MS SQL Server auf einer windows Kiste richtig ?

    Windows Firewall noch an ? die sperrt gerne dinge die nicht aus dem eignen Netz Kommt.

    Schlimmer noch msSQL server. wie greifst du zu ? Via Feste IP und Port ? Oder SQL browser

    Dienst der ggf den VPN nicht erreicht? (kenn mich nicht so tief aus mit den MS SQL aber da war mal was)

    Genau, auf einem Windows VM mit MS SQL Express. Port ist auf 1433; Firewall ist aus.

    Verbindungen wie folgt funktionieren lokal, aber nicht wenn der VPN offen ist:
    10.11.12.97,1433\SQLEXPRESS
    10.11.12.95\SQLEXPRESS
    DNSname\SQLEXPRESS
    DNSname,1433\SQLEXPRESS


    PS: wenn ich lokal verbunden bin, den VPN dann öffne, dann funktioniert es auch nicht. Muss also nicht von extern drauf zugreifen.
    Interessanterweise habe ich jetzt einen anderen SQL Server mal versucht, der funktioniert auch wenn der VPN offen ist.

    Scheint also kein WireGuard Problem zu sein. :thinking_face:

    Leider scheint es nicht nur ein Problem mit dem SQL Server zu geben. Andere Dienste erreiche ich teilweise auch nicht. Ein Lizenz Server wird nicht gefunden. Sobald ich im lokalen Netzwerk bin, funktioniert es wieder.
    Testweise habe ich die WireGuard Konfig mit den Erlaubten IP Adressen umgeschrieben, sodass alle IP Adressen erlaubt sind:
    192.168.3.1/32,192.168.3.32/32, 0.0.0.0/0 (Standard Export Konfig aus der UDM Pro)
    Jedoch kein Erfolg.

    Wenn ich auf der UDM Pro einen L2TP Server laufen lasse und mich darüber verbinde, funktioniert es ebenfalls nicht.
    Wenn ein OpenVPN Server / L2TP Server auf einer Synology dahinter läuft (Portfreigabe ausschließlich für den VPN Tunnel) funktioniert alles einwandfrei.

    Scheint ein Problem mit den VPN Servern / Konfig der UDM Pro zu sein, nur leider habe ich jetzt auch keine Ahnung, was man noch testen könnte.

    Hab das selbe Problem mit Postgresql....


    Die von Floyd Perfect beschriebene Variante in den SecurityDetections zu schauen, hat bei mir bis zum Update diese Woche funktioniert.

    Seit dem Update auf die 8.0.7 werden mir keine SecurityDetections mehr aufgelistet, bzw. nur noch externe und keine über das VPN. Dabei ist bei mir egal ob Site2Site, oder einem einzelnen Client per wireGuard.


    Ich habe die IP des zu erreichenden Server unter Security -> Security Detection Allow List -> Add Entry hinzugefügt.


    Das sehe ich mal erst als Workaround an, ganz sauber finde ich diese Lösung nicht. Aber um eine explizite Regel zu erstellen, fehlt es an Infos im Log, bzw. der Liste der SecurityDetections....