Site2Site IPSec VPN 3 Standorte

Es gibt 7 Antworten in diesem Thema, welches 812 mal aufgerufen wurde. Der letzte Beitrag () ist von netSpeedy.

    Gute Tag,


    ich habe da Aktuell ein sehr merkwürdiges Problem. Und zwar wird an einem Standort die VPN Verbindung nicht unterbrochen aber der Datentransfer über diese Strecke ist nach 24 Std. nicht mehr möglich. Erst nach einem Neustart der UDM SE. Alle Standorte haben Modems mit FesterIP.


    A - Haupt UDM SE ( WAN 1 Public IP (für alle dienste / WAN 2 Static IP für VPN / Backup )

    B - UDM SE mit dem Problem

    C - UDR ohne Probleme


    A <-> C läuft sauber

    A <-> B alle 24 Std muss die UDM SE neu gestartet werden.


    Regeln alle passend, IPSec Config muss ja passen sonst würde es nach einen Neustart nicht laufen.


    Und es kann auch nicht an der Modemverbindung der VPN Leitung an A liegen. Weil die Uhrzeit wann ich die UDM SE neustarte an B entscheidet wann es nicht mehr geht.



    Hat das schon jemand gehabt. Und vielleicht eine Idee wo ich ansetzen kann ?


    Vielen dank im voraus.

    Hallo,


    ja habe ich versucht das Problem ist aber das SiteMagic nur mit WAN1 geht, ja ich könnte die Leitung umstecken und mit Regeln alles soweit umstellen. Aber es funktioniert ja an einem Standort ohne Probleme.


    Alle haben IPv4 FesteIPs.

    So nun habe ich weiter geprüft. Es passiert wenn am Standort B das Modem seine Zwangs Trennung macht ( VDSL mit FesterIP ). Jetzt mal eine Frage bei anderen Firewalls kann ich auch bei Site 2 Site sagen welche Seite die Verbindung initiieren soll sowas finde ich bei Unifi nicht. Oder muss ich dann echt es so machen das ich auf der einen Seite VPN Server auf der anderen Seite VPN Client und dann mit Statik Routes arbeiten muss ?


    Ich bin über jede Hilfe oder Idee dankbar.


    Was noch klappt ist folgendes wenn ich auf beiden Seiten die VPN Verbindung Pausiere und dann ca. 30-60 Sekunden warte und Sie dann wieder Starte klappt es auch. Aber ich muss die Zeit abwarten.

    Ich vermute mal, dass Du an Standort C keine Zwangstrennung hast und an B alle 24h die Internetverbindung getrennt wird.


    Jetzt ist es vermutlich so, dass warum auch immer Standort A nichts davon mitbekommt und die VPN Verbindung nicht neu aufgebaut wird und daher nicht mehr funktioniert. Vermutlich reicht das Pausieren von Standort A schon aus. Pausieren macht ja nichts anderes als die Verbindung zu beenden und deaktiviert zu lassen.


    Bei einer richtigen S2S VPN hat jede Seite die Daten, die benötigt werden um die Gegenstelle zu kontaktieren und kann bei Bedarf die Verbindung herstellen.

    Bei Client und Server, hat in der Regel nur der Client die Daten um sich mit dem Server zu verbinden und der Server schickt seine Packete einfach dorthin wo die VPN Pakete hergekommen sind. Das heisst praktisch im dümmsten Fall kann man von der Serverseite nicht die Verbindung zur Clientseite initialisieren.


    Das ganze kann man in einer Wireguard Konfiguration gut nachvollziehen. Dort gibt es im Peer Bereich den Endpoint Parameter. Dieser muss auf einer Seite (beim "Client") vorhanden sein um die Verbindung zu initialisieren. Der Parameter darf aber zusätzlich auch beim Server vorhanden sein und dann kann dieser ebenfalls ohne zutun der Clientseite die Verbindung herstellen. Das setzt natürlich voraus, dass der Client einen festen Hostnamen oder IP und Port verwendet. Also auf Clientseite ein Loch mehr in der Firewall. Fehlt dieser, dann antwortet der "Server" nur an die Adresse und den Port, welcher dem Absender der Pakete entspricht.

    1. Leider neun Standort C hat sogar noch eine ganz alte ADSL Leitung mit FesterIP.


    Heute morgen steht im Log von B nichts davon das die Internetverbindung weg war und neu Aufgebaut wurde aber trotzdem exakt nach 24Std ENDE. Dann hatte ich leider zuerst B nur Pausiert und gewartet und neu gestartet hatte nicht geholfen. Nun habe ich gerade gelesen das du ja geschrieben hast auf Seite A Pausieren, werde ich also morgen testen.


    Mal eine Idee vielleicht kannst du / jemand mir ja sagen ob ich da richtig liege.


    Ich erstelle jetzt zusätzlich an Standort A einen Wireguard Server. Am Standort B Wireguard Client. Und erstelle dann am Standort A Static Routes damit alle Geräte von A -> B können hinter dem Tunnel und dann am Standort B das gleiche nur halt B -> A. Damit sollte ich doch das gleiche Ergebnis erzielen außer wie von dir gesagt das Problem mit der weiteren Tür.


    Hat schon jemand mal getestet ob es einen Geschwindigkeitsunterschied gibt ? Zwischen Site2Site IPSec und Wireguard Server / Client - Client in diesem Fall aber eine UDM SE mit den Routen.


    Vielen dank im voraus für deine/eure Hilfe.

    Wenn Du Jetzt Site2Site mit Wireguard machen willst, dann kannst Du das auch über SiteMagic im Unifi Portal machen. War einfach einzurichten und funktionierte gut.


    Das mit dem Client und Server und statischen Routen hab ich noch nicht probiert. Ich hab da nur von der Client Seite eine Traffic Rule gesetzt mit bestimmten IP Adressen. Allerdings ist das zumindest bei mir eine einseitige Kommunikation. Ich kann also aus dem Servernetz nicht auf ein Gerät zugreifen welches hinter dem Client liegt. Hab das nicht weiter untersucht weil das schon genau meinen Zweck erfüllte.


    zu IPSEC kann ich nichts sagen. Ich hatte wireguard mal direkt im UnifiOS eingerichtet als Site2Site zu einem Edgerouter mit statischen Routen und jetzt mit dem Client und Traffic Rules. Die Übertragungsgeschwindigkeit an sich ist bei beiden identisch (halt bis zu 40MBit die man hier so hat ist kein Ding). Aber ich habe den Eindruck das es über die Traffic Rules irgendwie zäh ist. Wenn ich ein Shar aufrufe rödelt es ewig bis es angezeigt wird oder eine Anmeldung erscheint. die alte Version war quasi instant da. Im Log stehen auch ständig Einträge die aussehen wie Verbindungsauf- und abbau ...

    So ein Update jetzt am Wochenende konnte ich die Sache mit dem SiteMagic machen. Alles läuft damit sofort ohne extra Regeln aber auch dort baut er nach 24 Std. keine Verbindung mehr auf. Das kann doch nicht war sein. Auch schon die 24 Std. Reset Time auf 3:30 gestellt damit es vor der Standort A passiert. Aber alles ohne Erfolg ich verzweifle da noch.