Moin apfelmeister,

vielen Dank für Deine detaillierte Anleitung. Ich habe es stundenlang probiert und keine config in die Fritz!Box bekommen. Immer wurde es mit Fehlern abgebrochen.

Dein Tipp unter 6. bei [Interface] die Adresse der Fritz!Box einzutragen hat endlich Erfolg gebracht.

Was eine komische Konfiguration, eigentlich gibt die erzeugte conf der UDM doch die IP vor.

Den Schritt 8 und 9 brauchte ich nicht mehr zu machen, weil es dafür nun in der GUI eine Einstellung gibt, die Zusätzliche Routen heißt.

Hallo zusammen, ich drehe echt am Rad und brauche eure Hilfe

Irgendwo habe ich einen Deckfehler, ich komme von der Sophos UTM. Nach der Abkündigung bin ich jetzt auf Unifi umgestiegen.

Kurz der Aufbau

Side 1 FRITZ!Box 7530 AX 192.168.17.1

Side 2 FRITZ!Box 7530 192.168.2.1

UCG Ultra UniFi OS v3.2.17, Netzwerk 8.1.127
Wan Port 192.168.2.21, Default Adresse 192.168.178.254 (In der FritzBox als Exposed Host)

Es gibt mehrere Netze 192.168.178.0/24, 192.168.10.0/24, 172.16.10.0/24 und 10.1.10.0/24.

Ich möchte vom Netz 192.168.178.0 auf die FritzBox von Side 1 und möchte das alle Geräte aus Side2 auf das 192.168.10.0/24 voll zugreifen können.

Also unter VPN --> Neuer VPN Server --> Server Adresse ist die des WAN Ports 192.168.2.21, Alternative Adresse für Clients verwenden ist von mir als DynDNS Eintrag

Das Gateway/Subnetz ist hier jetzt 192.168.4.1
Clients (Mobile Endgeräte) habe ich eingetragen und verbinden sich wunderbar.

Jetzt soll noch die Fritte aus der Side1 dazu.

Wie oben beschrieben habe ich unter Manuell noch Remote Client Network

192.168.17.0/24 als Meldung bekomme ich => Dieses Subnetz existiert bereits.
Wo?!? OK den fehler habe ich gefunden, ich hatte einen Firewall Eintrag noch übernommen, der genau diesen IP Bereich beinhaltete.
Ok lassen wir den Eintrag weg

Und passen die heruntergeladen conf an,
Adress = IP der Fritte von Side 1, AllowedIPs alle Ips die auf Side 2 wichtig währen und noch PersistentKeepalive dazu.

[Interface]
PrivateKey = **KEY**
Address = 192.168.17.1/24


[Peer]
PublicKey = **KEY**
AllowedIPs = 192.168.4.0/24,192.168.10.0/24,192.168.178.0/24
Endpoint = FQNAdresse:51820
PersistentKeepalive = 25

Ab zur Side 1 auf die Fritte unter WireGuard die neue Verbindung eintragen. Es sind keine WireGuard®-Verbindungen eingerichtet.
Nach kurzer Zeit kommt dann die Meldung:

Zitat

Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt.Klicken Sie auf „Schließen“, um zur WireGuard®-Übersicht zu gelangen und erstellen Sie die WireGuard®-Verbindung bitte erneut.

Reboot der USG hat nichts gebracht. Ich weiß echt nicht mehr weiter. Das Netz der Side 1 kann ich nicht umstellen, da läuft zu viel.

Edit: kopierfehler und Subnet existiert bereits behoben.

Nachtrag; sobald die 192.168.17.1 also ihre eigene Adresse in der WireGuard Config steht, nimm die Box es nicht an!

Trage ich die Client-IP der vom WireGuard Server ein also in meinem Beispiel die 192.168.4.5 gelingt der Import aber es wird keine Verbindung aufgebaut. Warum kann ich nicht sagen steht leider nichts in der Log der FritzBox

Ich habe keinen Plan mehr,

Zitat von apfelmeister

1. In der Unifi GUI unter "VPN>VPN Server" einen WireGuard Server anlegen. Private/Public werden automatisch generiert, IP Address ist die feste IPv4 WAN IP (es kann aber auch die interne Transit-IP sein wenn der davor geschaltete Router das Port weiter leitet, dann kann die tatsächliche WAN Adresse auch eine dynamische sein)

Ich verstehe die Formulierung nicht bzw. hier scheinen mir Schritte übersprungen worden zu sein. Wenn keine feste IPv4 existiert, "es kann aber auch die interne Transit-IP sein" - also die 10.12.13.1 eintragen? Dafür muss ich zunächst auf manuelle IP-Eingabe umschalten. Und wenn ich die Transit-IP (10.12.13.1 und Port 1099) eingebe, erscheint eine Fehlermeldung: "IP-Adresse muss einem lokalen Netzwerk oder WAN zugewiesen werden".

Was tun? Wie geht diese "Zuweisung"? "wenn der davor geschaltete Router das Port weiter leitet" - was ist damit gemeint? Port-Forwarding bei der UDM erstellen?? Und was soll dort eingetragen werden? Port 1099 soll auf 10.12.13.1 geforwardet werden? Bitte um Klarstellung! Vielen Dank!

Ich hatte einmal eine Verbindung mit einer xternen Fritze. Durch paar spielerein musste ich aber mal neu starten und weg war die Verbindung.

Seit dem bekomme ich die nicht wieder aufgebaut.

Hab sogar schon einmal das ganze Gateway (UCG-Ultra) resettet und von vorne begonnen, aber es will einfach nicht

Komme allerdings auch nur bis punkt 8, mir ist es nicht möglich ein script auf der Ultra laufen zu lassen.

Ist nur die Frage liegt es an dem AVM eigenen Style die der Wireguard verwendet oder liegt das Problem auf der Unifi Seite.

Bin leider zu sehr laie um das weiter heraus zufinden.

Ich hänge mich mal hier ran:

Ich habe meine 7590 durch eine UDM SE ersetzt und brauche 2 Wireguard-Tunnel.

Mit etwas spielen habe ich die Tunnel soweit, das sie zumindest in den entfernten Fritzboxen als grün angezeigt werden. Wo sehe ich in der UDM den Status der Tunnel?

Es fliessen aber keine Daten.

Mal 2 Screenshots von den (hoffentlich relevanten) Konfigurationen.

Wo setze ich jetzt an??

Lokales Netz 192.168.0.0/24

Fernes Netz 1: 192.168.10.0/24

Fernes Netz 2: 192.168.20.0/24

Erst sieht es nach doppelt post aus, dann löscht man und alles ist weg

Hey daujens

lies dir hier mal meinen Post durch, hab auch einige stunden damit verbracht bis das gezicke mit den beiden wollte

Den Wireguard auf der UDM nochmal löschen und neu erstellen (würde ich jetzt einfach machen damit alles sauber ist, muss aber nicht sein denke ich)

Client hinzufügen -> Manuelle -> Haken bei pre-shared key setzen -> haken bei remote client networks setzen und das Fritznetz eintragen (192.168.10.0/24)

Config runterladen und wie im verlinkten Post bearbeiten.

Config in Fritz laden, und in der Unifi den Befehl ausführen, nun sollte der Tunnel aufgebaut sein.

Beim neustart der Unifi ist der Tunnel weg und du musst den SSH erneut ausführen, glaube aber für die UDM gibt es einen Script der das für dich machen kann beim boot vorgang

Und das ganze mit der zweiten FritzBox machen.

Beim hinzufügen vom Remote Client Network darf er dir nicht sagen das es die route schon gibt, dann hat es bei mir nie geklappt (kann aber nachträglich via SSH noch gemacht / gefixt werden)

Aber im besten fall meckert er nicht.

Ich habe gestern noch einige Stunden und Versuche verbracht mit der Anleitung.

Irgendwann habe ich dann meinen Fehler entdeckt. Der Punkt:

Zitat von Chriz

haken bei remote client networks setzen und das Fritznetz eintragen (192.168.10.0/24)

war die Ursache.

In der Konfiguration habe ich Sie eingetragen aber erst das "falsche" Hinzufügen betätigt.

Man muss erst das Netzwerk hinzufügen und dann erst das grosse "Hinzufügen" wählen.

Verrückt: kaum macht man was richtig, schon funktioniert es (meisst).

Hallo zusammen,

ich möchte einen S2S-Tunnel per Wireguard mit einer Fritz!Box und einer UDM SE aufbauen.

Bin erstmal grob nach der Anleitung vorgegangen:

Mit dem Unterschied, dass hier ein Ende eine Fritz!Box ist. Das wird wohl auch mein Problem sein.

Jedenfalls habe ich ein Wireguard auf der UDM SE eingerichtet und die Datei in der Fritz!Box eingefügt. Die Verbindung vom Fritz!Box-Netz zum UDM-Netz funktioniert sauber. Leider allerdings nicht anders herum. Es ist ausschließlich die Fritz!Box über die Tunnel-IP erreichbar. Einmal die Daten:

Lokales Netz UDM: 192.168.2.0/24

Lokales Netz Fritz!Box: 192.168.0.0/24

Tunnel-Netz: 192.168.201.0/24

Tunnel-IP UDM: 192.168.201.1

Tunnel-IP Fritz!Box: 192.168.201.2

Nun ist wie gesagt das Netz 192.168.0.0/24 nicht vom UDM Netz 192.168.2.0 erreichbar. Umgekehrt schon. Ich erreiche vom UDM-Netz ausschließlich die Fritz!Box über IP 192.168.201.2.

Das Netz ist soweit im Client eingetragen:

In der Fritz!Box ist es folgendermaßen konfiguriert:

Beim Ping auf ein Gerät im Fritz!Box Netz (nicht die Fritz!Box selber) antwortet immer die Tunnel-IP der Fritz!Box, was natürlich nicht korrekt ist.

Jemand eine Idee? Ich vermute es hängt bei der Fritz!Box, bin mir aber nicht sicher.

Ohne es genaz zu wissen, vermute ich das die Netze in der Fritzbox nicht richtig sind.

Ich hab dir mal Screenshots von meiner funktionierenden Konfig genacht, vielleicht hilft es dir.

Im Gegensatz zum von dir verlinkten Video habe ich statische Routen eingetragen:

Und hier die AVM-Seite:

Danke für die Bilder. Die Unterschiede zwischen unseren Konfigurationen sind wie folgt:

Du hast einen zusätzlichen Pre-Shared-Key eingerichtet, ich nicht. -> Sollte eigentlich keine Rolle spielen

Du hast eine statische Route eingerichtet, ich nicht. -> Sollte eigentlich nicht benötigt werden, da die UDM die Routen direkt mit einträgt wenn das Netz eingetragen wird (eingetragen ist: "192.168.0.0/24 dev wgsrv2 proto kernel scope link")

Du hast das Koppelnetz zusammen mit Netzmaske /27, bei mir sind die IP-Adressen des Koppelnetzes einzeln mit /32 (wird von der UDM so vorgegeben in der .conf-Datei) -> Sollte ebenfalls keine Rolle spielen

Nichtsdestotrotz habe ich das nochmal so wie bei dir nachgebaut (mein Koppelnetz ist allerdings ein /29). Leider mit dem gleichen Ergebnis. Hast du noch irgendwas anderes manuell eingerichtet in der .conf Datei? Ich muss z.B. auch zwingend ein "PersistentKeepalive = 25" setzen, ansonsten wird die Verbindung nicht aufgebaut.

EDIT: Alles klar, ich habs. Man sollte vielleicht mal den ganzen Beitrag anschauen. So funktioniert es nun, danke!

Der Clou war folgender Beitrag: RE: CGW-Ultra Site2Site/Lan2Lan zur Fritz!Box

Ich gehe davon aus, dass folgende Zeile verantwortlich war (hab die erste IP mal mit meiner Koppel-IP ersetzt):

Zitat

Address = 192.168.2.201/32 <<< ersetzen mit der FritzIP/24

Vielleicht kann mir jemand bzw. Chriz erklären, warum diese Zeile von der Koppel-IP auf die Fritz-IP geändert werden soll mit Netzmaske /24. Ergibt für mich erstmal wenig Sinn. Gibt ja einen Grund warum UniFI das so macht. Die eigentlichen Netze werden dann halt bei "AllowedIPs" freigeschaltet. Oder fehlt der Fritz!Box standardmäßig eine Route?

Btw.: Die statischen Routen in der UDM werden tatsächlich nicht gebraucht. Die werden mittlerweile automatisch eingetragen und würden so doppelt drin stehen. Auch ein manuelles "anstoßen" des Tunnels per SSH ist nicht nötig ("PersistentKeepalive" in der Konfig mit setzen).

Da ich kein experte sondern auch nur laie bin kann ich dir das nicht erklären. Wird wohl vermutlich nur AVM können, die haben das ja so implementiert das die Fritze keine eigene transfer ip braucht wie es zb bei unifi der fall ist.

Wenn ich es richtig in errinerung habe, bekommst du bei der Fritzbox als einzel Client (Smartphone Verbindung) auch direkt eine IP aus deinem Heimnetz und keine aus einem Transfernetz.

Ich kenne bis auf AVM niemanden, der Wireguard so implementiert hat. Und dann auch diese wirre Art der Konfiguration mit vielen oft nicht eindeutigen Fragen und da exportieren in andere Fritte importieren um dann das ausgegeben wieder in die ursprüngliche Fritte zu kippen. Naja Wireguard ist sooooo kompliziert, da brauchts unbedingt solche "Wizards"

Alle anderen Implementierungen die ich kenne benutzen ein Transfernetz.

Hallo zusammen, ich möchte ein Fritz!Box Netz der Eltern mit meinen Unifi Netz via Wireguard koppeln. Ich habe mich an die Anleitung hier gehalten aber leider kann ich die Fritz!Box nicht erreichen. Jemand eine Idee? Bekomme keine Verbindung auf 192.168.178.1

Fritz!Box 192.168.178.1

Unifi: 192.168.1.1

ClientNetz meine Rechner: 192.168.3.1 /24

Ping geht weder aus 192.168.1.1/24 oder 192.168.3.1 /24

Hier Fotos der Konfiguration. Jemand eine Idee?

Basti123

Warum steht in der Fritte bei entferntes Netz 192.168.0.0/24 ? Das gibt es in der Auflistung der beteiligten Netze gar nicht. Dafür fehlt 192.168.10/24 und 192.168.3.0/24

Dann die statische Route im Unifi Gateway entfernen. Dann gehst Du mal zur Wireguard Server Konfiguration und bearbeitest da mal den Client. Dort "Remote Client Networks" anhaken und das Netzwerk eingeben was hinter diesem Client hängt also 192.168.178.0/24.

Das sind mal so Dinge die mir ins Gesicht gesprungen sind.

@

Online

DoPe

Hallo DOPE, und danke erstmal.

Also von der Unfi (192.168.1.1) geht der Ping auf die Fritzbox 192.168.178.1 aber aus dem192.168.3.1/24 leider nicht. Muss ich da noch etwas ab der Firewall oder Route machen?

Ist es richtig das bei Allowed IP's auf die Unifi nur die beiden Netze stehen?

Basti123

Das sieht soweit okay aus. Auf der Unifi Seite ist das einmal das Fritzbox Netz und das entfernte Tunnelende. Das wäre im Prinzip so auch okay.

Ich weiß noch immer nicht so genau wieso in der Konfig im ersten Beitrag das 192.168.0.0/24 steht. Ist das die Konfig die Du in die Fritzbox gekippt hast? Ich meine prinzipiell egal weil Du ja dahinter noch 0.0.0.0/0 stehen hast.

So aus dem Bauch heraus würde ich sagen in der Fritze fehlt die Rückroute. Kannst Du mal schauen ob Du be den Statischen Routen in der Fritzbox das 192.168.1.0/24 Netz drin hast und das 192.168.3.0/24 nicht? Falls dem so ist trag das mal dort mit ein.

DoPe

Also der ping geht von 192.168.1.1 also der UniFi auf 192.168.178.1. Aber von einem Client z.b 192.168.1.230 geht es nicht. Verstehe ich nicht.

Kannst Du vom Unifi irgendwas hinter der Fritzbox anpingen? Also ein Gerät im anderen LAN, möglichst kein WIN PC.

Schau bitte mal in der Fritzbox. Bei den Netzwerkeinstellungen gibts statische Routen. Man muss ggf. Erweiterte Einstellungen aufklappen. Ich denke mal die sind leer?