Fritz!Box als WireGuard Client an Unifi Dream Dingsbumse? So geht's.

Es gibt 8 Antworten in diesem Thema, welches 2.506 mal aufgerufen wurde. Der letzte Beitrag () ist von daujens.

    1. In der Unifi GUI unter "VPN>VPN Server" einen WireGuard Server anlegen. Private/Public werden automatisch generiert, IP Address ist die feste IPv4 WAN IP (es kann aber auch die interne Transit-IP sein wenn der davor geschaltete Router das Port weiter leitet, dann kann die tatsächliche WAN Adresse auch eine dynamische sein)
    2. Alternative Adress für Clients ist der öffentliche Hostname der Unifi
    3. Unter Advanced ein neues "Transitnetz" definieren, z.B. 10.12.13.1/24
    4. Unter Clients dann einen neuen Client für die FritzBox anlegen mit einer Interface ID im Transitnetz, z.B. 10.12.13.2 und die .conf runter laden
    5. Unter Routing>Static Routes nun eine Route ins FritzBox Netz (z.B. 192.168.178.0/24) anlegen mit dem Next Hop als die lokale Adresse des Transitnetzes, z.B. 10.12.13.1
    6. die runter geladene .conf bearbeiten und bei [interface] die LAN Adresse mit Subnet der FritzBox eintragen, bei [peer] Allow IPs das Transitnetz und das LAN Netz hinter dem Unifi Router eintragen und den Key PersistentKeepalive = 25 hinzufügen. Beispiel:
      Code
      [Interface]
PrivateKey = gCZ1hJoSHLc6oqlasdfgsfgsdfg4Y2bLXPNBUk=
Address = 192.168.178.1/24

[Peer]
PublicKey = 52f0TK2hKbz+dfsdfsdfdbgs/IeJYb8f9hEE2o=
AllowedIPs = 10.12.13.0/24,192.168.0.0/24
Endpoint = office.apfelmeister.de:1099
PersistentKeepalive = 25
    7. Nun auf der FritzBox eine neue "Netzwerke koppeln" WireGuard Verbindung anlegen und die .conf hoch laden
    8. jetzt per ssh auf die Unifi Maschine gehen. Dort sollte unter "wg show" die FritzBox sich schon verbunden haben. Verkehr fließ aber noch keiner wegen AVMs "unorthodoxer" WireGuard Implementierung. Das kann aber mit "wg set <interface> peer <public_key_der_fritzbox> persistent-keepalive 25 forced-handshake 10 allowed-ips <subnet_der_fritzbox>" repariert werden. Beispiel:

      wg set wgsrv1 peer r+1K5O+jfgdkfjdlfjkgdshkg+QNaNRmYuH10Q= persistent-keepalive 25 forced-handshake 10 allowed-ips 192.168.178.0/24
    9. Um das Ganze einen Reset überlebend zu machen nun noch von boostchicken auf Github die Startupscript-Fähigkeit installieren und den "wg set"-Befehl in ein Script in /data/on_boot.d Verzeichnis ablegen


    :blue_heart:

    Moin apfelmeister,


    vielen Dank für Deine detaillierte Anleitung. Ich habe es stundenlang probiert und keine config in die Fritz!Box bekommen. Immer wurde es mit Fehlern abgebrochen.

    Dein Tipp unter 6. bei [Interface] die Adresse der Fritz!Box einzutragen hat endlich Erfolg gebracht.

    Was eine komische Konfiguration, eigentlich gibt die erzeugte conf der UDM doch die IP vor.


    Den Schritt 8 und 9 brauchte ich nicht mehr zu machen, weil es dafür nun in der GUI eine Einstellung gibt, die Zusätzliche Routen heißt.


    Vigor 165 > UDM Pro > USW-48-POE + USW-Flex + 3x USW-Flex-Mini > 2x UAP-AC-Pro + 1x UAP-AC-M + 1x UAP-FlexHD

    Hallo zusammen, ich drehe echt am Rad und brauche eure Hilfe

    Irgendwo habe ich einen Deckfehler, ich komme von der Sophos UTM. Nach der Abkündigung bin ich jetzt auf Unifi umgestiegen.


    Kurz der Aufbau

    Side 1 FRITZ!Box 7530 AX 192.168.17.1


    Side 2 FRITZ!Box 7530 192.168.2.1

    UCG Ultra UniFi OS v3.2.17, Netzwerk 8.1.127
    Wan Port 192.168.2.21, Default Adresse 192.168.178.254 (In der FritzBox als Exposed Host)

    Es gibt mehrere Netze 192.168.178.0/24, 192.168.10.0/24, 172.16.10.0/24 und 10.1.10.0/24.


    Ich möchte vom Netz 192.168.178.0 auf die FritzBox von Side 1 und möchte das alle Geräte aus Side2 auf das 192.168.10.0/24 voll zugreifen können.

    Also unter VPN --> Neuer VPN Server --> Server Adresse ist die des WAN Ports 192.168.2.21, Alternative Adresse für Clients verwenden ist von mir als DynDNS Eintrag

    Das Gateway/Subnetz ist hier jetzt 192.168.4.1
    Clients (Mobile Endgeräte) habe ich eingetragen und verbinden sich wunderbar.



    Jetzt soll noch die Fritte aus der Side1 dazu.


    Wie oben beschrieben habe ich unter Manuell noch Remote Client Network

    192.168.17.0/24 als Meldung bekomme ich => Dieses Subnetz existiert bereits.
    Wo?!? OK den fehler habe ich gefunden, ich hatte einen Firewall Eintrag noch übernommen, der genau diesen IP Bereich beinhaltete.
    Ok lassen wir den Eintrag weg

    Und passen die heruntergeladen conf an,
    Adress = IP der Fritte von Side 1, AllowedIPs alle Ips die auf Side 2 wichtig währen und noch PersistentKeepalive dazu.

    Code
    [Interface]
PrivateKey = **KEY**
Address = 192.168.17.1/24


[Peer]
PublicKey = **KEY**
AllowedIPs = 192.168.4.0/24,192.168.10.0/24,192.168.178.0/24
Endpoint = FQNAdresse:51820
PersistentKeepalive = 25

    Ab zur Side 1 auf die Fritte unter WireGuard die neue Verbindung eintragen. Es sind keine WireGuard®-Verbindungen eingerichtet.
    Nach kurzer Zeit kommt dann die Meldung:

    Zitat

    Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.Die konfigurierte WireGuard-Gegenstelle verursacht einen Netzwerkkonflikt.Klicken Sie auf „Schließen“, um zur WireGuard®-Übersicht zu gelangen und erstellen Sie die WireGuard®-Verbindung bitte erneut.

    Reboot der USG hat nichts gebracht. Ich weiß echt nicht mehr weiter. Das Netz der Side 1 kann ich nicht umstellen, da läuft zu viel.


    Edit: kopierfehler und Subnet existiert bereits behoben.

    2 Mal editiert, zuletzt von chka ()

    Nachtrag; sobald die 192.168.17.1 also ihre eigene Adresse in der WireGuard Config steht, nimm die Box es nicht an!

    Trage ich die Client-IP der vom WireGuard Server ein also in meinem Beispiel die 192.168.4.5 gelingt der Import aber es wird keine Verbindung aufgebaut. Warum kann ich nicht sagen steht leider nichts in der Log der FritzBox


    Ich habe keinen Plan mehr,

    Zitat von apfelmeister
    1. In der Unifi GUI unter "VPN>VPN Server" einen WireGuard Server anlegen. Private/Public werden automatisch generiert, IP Address ist die feste IPv4 WAN IP (es kann aber auch die interne Transit-IP sein wenn der davor geschaltete Router das Port weiter leitet, dann kann die tatsächliche WAN Adresse auch eine dynamische sein)

    Ich verstehe die Formulierung nicht bzw. hier scheinen mir Schritte übersprungen worden zu sein. Wenn keine feste IPv4 existiert, "es kann aber auch die interne Transit-IP sein" - also die 10.12.13.1 eintragen? Dafür muss ich zunächst auf manuelle IP-Eingabe umschalten. Und wenn ich die Transit-IP (10.12.13.1 und Port 1099) eingebe, erscheint eine Fehlermeldung: "IP-Adresse muss einem lokalen Netzwerk oder WAN zugewiesen werden".

    Was tun? Wie geht diese "Zuweisung"? "wenn der davor geschaltete Router das Port weiter leitet" - was ist damit gemeint? Port-Forwarding bei der UDM erstellen?? Und was soll dort eingetragen werden? Port 1099 soll auf 10.12.13.1 geforwardet werden? Bitte um Klarstellung! Vielen Dank!

    Ich hatte einmal eine Verbindung mit einer xternen Fritze. Durch paar spielerein musste ich aber mal neu starten und weg war die Verbindung.

    Seit dem bekomme ich die nicht wieder aufgebaut.


    Hab sogar schon einmal das ganze Gateway (UCG-Ultra) resettet und von vorne begonnen, aber es will einfach nicht :frowning_face:

    Komme allerdings auch nur bis punkt 8, mir ist es nicht möglich ein script auf der Ultra laufen zu lassen.

    Ist nur die Frage liegt es an dem AVM eigenen Style die der Wireguard verwendet oder liegt das Problem auf der Unifi Seite.

    Bin leider zu sehr laie um das weiter heraus zufinden.

  • Beitrag von Chriz ()

    Dieser Beitrag wurde von razor aus folgendem Grund gelöscht: Doppel-Posting ().

    Ich hänge mich mal hier ran:

    Ich habe meine 7590 durch eine UDM SE ersetzt und brauche 2 Wireguard-Tunnel.

    Mit etwas spielen habe ich die Tunnel soweit, das sie zumindest in den entfernten Fritzboxen als grün angezeigt werden. Wo sehe ich in der UDM den Status der Tunnel?

    Es fliessen aber keine Daten.


    Mal 2 Screenshots von den (hoffentlich relevanten) Konfigurationen.

    Wo setze ich jetzt an??

    Lokales Netz 192.168.0.0/24

    Fernes Netz 1: 192.168.10.0/24

    Fernes Netz 2: 192.168.20.0/24

  • Beitrag von Chriz ()

    Dieser Beitrag wurde vom Autor aus folgendem Grund gelöscht: doppel post ().

    Erst sieht es nach doppelt post aus, dann löscht man und alles ist weg :grinning_squinting_face:


    Hey daujens

    lies dir hier mal meinen Post durch, hab auch einige stunden damit verbracht bis das gezicke mit den beiden wollte :grinning_squinting_face:


    Den Wireguard auf der UDM nochmal löschen und neu erstellen (würde ich jetzt einfach machen damit alles sauber ist, muss aber nicht sein denke ich)


    Client hinzufügen -> Manuelle -> Haken bei pre-shared key setzen -> haken bei remote client networks setzen und das Fritznetz eintragen (192.168.10.0/24)

    Config runterladen und wie im verlinkten Post bearbeiten.


    Config in Fritz laden, und in der Unifi den Befehl ausführen, nun sollte der Tunnel aufgebaut sein.

    Beim neustart der Unifi ist der Tunnel weg und du musst den SSH erneut ausführen, glaube aber für die UDM gibt es einen Script der das für dich machen kann beim boot vorgang


    Und das ganze mit der zweiten FritzBox machen.

    Beim hinzufügen vom Remote Client Network darf er dir nicht sagen das es die route schon gibt, dann hat es bei mir nie geklappt (kann aber nachträglich via SSH noch gemacht / gefixt werden)

    Aber im besten fall meckert er nicht.

    Ich habe gestern noch einige Stunden und Versuche verbracht mit der Anleitung.

    Irgendwann habe ich dann meinen Fehler entdeckt. Der Punkt:

    Zitat von Chriz

    haken bei remote client networks setzen und das Fritznetz eintragen (192.168.10.0/24)

    war die Ursache.

    In der Konfiguration habe ich Sie eingetragen aber erst das "falsche" Hinzufügen betätigt.


    Man muss erst das Netzwerk hinzufügen und dann erst das grosse "Hinzufügen" wählen. :upside_down_face:


    Verrückt: kaum macht man was richtig, schon funktioniert es (meisst). :grinning_squinting_face::grinning_squinting_face::grinning_squinting_face: