VPN zwischen FritzBox und Ubiquiti UDM Pro (Dream Machine) (Stand: 23.08.2024)

Es gibt 21 Antworten in diesem Thema, welches 5.154 mal aufgerufen wurde. Der letzte Beitrag () ist von hchristo.

  • Vorab:

    Diese Anleitung dient zur Einrichtung einer IPSec VPN Verbindung für FritzBoxen (wie in meinem Fall) die Wireguard nicht unterstützen. Meine Gegenstelle ist eine 6490 Kabel Box welche keine Wireguard Verbindung kann. Quelle: https://wiki.home-hosting.de/d…zBox-und-Ubiquiti-UDM-Pro


    Basiseinstellung

    VPN-Typ: IPSec

    Name: Hier ein Beliebiger Name

    Pre-Shared-Key: Gemeinsamer Schlüssel für die FritzBox und die UDM

    Lokale IP: Hier steht die Öffentliche IP Adresse deines Internet Providers

    Remote IP / Host: Die Feste IP, FQDN oder die MyFritz Adresse der Gegenstelle/FritzBox


    Netzwerkkonfiguration

    VPN Typ: Routenbasiert

    Remote Netzwerk(e): Lokales IP Netz der Fritzbox (Default: 192.168.178.0/24)


    Erweiterte Einstellung

    Erweitert: Manuell

    Schlüsselaustausch Version: IKEv1

    IKE:

    • Verschlüsselung: AES-256
    • Hash: SHA512
    • DH-Gruppe: 15
    • Lebenszeit: 28800


    ESP:

    • Verschlüsselung: AES-256
    • Hash: SHA512
    • DH-Gruppe: 15
    • Lebenszeit: 28800
    • Perfect Forward Secrecy (SPF): Angehakt


    Code
    Verschlüsselung Hinweis
    
    
    Die hier in dem Artikel gezeigten Verschlüsselungsmethoden sind bereits die höchsten von der FritzBox unterstützten Technologien.


    Lokale Authentifizierungs-ID - (Manuell: Haken Weg): <Lokale FQDN/DynDNS oder Feste IP Adresse der UniFi UDM>

    Remote-Authentifizierungs-ID- (Manuell: Haken Weg): <FQDN/MyFritz-Adresse der FritzBox>

    Route Entfernung: 30


    Voraussetzungen / Einschränkungen durch die FirtzBox

    Diese Anleitung wurde mit einer FritzBox 6490 Kabel getestet und erfolgreich umgesetzt.



    Code
    Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3331_FRITZ-Box-mit-einem-Firmen-VPN-IPSec-verbinden/


    Vorbereitung für der FritzBox:

    Man erstellt ne neue Text Datei, Trägt meine Vorlage ein und Lädt diese in der FritzBox unter "Internet" → "Freigaben" → VPN (IPSec) als Config hoch:

    Angepasst müssen Folgende werte:

    Zeile 5, Zeile 7, Zeile 14, Zeile 16, Zeile 19, Zeile 24, Zeile 31-32, Zeile 37-38 und Zeile 42

    Zeile 5: Name der VPN Verbindung der in der FirtzBox angezeigt wird.

    Zeile 7: keepalive_ip = "<FQDN/DynDNS der UniFi UDM>"; oder keepalive_ip = <Ohne "" für Feste IP Adresse der UDM>;

    Zeile 14: remotehostname = "<FQDN/DynDNS der UniFi UDM>";

    Zeile 16: fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";

    Zeile 19: fqdn = "<FQDN/DynDNS der UniFi UDM>";

    Zeile 24: key = "<Gemeinsamer Schluessel zwischen FritzBox und UniFi UDM>";

    Zeile 31-32: IP Netz inkl. Subnet der FirtzBox

    Zeile 37-38: IP Netz inkl. Subnet der UniFi UDM

    Zeile 42: accesslist = "permit ip any <IP Netz der UDM> <Subnet, Beispiel: 255.255.255.0>";

    VPN Config FritzBox


    Bekannte Probleme | FAQ:

    ProblemLösung
    Verbindung wird nicht aufgebaut1.) Für diese Lösung reicht ein Neustart der FritzBox.
    2.) Prüfe die Parameter in der Konfiguration für die FritzBox.
    3.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox
    Ich hab kein PING zur gegenstele1.) Für diese Lösung reicht ein Neustart der FritzBox.
    2.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox
    3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig
    Das Gegenüber stehende Netz war kurz erreichbar und jetzt nicht mehr1.) Für diese Lösung reicht ein Neustart der FritzBox.
    2.) Deaktiviere und Aktiviere die IPSec VPN Konfiguration in der UDM
    3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig
    Ich hab die FritzBox und die UDM neu gestartet,
    aber es geht trotzdem nicht, was kann ich tun?
    1.) Bitte achte da drauf ob du ein DS-Lite Anschluss hast, das erfährst du bei deinem Internet Anbieter.
    2.) Prüfe auf mögliche Firewall Fehlkonfigurationen
    3.) Ist die Konfiguration auf der FritzBox oder UDM Aktiviert?
    4.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig
    Die Konfig lässt sich nicht in die FritzBox Importieren1.) Entferne die komplette Zeile mit keepalive_ip = aus der Konfig und Probiere es erneut
    2.) Überprüfe ob du dich nicht ggf. Vertippt hast.
    3.) Wechsle mit Notepad++ unter “Bearbeiten” → “Format Zeilenende” → von “Windows (CR+LF)” zu “Unix (LF)” und speichere dies erneut ab.


  • Hallo Christoph,

    vielen Dank für deine Beschreibung - sie funktioniert fast.


    Der Tunnel kommt zwar noch, und steht auch sauber. Aber ich bekomme keinen Ping oder Traffik über den Tunnel.


    Bei Ping bekomme ich einen timeout.


    Ich habe alles so umgetzt wir beschrieben nur bei "keepalive_ip" nimmt er bei mir keinen fqdn. Daher habe ich hier aus einer anderen Anleitung die 0.0.0.0 übernommen.


    Hast du eine Idee woran es liegen kann? Muss ich noch passende Routen anlegen?


    Viele Grüße

    Markus

  • Du musst ggf. die keepalive_ip auslassen (Auskommentieren), es gibt anschlüsse da läufts und einige nicht.
    Ich hab das auch in der FAQ im Beitrag dass es da zu fehlern kommen kann.

  • Hallo Christoph,

    danke für dein schnelles Feedback, hat leider nix geholfen.


    Wenn ich nen Ping laufen lasse, bekomme ich nen timeout für die Geräte hinter der Fritz.Box.


    Jetzt hab ich auch keine Idee mehr, mit dem USG hat es immer funktioniert, dort musste ich noch ne statische Route setzen damit ich Traffik über den Tunnel bekommen habe, aber das scheint bei der UDM auch nix zu nützen.


    Irgendwie hab ich das Gefühl, da stimmt was mit dem Routing nicht. Die Routing Tabelle sieht so aus:

    Code
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    
    dslb-084-059-21 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
    192.168.10.0    0.0.0.0         255.255.255.224 U     0      0        0 br10
    192.168.20.0    0.0.0.0         255.255.255.192 U     0      0        0 br20
    192.168.177.0   0.0.0.0         255.255.255.0   U     30     0        0 vti64
    192.168.180.0   0.0.0.0         255.255.255.0   U     0      0        0 br0
    192.168.182.0   unifi.sweet.hom 255.255.255.0   UG    1      0        0 br0

    192.168.177.0 ist das Netz hinter der FritzBox.



    Viele Grüße

    Markus


    Jetzt hab ich gerade die Verbindung in der FritzBox nochmals neu angelegt und plötzlich funktioniert es.


    Ich hab aber keine Ahnung warum.


    Danke für deine Hilfe Christoph

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von markus1780 mit diesem Beitrag zusammengefügt.

  • Jetzt hab ich gerade die Verbindung in der FritzBox nochmals neu angelegt und plötzlich funktioniert es.


    Ich hab aber keine Ahnung warum.


    Danke für deine Hilfe Christoph

    Wunderbar, keepalive_ip haste drinne gelassen? Will das dann in meine FAQ aufnehmen

  • Wunderbar, keepalive_ip haste drinne gelassen? Will das dann in meine FAQ aufnehmen

    Ne die hab ich komplett rausgenommen.


    Die Verbindung lief jetzt 3 Stunden stabil, hab darüber auch Backups gefahren und jetzt wieder kein Traffik übers VPN. Neustart etc. hat auch nix genutzt.


    So jetzt hab ichs wieder ans Laufen bekommen:

    1. FritzBox Neustart
    2. UDM - VPN deaktivieren und wieder aktivieren
    3. FritzBox VPN deaktivieren und wieder aktivieren

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von markus1780 mit diesem Beitrag zusammengefügt.

  • So jetzt hab ichs wieder ans Laufen bekommen.


    1. FritzBox Neustart

    2. UDM - VPN deaktivieren und wieder aktivieren

    3. FritzBox VPN deaktivieren und wieder aktivieren

    Ahh okay, wie schauts heute aus? Stabile verbindung oder zwischendurch abgekackt?

  • Aktuell sieht’s gut aus, läuft seit 17 Stunden. Ich Monitore das jetzt mal im homeassistant und halte dich auf dem Laufenden

    Firma Dankt! ♥ Dank für das Feedback

  • Nochmal ein Update, die Verbindung läuft seit Freitag stabil und auch das Wiederverbinden nach der Zwangstrennung des DSL funktioniert

    Herzlichen dank, empfehle diesen Thread weiter! Danke für das Feedback, das hilft bei dem ausbau der Doku!

  • Nochmal ein Update, die Verbindung läuft seit Freitag stabil und auch das Wiederverbinden nach der Zwangstrennung des DSL funktioniert

    Wie siehts aus? Ich hab meine Konfig auch noch mal angepasst...

  • Darf ich eine Verbesserung vorschlagen ?


    Bilder von Extern einzubinden hat IMMER einen negativen Pfaden Geschmack, denn ist der Quell Server der Bilder weg ist die

    Anleitung quasi wertloser Datenmüll. Da macht es auch nicht wenn es "deins" ist und du heute sagt das bleibt ewig.


    +


    Hier gibt es ein "WIKI" Bereich (der zwar kein Wiki im sinne von jeder darf, sonder eher eine Artikel Datenbank ist) der für sowas ideal ist.

  • Darf ich das so lassen? Oder soll ich das zwingend ändern?

  • Wie siehts aus? Ich hab meine Konfig auch noch mal angepasst...

    Komischerweise war die Verbindung als ich letzte Woche aus dem Urlaub kam down. Hab dann die FritzBox neu gestartet und auf der DM die VPN Verbindung deaktiviert und nochmals aktiviert, jetzt steht die Verbindung wieder seite Tagen.


    Was hast du an deiner Konfig verändert?


    Viele Grüße

    Markus

  • Ignorier meine Änderung, ich muss bei meiner Config auch noch mal dran. Ich check gerade noch nen paar einstellungen weil das mit dieser Kack 6490 noch nicht sauber läuft

  • Hallo zusammen,


    die Konfiguration auf der UDM-Pro habe ich wie von Christoph oben vorgeschlagen umgesetzt und die entsprechende Konfigurationsdatei in meine FRITZ!Box 7590AX (FRITZ!OS:7.81) importiert. Trotzdem kann keine VPN-Verbindung aufgebaut werden, auf der FRITZ!Box sehe ich, dass der Fehler "IKE-Error 0x2026" auftaucht:

    Kann es sein, dass ich in der Konfigurationsdatei für die FRITZ!-Biox die Einträge unter "phase1ss" und/ oder "phase2ss" anpassen muss? Wenn ja, was sollte da stehen? Vielen Dank im Voraus für Eure Hilfe!

    Einmal editiert, zuletzt von Bildhauer ()

  • Guten Abend,


    vielen Dank für den regen Austausch hier zu dem Thema.


    Ich würde Dich hchristo aber dennoch bitten wollen hieraus einen wiki-Betrag zu erstellen, welcher sich auch leichter (out-of-the-box) z.B. zu einem PDF machen läßt.


    Außerdem könnte das hier untergehen. Da sehe ich weniger Probleme mit im https://ubiquiti-networks-forum.de/wiki/ .

  • hchristo

    Hat den Titel des Themas von „VPN zwischen FritzBox und Ubiquiti UDM Pro (Dream Machine) (Stand: 24.07.2024)“ zu „VPN zwischen FritzBox und Ubiquiti UDM Pro (Dream Machine) (Stand: 23.08.2024)“ geändert.
  • Hallo zusammen,


    die Konfiguration auf der UDM-Pro habe ich wie von Christoph oben vorgeschlagen umgesetzt und die entsprechende Konfigurationsdatei in meine FRITZ!Box 7590AX (FRITZ!OS:7.81) importiert. Trotzdem kann keine VPN-Verbindung aufgebaut werden, auf der FRITZ!Box sehe ich, dass der Fehler "IKE-Error 0x2026" auftaucht:

    Kann es sein, dass ich in der Konfigurationsdatei für die FRITZ!-Biox die Einträge unter "phase1ss" und/ oder "phase2ss" anpassen muss? Wenn ja, was sollte da stehen? Vielen Dank im Voraus für Eure Hilfe!

    Né die Zeit höher setzen: 28800 sekunden statt 3600