Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP

    • Privat
    • USG PRO 4
    • Cloud Key
    • Cloud Key (UC‑CK)
    • Problem
    • USG‑PRO‑4
    • erledigt
  • razor

Es gibt 68 Antworten in diesem Thema, welches 26.213 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Liebe Gemeinde,


    nachdem wir nun DIESES THEMA schließen konnten stehen wir vor einer neuen Herausforderung:

    Dank dynamischer IP-Adressen ist es ja über die GUI (Controller) nicht möglich ein VPN auf "Basis" von DNS-Namen herzustellen - geht bei AVM voll einfach.


    Ich habe (wahrscheinlich) schon alle Anleitungen zu dem Thema gelesen, allerdings sind die Informationen immer wieder so verstreut, dass ich am Ende dennoch nicht am Ziel rausgekommen bin.


    Daher hoffe ich nun auf euch:


    Wer hat schon eine VPN-Verbindung (Site-to-Site) mit USG und USG-Pro-4 in Betrieb genommen, wobei jede Site in ihrem eigenen Controller verwaltet wird, und kann mir bei der Konfiguration helfen?


    Gern entsteht daraus am Ende auch ein Eintrag im #wiki, aber dafür muss es erstmal funktionieren.

    Und die anschließende Herausforderung: in meinem LAN befinden sich mehrere VLANs, welche zum Teil durch eben dieses VPN auch erreicht werden können müssen / sollen.


    "Königsdisziplin": Jetzt kommt dann noch eine andere Gegenstelle dazu, die auch via VPN Pakete aus wenigstens 2 VLANs akzeptieren muss und bei mir auf ein VLAN zugreifen können soll: AVM FRITZ!Box 7590. Das wird dann aber ein neues Thema.


    Vielen Dank.

    Habe nur normales VPN.

    Hier mal ein Link, schaut gut aus, scheint aber einiges an Arbeit, Unifi steht wohl nicht auf DynDNS der viel Arbeit....könnte einfacher gehen.

    https://community.ui.com/quest…60-41cb-9972-d6379347eb86

    Zitat von BlackSpy

    Habe nur normales VPN.

    Hier mal ein Link, schaut gut aus, scheint aber einiges an Arbeit, Unifi steht wohl nicht auf DynDNS der viel Arbeit....könnte einfacher gehen.

    https://community.ui.com/quest…60-41cb-9972-d6379347eb86

    Ja, das Topic ist seit > 2 Jahre unbeantwortet... Unf*cking fassbar... :pouting_face::thumbs_down::exclamation_mark::question_mark:

    Servus!


    Puhhh razor :smiling_face: ........


    Ich hatte in einem Beitrag schon mal erwähnt, dass ich nur mit LANCOM 1781XX 1900 EF VPNs aufbaue, weil wir den Router bei unseren Kunden gerne einsetzen.


    Aber wenn ich das Konstrukt, was du haben möchtest, bei einem Kunden Konfiguriere, muss als Erstes ein VPN-Transfernetz her. d.H. Alle VPNs, die außen ankommen landen z. B. in einem 10.10.5.X Netz.


    Dann werden die ipV4 hin und Rückrouten gebaut. Damit die Pakete wissen, wo es "rein" und wo es "raus" geht. In meinem Fall ist das meitens 1 Netz = Firma intern 2 Netz = Telefonanlagen Netz.


    Das wird grade spannend, wenn Die "Home-Office" User auch ein Softphone verwenden oder ein Hardware-Phone. Welches sich über die VPN mit der TK-Anlage der Firma verbinden soll.


    Wenn dort keine entsprechenden Routen gebaut werden. Hat man solche "Kobolde" wie: Ich hör dich aber du mich nicht, wenn ich angerufen werde klingelt es, aber ich höre nichts. Wenn ich rausrufe, klappt alles!


    Da kommen die wildesten Dinge bei rum :smiling_face: Ich denke dein Thema ist: IPv4 Routen bauen und den entsprechenden VLANs zuordnen. Stell dir die Frage: Muss ich mit einem natting arbeiten oder nicht.


    Ich hätte dir zu gerne eine Anleitung geliefert, wie es bei einem USG zu lösen ist. Aber vielleicht entdeckst du etwas in meinen Anekdoten was dich auf eine neue Fährte führt.


    Frohes neues


    Grüße


    Loxor

    Primär-Host-Server 1 Xeon 1285L 32 GB RAM 1xAdaptec 6805 6x 380 GB Intel Server SSD im RAID 5 2x 8 TB WD Gold RAID 1

    @ Hyper-V 1x Server 2016 Domänen Controller, 1x Server 2016 mit Exchange 2016 25 Benutzer CAL, 1x Server 2016 Terminalserver 10 Benutzer CAL.


    Reserve-Host-Server 1 Xeon 1285L 32 GB RAM, 1xAdaptec 6805


    1x UniFi Cloud Key Gen 2

    2x UniFi AP AC Lite

    1x UniFi AP LR

    1x 16 Port Netgear 716 GS v3 + 2x SPF+ (Managed Switch)
    3x 08 Port Netgear GS308E (Managed Switch)

    Einmal editiert, zuletzt von Loxor ()

    Gefällt mir 1
    Zitat von BlackSpy

    razor

    Hier hast du noch einen

    https://help.ui.com/hc/en-us/a…ith-config-gateway-json#4

    UniFi - USG Advanced Configuration Using config.gateway.json passt iwie leider nicht zu meinem Problem. :frowning_face:


    Danke Dir.

    Moin Razor,


    wie versprochen :winking_face:


    Hier sind meine Einstellungen - bisher ist es aber ne User VPN und keine Site-to-Site (die kommt evtl nächste Woche)


    Hier sind die VPN einstellungen



    Und die DynDNS - das läuft bei mir über Strato



    Mein Controller läuft auf nem Pi4

    Die Authentifizierung läuft über ein RADIUS Profil.

    Firewall ist auf Default also was er anlegt wenn man ein VPN anlegt


    Die Site to Site versuche ich dann nächste Woche noch mal - dann Verbinde ich den vServer bzw werde es Versuchen.


    EDIT: Das USG macht PPPoE Einwahl via Vigor 130 (full Bridge Mode)


    Ich hoffe, das hilft dir etwas weiter

    Mein Projekt

    Moin amaskus ,


    Danke Dir soweit. Das RoadWorrior-Szenario habe ich auch schon erfolgreich umsetzen können.


    Ich bin auf Deine Findings gespannt, was Site-to-Site-VPN betrifft.

    razor


    So viel druck :grinning_squinting_face: - Ich werde berichten

    Mein Projekt

    Hi razor!


    Im neuen UniFi Controller sind die Einstellungen wie folgt (es hilft die "Classic Settings" aufzurufen):


    Einstellungen/Netzwerke/Neues Netzwerk erstellen


    Name= beliebiger Name für das Netzwerk


    Verwendung= Site-to-Site VPN


    VPN Typ= Manual IPsec


    Aktiviert= Site-to-Site VPN aktivieren


    Remote-Subnetze= z.B. 100.10.1.0/24 (mit dem + mindestens ein Netzwerk der Remote-Site eintragen)


    Routendistanz= 30 (unverändert lassen)


    Schnittstelle= WAN oder WAN2 auswählen (je nachdem an welcher WAN-Schnittstelle sich das Modem befindet)


    Peer-IP= hier die öffentliche WAN-IP des entfernten USG eintragen (es muss zwingend eine IP eingetragen werden, FQDN ist noch nicht möglich!)


    Lokale WAN-IP= hier die öffentliche WAN-IP des lokalen USG eintragen (es muss zwingend eine IP eingetragen werden, FQDN ist noch nicht möglich!)


    Pre-Shared Key= selbstgewähltes sicheres Passwort


    IPsec Profil= Angepasst (Auswahl unverändert lassen)


    Erweiterte Optionen ebenfalls unverändert lassen!


    Speichern!


    Auf dem entfernten USG ist ebenfalls ein Site-to-Site VPN Netzwerk zu erstellen!

    Hier Peer-IP und lokale WAN-IP umgekehrt eintragen! Pre-Shared Key identisch eintragen!


    Bei DynDNS-Systemen ist die WAN-IP beim DynDNS-Anbieter auszulesen!


    Leider müssen die Einträge für die Peer-IP und lokale WAN-IP nach jedem DynDNS-Update angepasst werden.

    FQDN können noch nicht genutzt werden, soll jedoch in Zukunft möglich sein!


    Die VLAN's müssen an ein Corporate Netzwerk (welches als Remote-Subnetz eingetragen wurde) getaggt werden um erreichbar zu sein!


    Nach der Konfiguration wie oben beschrieben (Achtung: beide USG's müssen konfiguriert und provisioniert sein!), sollte das Remote-Subnetz auf ein PING reagieren!


    Für jedes Remote-USG muss ein eigenes Site-to-Site VPN Netzwerk erstellt werden!

    Hallo @EJHome ,


    wie Du es beschrieben hast habe ich es "leider" schon im Einsatz. Es geht natürlich darum einen Reconntect zu überstehen - mit dynamischen Adressen, so wie ich es im Titel beschrieben habe.


    Danke für Deine Ausführung.

    Ich bin auch gerade dabei eine VPN Verbindung zwischen einer Fritzbox und mein USG3P auf zu bauen.


    Das es nicht mit dynamischen Adressen funktioniert entsetzt mich!

    Es gibt die Möglichkeit im USG einen DynDNS ein zu tragen, aber bei der VPN Verbindung haben sie es vergessen.


    So schön wie die Unifi Produkte sind, muss man dann doch feststellen, das AVM bei einigen Sachen wie z.B. VPN Verbindungen mehr Flexibilität bietet.


    Das heißt ich müsste mir von ddnss eine Mail schicken lassen wenn sich die IP Adresse ändert und diese dann im USG eintragen damit die VPN Verbindung wieder funktioniert?


    Wie sieht es denn mit IPv6 aus?

    Ändert die sich denn auch bzw. kann man dort auch eine IPv6 eintragen?

    Einmal editiert, zuletzt von alex303 ()

    alex303


    Bei einem Reconnect durch den ISP kommt es in der Regeln zu einer Neuzuweisung der IPv4 und/oder IPv6 Adresse.


    Daher hilft hier die Nutzung einer IPv6 Adresse aus meiner Sicht nicht weiter.


    Die Möglichkeit bei einem Site-to-Site VPN "Site's" miteinander zu verbinden ist erst mit dem UniFi-Controller 6 weggefallen und soll zurück kommen.


    Diese half jedoch nicht immer weiter, um unterschiedliche Router per VPN zu verbinden.


    Ein Reconnect durch den ISP ist bei mir eher selten, die notwendigen Anpassungen daher überschaubar.


    Mit einem kleinen Skript lässt sich die Site-to-Site Verbindung überwachen und eine Email generieren, falls die Verbindung durch Zuweisung neuer IPv4 / IPv6 Adressen getrennt wird! Dann muss jedoch per Hand nachjustiert werden!

    Die E-Mail Benachrichtigung wenn die IPv4 geändert wird bekomme ich über ddnss.de.


    Wie kann ich den jetzt eine Verbindung zwischen USG und Fritzbox einrichten?


    Gibt es denn die Möglichkeit das die Fritzbox die Verbindung zum USG aufbaut? Dann würde es ja mit DDNS Eingabe funktionieren.

    Ich habe gerade mal probiert eine Site to Site Verbindung mit der Aktuellen ip Adresse ein zu stellen.

    Die Fritzbox will einen VPN Benutzernamen haben, beim USG gibt es so ein Benutzernamen nicht.


    Was nun?

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von alex303 mit diesem Beitrag zusammengefügt.

    Zitat von alex303

    ...

    Die Fritzbox will einen VPN Benutzernamen haben, beim USG gibt es so ein Benutzernamen nicht.

    ...

    Die Benutzernamen brauchst Du nur für Roadwarriors, bei Site to Site (bei Fritz heißt das LAN - LAN - Kopplung) gibt es keine Benutzernamen, sondern nur Namen für die einzelnen Verbindungen. Diese Namen sind aber nur für die Übersicht in der GUI relevant und haben keine Auswirkungen auf die VPN Verbindung selbst.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Gefällt mir 1

    Folgendes habe ich eingestellt:

    Fritzbox:

    USG:

    Peer IP habe ich die öffentliche IP Adresse der Fritzbox eingetragen,

    Lokale WAN IP habe ich die öffentliche IP Adresse des USG eingetragen

    folgende Fehlermeldung Fritzbox:


    Woran könnte denn hier noch der Fehler liegen?



    Gruß

    Alexander

    Zitat von alex303

    Woran könnte denn hier noch der Fehler liegen?

    Also mir fällt auf, daß beide Male das gleiche Remotenetz [192.168.200.0/24] eingetragen ist. Das kann nicht funktionieren.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Wie gr00ve bereits angemerkt hat, muss der Netzwerkadressraum hinter den Routern zwingend unterschiedlich sein!


    Es können nur verschiedene Netzwerke (Subnetze) miteinander über VPN verbunden werden, nicht jedoch Netzwerke erweitert werden.



    Beispiel:


    Router 1: 192.168.200.0/24


    Router 2: 192.168.300.0/24



    Entsprechendes als Remote-Subnetz eintragen, dann sollte es funktionieren!


    Gruß!

    Welches Netz wird denn dort eingetragen?


    Wird in der Fritzbox das Netz des USG und umgekeht eingetragen?

    Das habe ich gerade gemacht, aber es hat sich nichts geändert.


    Der Remote-Benutzer VPN den ich eingerichtet habe, dort wird ja ein eigenes Netzwerk für die VPN Verbindung eingetragen.


    Gruß

    Alexander