Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP

    • Privat
    • USG PRO 4
    • Cloud Key
    • Cloud Key (UC‑CK)
    • Problem
    • USG‑PRO‑4
    • erledigt
  • razor

Es gibt 68 Antworten in diesem Thema, welches 26.285 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hi alex303!


    Du hast ein USG und eine Fritz!Box!

    in beiden Routern hast Du Netzwerke definiert! In der ursprünglichen Konfiguration hast Du identische Netzwerke (Subnetze) hinter beiden Routern.

    Im USG 192.168.200.0/24 und in der Fritz!Box ebenfalls 192.168.200.0/24!

    Die über VPN zu verbindenden Subnetze müssen unterschiedlich sein.


    Beispiel:


    USG 192.168.200.0/24


    Fritz!Box 192.168.300.0/24


    Jetzt sind diese Subnetze wechselseitig als Remote-Subnetz / Entferntes Netzwerk einzutragen.


    USG>>Remote-Subnetz: 192.168.300.0/24 (ist das lokale Netzwerk der Fritz!Box, welches verbunden werden soll!)


    Fritz!Box>>Entferntes Netzwerk: 192.168.200.0/24 (ist das lokale Netzwerk des USG, welches verbunden werden soll!)


    Im USG ist ein Site-to-Site VPN einzurichten. Diese Einstellung erzeugt keinen Remote-Benutzer!!!



    Achtung: Pre-Shared Key in beiden Routern prüfen und identisch eintragen!



    Gruß!

    Zitat von alex303

    Der Remote-Benutzer VPN den ich eingerichtet habe, dort wird ja ein eigenes Netzwerk für die VPN Verbindung eingetragen.

    Remote Benutzer und Site to Site sind zwei verschiedene Paar Schuhe. Als Remotebenutzer (Roadwarrior) bist Du ein Client, der aus dem Internet auf ein geschütztes Netz zugreifen darf. Umgekehrt kann aber niemand aus diesem Netz auf Deinen Rechner (Tablet, Smartphone) zugreifen, obwohl Du einen VPN Tunnel initiiert hast. Auf der Fritzbox enden Remotebenutzer Tunnel unter virtuellen IPs 192.168.178.201 ff.


    Site to Site wiederum verbindet zwei Netze miteinander und der Traffic geht in beide Richtungen gleichberechtigt. Da gibt es keine Benutzer, aber wie @EJHome richtig geschrieben hat, müssen die beiden miteinander verbundenen Netze zwingend unterschiedliche IP Bereiche haben. Sonst geht's nicht.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Gefällt mir 1

    Hallo EJHome,

    hallo gr00ve,


    vielen Dank für Eure tolle Erklärung.

    So habe ich den Unterschied bzw. die Einstellungen für eine Site to Site Verbindung soweit verstanden.


    Die Einstellungen der Netze von EJHome habe ich eingetragen, der Preshared Key ist sowohl bei der Fritzbox als auch beim USG gleich.


    Aber die Verbindung funktioniert immer noch nicht.

    Hier die Fehlermeldung der Fritzbox:


    Vielleicht habe ich im USG noch was falsch eingestellt, habe dort auch einiges ausprobiert, hier noch die Einstellung:


    Warum muss man beim USG eigentlich auch die eigene WAN IP eintragen?


    Gruß

    Alexander

    alex303


    Sowohl Fritz!Box wie auch USG wollen die lokale und die remote IP kennen, um ein Site-to-Site VPN aufzubauen.


    Meine erweiterten Optionen sind anders konfiguriert:



    Vielleicht damit mal experimentieren.


    Ich habe mit diesen Einstellungen ein Site-to-Site VPN zwischen UDM Pro und USG realisiert!

    Auch diese Einstellungen müssen auf beiden Seiten identisch sein!


    Gruß!

    alex303


    Was Du vorhast, funktioniert nur mit manuellem Editieren sowohl des FritzBox .cfg Files als auch der config.gateway.json Datei im USG. Dazu gibt es hier ein gute Anleitung.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    gr00ve

    alex303


    Sehr gute Anleitung!

    Es wird nur sehr mühsam werden, nach jedem Reconnect, die Dateien zu ändern und neu einzuspielen.

    Ohne die Funktion der FQDN (über DynDNS) im UniFi Controller, ist es immer eine unbefriedigende "Zwischenlösung"!



    Gruß!

    Einmal editiert, zuletzt von EJHome ()

    Zitat von EJHome

    ...

    Es wird nur sehr mühsam werden, nach jedem Reconnect, die Dateien zu ändern und neu einzuspielen.

    Ohne die Funktion der FQDN (über DynDNS) im UniFi Controller, ist es immer eine unbefriedigende "Zwischenlösung"!

    ...

    Vielleicht akzeptiert das USG als <REMOTE_HOSTNAME> anders als im GUI hier auch eine URL, dann würde es mit Dyndns funktionieren. Müsste man ausprobieren.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Gefällt mir 1

    Hallo gr00ve,


    die Anleitung hat teilweise geholfen.

    Die Datei in der Fritzbox funktioniert, aber im USG bekomme ich die Datei nicht ans laufen.

    Im USG habe ich das VPN über die Weboberfläche eingerichtet, das hat nun funktioniert.

    Blöd ist nur das in der Weboberfläche nur IP Adressen und keine DNS Namen eingetragen werden können.


    Weis jemand ob man die Datei die über die Weboberfläche eingerichtet wird abgeändert werden kann bzw. wo liegt die?


    Gruß

    Alexander

    Die ANLEITUNG im link ist von 2018.


    Bis vor ca. sechs Monaten, konnte man im UniFi-Controller noch Site-to-Site VPN aufbauen, mit FQDN, also auch DynDns!

    Das geht zurzeit nicht.


    Die Datei aus der Anleitung war noch für die Version mit FQDN.


    Aber ich bin kein Fachmann mit den json-files!

    Zitat von EJHome

    ...

    Bis vor ca. sechs Monaten, konnte man im UniFi-Controller noch Site-to-Site VPN aufbauen, mit FQDN, also auch DynDns!

    Das geht zurzeit nicht.

    ...

    OK, das wusste ich nicht. Again what learned. :winking_face:

    Wenn es schon mal ging, besteht ja Hoffnung, daß es irgendwann wieder funktioniert. Wäre ja nicht das erste Mal, daß Unifi ein Feature "weg updated" und später zurück bringt. :face_with_rolling_eyes:


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Das kann ich leider nicht bestätigen: IPSec-VPNs ließen sich bei UniFi noch nie (so lange ich das im Einsatz habe; Anfang Mai 2020) mit FQDNs einrichten - auch vorher leider nicht; siehe UI-Community. :frowning_face: #VerySad

    razor


    Über den Controller konntest Du ohne weiteres dazutun eine Site-to-Site-Verbindung herstellen.


    Auch wenn beide Site's jeweils einen FQDN hatten, interessierte das den ehemaligen Controller nicht.


    Dort war nur die Funktion "Site-to-Site VPN" auszuwählen.


    Durch diese Funktion wurden die beiden "Sites" durch ein VPN verbunden ohne die Eingabe der (jetzt notwendigen) IP-Adressen der lokalen und peer IPv4!


    Ja, ich gebe Dir recht, dass dort keine FQDN einzugeben waren.

    War auch nicht nötig, da der UniFi-Controller diese Verbindung ohne diese Angaben hergestellt hat.

    @EJHome

    Ich glaube, ihr sprecht von zwei verschiedenen Dingen. Du meinst Site-to-Site in Bezug auf zwei Unifi "Sites", während razor den Begriff allgemeiner versteht, als Kopplung von zwei beliebigen LANs über VPN (Engl. site to site).


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Moin @EJHome ,

    ich hatte im ersten Post nicht erneut angegeben, dass beide Sites auf einem eigenen Controller laufen - aber im verlinkten Thread. Es mag sein, dass das funktioniert, wenn alle Site auf einem gemeinsamen Controller laufen: das ist hier aber nicht der Fall.

    Moin Zusammen,


    um das Thema nochmal aufzugreifen.


    Da es ja zur Zeit leider mit FQDN nicht funktioniert habe ich überlegt ein Edge Router X oder einen Synology RT1900ac zu nehmen und den für die Site 2 Site zu nutzen, den Synology Router hätte ich eh noch rumstehen.

    Was denkt ihr darüber ?

    Mein Projekt

    Wenn du statt des IPSec ein OpenVPN-Site-to-Site VPN nimmst, funktioniert es auch mit Hostnamen (habe ich soeben erfolgreich eingerichtet). Wie es sich bei der Neuvergabe der IP verhält, habe ich bisher noch nicht erlebt, ich bin aber voller Hoffnung :winking_face:


    Viele Grüße,

    Timo

    Moin TSchabba,


    Ja aber leider nur wenn auf beiden Seiten Unifi zum Einsatz kommt oder ?


    Ich will einen "externes" system anbinden - Einen V Server der gehostet ist


    Wenn ich dann irgendwann mal meinen Zweiten Unifi Standort habe werde ich das aber vermutlich auch ausprobieren :winking_face:

    Mein Projekt

    Zitat von TSchabba

    Wenn du statt des IPSec ein OpenVPN-Site-to-Site VPN nimmst, funktioniert es auch mit Hostnamen (habe ich soeben erfolgreich eingerichtet). Wie es sich bei der Neuvergabe der IP verhält, habe ich bisher noch nicht erlebt, ich bin aber voller Hoffnung :winking_face:


    Viele Grüße,

    Timo

    Funktioniert hervorragend. Aber eben nicht als IPSec.

    Hi zusammen,


    also ich habe keine Probleme eine s2s Verbindung zwischen FBox mit dyndns und meiner usg (ebenfalls dyndns) herzustellen.

    Wichtig war noch dieser Punkt:

    Auf usg in /etc/strongswan.d/charon.conf die Zeile

    # i_dont_care_about_security_and_use_aggressive_mode_psk = no

    ändern in

    i_dont_care_about_security_and_use_aggressive_mode_psk = yes


    :exclamation_mark:Achtung: Das kann nach einem FW Update wieder zurückgestellt sein.

    Gibt da aber auch einen workaround für, muss ich aber ein anderes mal nachschauen, da gerade nur mobil.


    Gruß,

    Ede

    Und was bewirkt das?


    Wenn schon dran steht i_dont_care_about_security ...?

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!