Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP

**ede_kowalski** · 18. November 2021

Das bedeutet, dass die Verbindung statt im main mode (verschlüsselter handshake) im aggressive mode aufgebaut wird.

Im aggressive mode wird im handshake auch unverschlüsselt (s. https://community.cisco.com/t5…ressive-mode/ta-p/3123382) gesendet.

Damit ist es im Prinzip möglich den PSK per brute force zu errechnen. Wenn man allerdings einen sehr guten psk verwendet halte ich das Risiko für eine private VPN Verbindung für vertretbar. Es gibt schlicht keine Alternative für s2s mit Fritzbox und unifi, bei Verwendung dynamischer IPs.

**razor** · 18. November 2021

Zitat von ede_kowalski

Hi zusammen,

also ich habe keine Probleme eine s2s Verbindung zwischen FBox mit dyndns und meiner usg (ebenfalls dyndns) herzustellen.
Wichtig war noch dieser Punkt:
Auf usg in /etc/strongswan.d/charon.conf die Zeile
# i_dont_care_about_security_and_use_aggressive_mode_psk = no
ändern in
i_dont_care_about_security_and_use_aggressive_mode_psk = yes

Achtung: Das kann nach einem FW Update wieder zurückgestellt sein.
Gibt da aber auch einen workaround für, muss ich aber ein anderes mal nachschauen, da gerade nur mobil.

Gruß,
Ede

Alles anzeigen

Moin ede_kowalski ,

würdest Du Dein Wissen darüber teilen, wie Du es zum Laufen bekommen hast? Konnte mich ja leider noch nicht mit ES GEHT!!! zurückmelden - und im #wiki konnte ich auch noch nix schreiben.

Vielen Dank.

**rodney76** · 21. November 2021

Zitat von TSchabba

Wenn du statt des IPSec ein OpenVPN-Site-to-Site VPN nimmst, funktioniert es auch mit Hostnamen (habe ich soeben erfolgreich eingerichtet). Wie es sich bei der Neuvergabe der IP verhält, habe ich bisher noch nicht erlebt, ich bin aber voller Hoffnung

Viele Grüße,
Timo

Hi Timo, ich versuche nun seit Tagen zwei USG mit dynamischer IP per VPN zu verbinden. Kannst du mir in 3 Worten oder Bildern kurz die Einstellungen verraten, die bei dir zum Erfolg geführt haben?

**razor** · 21. November 2021

Zitat von rodney76

Hi Timo, ich versuche nun seit Tagen zwei USG mit dynamischer IP per VPN zu verbinden. Kannst du mir in 3 Worten oder Bildern kurz die Einstellungen verraten, die bei dir zum Erfolg geführt haben?

Wenn Du beide USGs in einem Controller verwaltest, dann geht es recht einfach über die entsprechend eingebaute Funktion.

Wenn nicht, dann bleibt Dir per GUI nur OpenVPN - per Config-File auch IPSec --> genau mein Thema / meine Frage an ede_kowalski , der es ja gelöst hat, wenn ich sein Posting oben richtig verstanden habe.

**ede_kowalski** · 22. November 2021

Werde die configs morgen im Laufe des Tages posten.

**rodney76** · 23. November 2021

Zitat von razor

Wenn Du beide USGs in einem Controller verwaltest, dann geht es recht einfach über die entsprechend eingebaute Funktion.
Wenn nciht, dann bleibt Dir per GUI nur OpenVPN - per Config-File auch IPSec --> genau mein Thema / meine Frage an ede_kowalski , der es ja gelöst hat, wenn ich sein Posting oben richtig verstanden habe.

Und genau an dem Punkt OpenVPN scheitere ich. Es klappt einfach nicht. Die Verbindung zwischen zwei Sites auf einem Controller scheitert bisher aber leider auch. Vermutlich aber weil eine USG hinter einem NAT sitzt. Ich hätte eigentlich erwartet, dass ich per Open beliebige USGs vernetzen kann. Bei IPSec scheitert dies ja an den nicht immer vorhandenen festen IPs

**ede_kowalski** · 23. November 2021

Hier die config auf meiner usg pro:

PSK, eigene dyndns und remote dyndns müssen natürlich angepasst werden.

Code

"vpn": {
        "ipsec": {
            "esp-group": {
                "ESP-FritzBox": {
                    "compression": "disable",
                    "lifetime": "3600",
                    "mode": "tunnel",
                    "pfs": "enable",
                    "proposal": {
                        "1": {
                            "encryption": "aes256",
                            "hash": "sha1"
                        }
                    }
                }
            },
            "ike-group": {
                "IKE-FritzBox": {
                    "lifetime": "3600",
                    "key-exchange": "ikev1",
                    "proposal": {
                        "1": {
                            "dh-group": "2",
                            "encryption": "aes256",
                            "hash": "sha1"
                        }
                    }
                }
            },
            "auto-firewall-nat-exclude": "enable",
            "auto-update": "60",
            "ipsec-interfaces": {
                "interface": [
                    "eth2"
                ]
            },
            "nat-networks": {
                "allowed-network": {
                    "0.0.0.0/0": "''"
                }
            },
            "nat-traversal": "enable",
            "site-to-site": {
                "peer": {
                    "REMOTE_DYNDNS": {
                        "authentication": {
                            "id": "EIGENE_DYNDNS",
                            "mode": "pre-shared-secret",
                            "pre-shared-secret": "PSK",
                            "remote-id": "REMOTE_DYNDNS"
                        },
                        "connection-type": "initiate",
                        "ike-group": "IKE-FritzBox",
                        "ikev2-reauth": "inherit",
                        "local-address": "any",
                        "tunnel": {
                            "1": {
                                "esp-group": "ESP-FritzBox",
                                "local": {
                                    "prefix": "192.168.160.0/24"
                                },
                                "remote": {
                                    "prefix": "192.168.200.0/24"
                                }
                            }
                        }
                    }
                }
            }

Alles anzeigen

Auf der fritzbox bin ich mir gerade unsicher ob ich hier die aktuelle config habe.

Kann ich die irgendwie exportieren?

Gruß,

Ede

**razor** · 24. November 2021

Zitat von ede_kowalski

Hier die config auf meiner usg pro:

PSK, eigene dyndns und remote dyndns müssen natürlich angepasst werden.

Code

"vpn": {
        "ipsec": {
            "esp-group": {
                "ESP-FritzBox": {
                    "compression": "disable",
                    "lifetime": "3600",
                    "mode": "tunnel",
                    "pfs": "enable",
                    "proposal": {
                        "1": {
                            "encryption": "aes256",
                            "hash": "sha1"
                        }
                    }
                }
            },
            "ike-group": {
                "IKE-FritzBox": {
                    "lifetime": "3600",
                    "key-exchange": "ikev1",
                    "proposal": {
                        "1": {
                            "dh-group": "2",
                            "encryption": "aes256",
                            "hash": "sha1"
                        }
                    }
                }
            },
            "auto-firewall-nat-exclude": "enable",
            "auto-update": "60",
            "ipsec-interfaces": {
                "interface": [
                    "eth2"
                ]
            },
            "nat-networks": {
                "allowed-network": {
                    "0.0.0.0/0": "''"
                }
            },
            "nat-traversal": "enable",
            "site-to-site": {
                "peer": {
                    "REMOTE_DYNDNS": {
                        "authentication": {
                            "id": "EIGENE_DYNDNS",
                            "mode": "pre-shared-secret",
                            "pre-shared-secret": "PSK",
                            "remote-id": "REMOTE_DYNDNS"
                        },
                        "connection-type": "initiate",
                        "ike-group": "IKE-FritzBox",
                        "ikev2-reauth": "inherit",
                        "local-address": "any",
                        "tunnel": {
                            "1": {
                                "esp-group": "ESP-FritzBox",
                                "local": {
                                    "prefix": "192.168.160.0/24"
                                },
                                "remote": {
                                    "prefix": "192.168.200.0/24"
                                }
                            }
                        }
                    }
                }
            }

Alles anzeigen

Auf der fritzbox bin ich mir gerade unsicher ob ich hier die aktuelle config habe.

Kann ich die irgendwie exportieren?

Gruß,

Ede

Alles anzeigen

Das schaue ich mir nachher an.

Ich muss nur die Zeilen, 47, 49 & 50 und den Tunnel unten anpassen, korrekt?
Export als Teil eines Backups sollte gehen. Musst Dir den Export dann in einem ordentlichen Editor ansehen, dann solltest Du das Gesuchte finden.

Zitat von ede_kowalski

Hi zusammen,

also ich habe keine Probleme eine s2s Verbindung zwischen FBox mit dyndns und meiner usg (ebenfalls dyndns) herzustellen.

Wichtig war noch dieser Punkt:

Auf usg in /etc/strongswan.d/charon.conf die Zeile

# i_dont_care_about_security_and_use_aggressive_mode_psk = no

ändern in

i_dont_care_about_security_and_use_aggressive_mode_psk = yes

Achtung: Das kann nach einem FW Update wieder zurückgestellt sein.

Gibt da aber auch einen workaround für, muss ich aber ein anderes mal nachschauen, da gerade nur mobil.

Gruß,

Ede

Alles anzeigen

Das hast Du bei Dir auch wie genannt konfiguriert? Nur zur Bestätigung.

**ede_kowalski** · 24. November 2021

Zitat von razor

Das schaue ich mir nachher an.
Ich muss nur die Zeilen, 47, 49 & 50 und den Tunnel unten anpassen, korrekt?
Export als Teil eines Backups sollte gehen. Musst Dir den Export dann in einem ordentlichen Editor ansehen, dann solltest Du das Gesuchte finden.
Das hast Du bei Dir auch wie genannt konfiguriert? Nur zur Bestätigung.

Du hast Zeile 45 vergessen, die muss auch angepasst werden.

Wenn du andere Netzwerke verwendest natürlich auch die Netzwerk ranges und wenn es keine usg pro ist auch den ethernet port.

Export muss ich mir dann mal anschauen, die fbox steht bei meinen Eltern, sollte aber ja remote gehen.

Ja, das läuft soweit sehr gut, nur ist das schon was her mit der Einrichtung.

**rodney76** · 28. November 2021

Sorry aber nochmals die Frage: Hat jemand zwei USG, die nicht über eine Site laufen per OpenVPN mit "dynamischen" Adressen am laufen?

**razor** · 29. November 2021

Zitat von rodney76

Sorry aber nochmals die Frage: Hat jemand zwei USG, die nicht über eine Site laufen per OpenVPN mit "dynamischen" Adressen am laufen?

Me.

**rodney76** · 29. November 2021

Zitat von razor

Me.

Okay, ich werte das als Ja. Geht es über die Gui, oder nur per Config? Ich stehe echt auf dem Schlauch und würde mich sehr für eine Lösung interessieren. Was muss ich tun, damit es läuft?

**razor** · 29. November 2021

Zitat von rodney76

Okay, ich werte das als Ja. Geht es über die Gui, oder nur per Config? Ich stehe echt auf dem Schlauch und würde mich sehr für eine Lösung interessieren. Was muss ich tun, damit es läuft?

Name: up to you
Purpose: Site-to-Site VPN
VPN Type: OpenVPN
Enabled: true
Remote Subnets: alle Netze, die sich hinter dem jeweiligen Partner befinden und die erreicht werden soll. Netze, die hier nicht auftauchen, werden nicht hinter dem Remote-Gateway gesucht.
Route Distance: 30
Remote Host: DNS des Partners (auch dynDNS möglich!)
Remote Address und Local Address müssen jeweils gegenseitig konfiguriert werden. Bei uns sieht das so aus:
- Me:
  - Remote Address: 10.66.123.10, Port: 1321
  - Local Address: 10.66.123.11, Port: 1321
- Partner:
  - Remote Address: 10.66.123.11, Port: 1321
  - Local Address: 10.66.123.10, Port: 1321
Shared Secret Key: https://help.ui.com/hc/en-us/a…1F6HS63YDTM7H62SYX2BND8PN
- Kurz: auf der Console eines USGs einloggen, generate vpn openvpn-key /tmp/ovpn und sudo cat /tmp/ovpn ausführen und auf beiden Seiten einfügen

Und schon geht's.

Hoffentlich jetzt auch bei Dir.

**rodney76** · 2. Dezember 2021

Hi Razor,

ich bin wohl zu dumm mir einen 512er Key auszudenken.... was auch immer ich eingebe - unifi sagt _____ in rot "nö

**rodney76** · 4. Dezember 2021

Zitat von razor

Name: up to you
Purpose: Site-to-Site VPN
VPN Type: OpenVPN
Enabled: true
Remote Subnets: alle Netze, die sich hinter dem jeweiligen Partner befinden und die erreicht werden soll. Netze, die hier nicht auftauchen, werden nicht hinter dem Remote-Gateway gesucht.
Route Distance: 30
Remote Host: DNS des Partners (auch dynDNS möglich!)
Remote Address und Local Address müssen jeweils gegenseitig konfiguriert werden. Bei uns sieht das so aus:
Me:
Remote Address: 10.66.123.10, Port: 1321
Local Address: 10.66.123.11, Port: 1321
Partner:
Remote Address: 10.66.123.11, Port: 1321
Local Address: 10.66.123.10, Port: 1321
Shared Secret Key: https://help.ui.com/hc/en-us/a…1F6HS63YDTM7H62SYX2BND8PN
Kurz: auf der Console des USGs einloggen, generate vpn openvpn-key /tmp/ovpn und sudo cat /tmp/ovpn ausführen und auf beiden Seiten einfügen
Und schon geht's.

Hoffentlich jetzt auch bei Dir.

Hi Razor - Danke! jetzt konnte ich es mir mal in Ruhe ansehen und was soll ich sagen. Läuft

**fox** · 5. Dezember 2021

Following.

Steige gerade so ein wenig in die Unfi Welt ein.

Finde ich doch recht schwach das IPsec beim S2S VPN mit dynIP nicht funktioniert.

**Gerleg** · 1. Januar 2022

Zitat von razor

Name: up to you
Purpose: Site-to-Site VPN
VPN Type: OpenVPN
Enabled: true
Remote Subnets: alle Netze, die sich hinter dem jeweiligen Partner befinden und die erreicht werden soll. Netze, die hier nicht auftauchen, werden nicht hinter dem Remote-Gateway gesucht.
Route Distance: 30
Remote Host: DNS des Partners (auch dynDNS möglich!)
Remote Address und Local Address müssen jeweils gegenseitig konfiguriert werden. Bei uns sieht das so aus:
Me:
Remote Address: 10.66.123.10, Port: 1321
Local Address: 10.66.123.11, Port: 1321
Partner:
Remote Address: 10.66.123.11, Port: 1321
Local Address: 10.66.123.10, Port: 1321
Shared Secret Key: https://help.ui.com/hc/en-us/a…1F6HS63YDTM7H62SYX2BND8PN
Kurz: auf der Console des USGs einloggen, generate vpn openvpn-key /tmp/ovpn und sudo cat /tmp/ovpn ausführen und auf beiden Seiten einfügen
Und schon geht's.

Hoffentlich jetzt auch bei Dir.

Könntest du mir helfen?

bei mir übernimmt er die einstellungen leider nicht, also ich kann es nicht speichern.

Er zeigt mir auch leider kein Fehler an.

hattest du schon mal sowas?

die gegenstelle hat das subnetzt 192.168.1.0/24

lokal habe ich 192.168.10.0/24

**Gerleg** · 2. Januar 2022

Okay, Fehler gefunden

im Key war ein leer Zeichen noch

**tomtim** · 2. Januar 2022

Was muss man noch an Netzen da eintragen damit die verschiedenen Netze erreichbar sind ?

**Gerleg** · 2. Januar 2022

Im Feld Remote Subnetze

einfache mehre Eintragen

Tipp: erstelle für VPN einfach ein separates Netz und erstelle Firewall regeln. Dadurch hast du viel mehr spiel

und es ist strukturierter

Zum besseren Verständnis die IP Adressen ist ein Virtueller PC der einfach zwei LAN Anschlüsse hat.

jeder LAN hat eben sein eigene IP Adresse.

Ich hoffe es hilft um die Firewall besser einzustellen

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP

Tags

10 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 67

Wer war online 77