Site-to-Site-VPN zwischen USG und USG‑PRO‑4 mit dyn. IP

  • Das bedeutet, dass die Verbindung statt im main mode (verschlüsselter handshake) im aggressive mode aufgebaut wird.

    Im aggressive mode wird im handshake auch unverschlüsselt (s. https://community.cisco.com/t5…ressive-mode/ta-p/3123382) gesendet.

    Damit ist es im Prinzip möglich den PSK per brute force zu errechnen. Wenn man allerdings einen sehr guten psk verwendet halte ich das Risiko für eine private VPN Verbindung für vertretbar. Es gibt schlicht keine Alternative für s2s mit Fritzbox und unifi, bei Verwendung dynamischer IPs.

  • Moin ede_kowalski ,


    würdest Du Dein Wissen darüber teilen, wie Du es zum Laufen bekommen hast? Konnte mich ja leider noch nicht mit ES GEHT!!! :partying_face::sparkling_heart: zurückmelden - und im #wiki konnte ich auch noch nix schreiben.


    Vielen Dank.

  • Wenn du statt des IPSec ein OpenVPN-Site-to-Site VPN nimmst, funktioniert es auch mit Hostnamen (habe ich soeben erfolgreich eingerichtet). Wie es sich bei der Neuvergabe der IP verhält, habe ich bisher noch nicht erlebt, ich bin aber voller Hoffnung ;-)


    Viele Grüße,

    Timo

    Hi Timo, ich versuche nun seit Tagen zwei USG mit dynamischer IP per VPN zu verbinden. Kannst du mir in 3 Worten oder Bildern kurz die Einstellungen verraten, die bei dir zum Erfolg geführt haben?

  • Hi Timo, ich versuche nun seit Tagen zwei USG mit dynamischer IP per VPN zu verbinden. Kannst du mir in 3 Worten oder Bildern kurz die Einstellungen verraten, die bei dir zum Erfolg geführt haben?

    Wenn Du beide USGs in einem Controller verwaltest, dann geht es recht einfach über die entsprechend eingebaute Funktion.

    Wenn nciht, dann bleibt Dir per GUI nur OpenVPN - per Config-File auch IPSec --> genau mein Thema / meine Frage an ede_kowalski , der es ja gelöst hat, wenn ich sein Posting oben richtig verstanden habe.

  • Wenn Du beide USGs in einem Controller verwaltest, dann geht es recht einfach über die entsprechend eingebaute Funktion.

    Wenn nciht, dann bleibt Dir per GUI nur OpenVPN - per Config-File auch IPSec --> genau mein Thema / meine Frage an ede_kowalski , der es ja gelöst hat, wenn ich sein Posting oben richtig verstanden habe.

    Und genau an dem Punkt OpenVPN scheitere ich. Es klappt einfach nicht. Die Verbindung zwischen zwei Sites auf einem Controller scheitert bisher aber leider auch. Vermutlich aber weil eine USG hinter einem NAT sitzt. Ich hätte eigentlich erwartet, dass ich per Open beliebige USGs vernetzen kann. Bei IPSec scheitert dies ja an den nicht immer vorhandenen festen IPs

  • Hier die config auf meiner usg pro:

    PSK, eigene dyndns und remote dyndns müssen natürlich angepasst werden.

    Auf der fritzbox bin ich mir gerade unsicher ob ich hier die aktuelle config habe.

    Kann ich die irgendwie exportieren?


    Gruß,

    Ede

  • Das schaue ich mir nachher an. :*8)

    Ich muss nur die Zeilen, 47, 49 & 50 und den Tunnel unten anpassen, korrekt?
    Export als Teil eines Backups sollte gehen. Musst Dir den Export dann in einem ordentlichen Editor ansehen, dann solltest Du das Gesuchte finden.

    Das hast Du bei Dir auch wie genannt konfiguriert? Nur zur Bestätigung. :)

  • Das schaue ich mir nachher an. :*8)

    Ich muss nur die Zeilen, 47, 49 & 50 und den Tunnel unten anpassen, korrekt?
    Export als Teil eines Backups sollte gehen. Musst Dir den Export dann in einem ordentlichen Editor ansehen, dann solltest Du das Gesuchte finden.

    Das hast Du bei Dir auch wie genannt konfiguriert? Nur zur Bestätigung. :)

    Du hast Zeile 45 vergessen, die muss auch angepasst werden.

    Wenn du andere Netzwerke verwendest natürlich auch die Netzwerk ranges und wenn es keine usg pro ist auch den ethernet port.

    Export muss ich mir dann mal anschauen, die fbox steht bei meinen Eltern, sollte aber ja remote gehen.

    Ja, das läuft soweit sehr gut, nur ist das schon was her mit der Einrichtung.