Beiträge von climbingflo

Als kleine Notiz an alle:

Mittlerweile habe ich das USG aussortiert und den UDR im Einsatz. Hat nicht das Problem gelöst, ich bastle jetzt aber an einem anderen Thema... Konstruktive Ideen und Tipps bitte hier:

Thema

Wireguard Site to Site VPN

Hallo zusammen,

nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke Und zwar folgendes:

Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt…

climbingflo

10. Januar 2023

Hallo zusammen,

nachdem WireGuard nun offiziell released ist, hat sich das Thema für mich nun erledigt. Meine Clients kommen nun alle ohne Probleme per VPN von Extern ins Heimnetz!

Allerdings bleibt noch das Thema Site to Site für mich offen... Für diejenigen, die Ideen einbringen wollen oder mehr wissen als ich, hab ich mal ein neues Thema eröffnet:

Thema

Wireguard Site to Site VPN

Hallo zusammen,

nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke Und zwar folgendes:

Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt…

climbingflo

10. Januar 2023

Viele Grüße

Climbingflo

Hallo zusammen,

nachdem die Client VPN Verbindung per Wireguard nun funktioniert, komme ich gleich mit dem nächsten "Problem", bzw. Frage um die Ecke Und zwar folgendes:

Nach wie vor möchte ich gerne per Site to Site Verbindung das Netz einer entfernten FritzBox mit (einem oder mehreren Netzen des) UDR verbinden. Aktuell habe ich eine Übergangslösung mit öffentlichen vServer und "Clients" in den beiden Netzen. Meine Wunschlösung wäre jedoch die Gateways (Fritze und UDR) direkt miteinander zu verbinden.

Aktuell gibt es leider nur die Möglichkeit Site to Sites per OpenVPN oder iPSEC aufzubauen. Außerdem können nach wie vor nur fixe IPs eingegeben werden, keine DNS Namen...

Ubiquiti: Wie stellt ihr euch das vor für User mit Dynamischen IPs???

Weiß hier eventuell jemand nen Trick, wie ich das per WireGuard hinbekomme? Ich denke nicht, dass ich auf einen Client des WireGuard Servers ein ganzes Netz routen kann... Oder doch?

Oder weiß evtl. jemand, dass bei Ubiquiti in die Richtung schon etwas in Arbeit ist?

VIele Grüße

Climbingflo

Ok, das klingt ja schon mal sehr gut.

Wireguard wäre wirklich mega, zumal das ja auch Einzug in die Fritzen erhalten soll. Vllt. ergeben sich dann auch neue Möglichkeiten im Thema Site-to-Site... Da hab ich auch noch so eine Wunschlösung offen, die mit UniFi aktuell nicht läuft.

Naja, abwarten und Tee trinken! Auf jeden Fall schon mal vielen Dank für die Hilfe/Infos bisher!

Hallo jkasten,

ok, mist sowas hatte ich schon befürchtet...

Aber sehr geil, dass Ubiquiti Wireguard in ihre Systeme integriert! Mein UniFi OS ist auf Version 2.5.11. In den Einstellungen wird mir jedoch "Up to Date" angezeigt. Ist die 3.X.X noch in der BETA? Und weißt du zufällig, wenn die 3.X.X in den Official Release Channel kommt?

Viele Grüße und vielen Dank schon mal

Climbingflo

Hallo zusammen,

ich habe ein Problem mit meinem L2TP VPN Server auf dem UDR und mich würde interessieren, ob das Problem nur bei mir auftritt (und somit auf Layer8 ist... ) oder ob hier ein Bug/Fehler von Unifi vorliegt.

Folgende Situation:

Mein Unifi Dream Router steht hinter einem DrayTek Vigor im Modem Modus. Per DynDNS aktualisiert sich automatisch meine IP Adresse auf den entsprechenden DNS Namen. In den Einstellungen des UDR habe ich den L2TP Server aktiviert und das entsprechende Radius Profil ausgewählt (Radius von Synology, wird auch für's WLAN (WPA2 Enterprise) und weitere Dienste verwendet, funktioniert einwandfrei).

Möchte ich nun von meinem Handy (LineageOS 18.1, Android 11) eine VPN Verbindung aufbauen, bekomme ich nach ca. 1 Minute die Meldung "Nicht erfolgreich".

An meinem iPad dagegen, kann ich ohne Probleme eine VPN Verbindung zum UDR herstellen! Der L2TP Server scheint also grundsätzlich zu funktionieren...

Wie muss ich die Daten in den Android Einstellungen denn genau eingeben für UniFi? Ich habe folgendes getan:

Typ: L2TP/IPSec PSK

Serveradresse: <DynDNS Adresse des UDR> (Ein nslookup hierauf bringt mir meine aktuelle IP)

L2TP-Schlüssel: (nicht verwendet)

IPSec-ID: (nicht verwendet)

Vorinstallierter IPSec-Schlüssel: <festgeleter Schlüssel aus dem UDR>

Nutzername: <mein nutzername>

Passwort: <Dazu gehöriges Passwort>

Habe ich dort irgendetwas falsch eingegeben? Mir ist noch aufgefallen, dass ich an meinem iPad zwischen L2TP und IPSec entscheiden kann. Auf meinem Handy gibt es nur L2TP/IPsec PSK oder IPSec Xauth PSK. L2TP alleine kann ich nicht auswählen.

Hat irgend jemand hier eine Idee, wo der Fehler begraben sien könnte?

Viele Grüße

climbingflo

Hallo nochmal in die Runde,

hat keiner von euch eine Idee, wo mein Problem liegen könnte?

kleinp: Hatten Sie nicht eine Site to Site Wireguard Verbindung aufgebaut?

Als kleiner Nachtrag: Side2 holt sich die DynDNS Adresse per ddclient von Strato.

Viele Grüße nochmals

climbingflo

Hallo zusammen,

nach langer Zeit melde ich mich nun einmal wieder...

Zitat von kleinp

Ich hab’s leider auch noch nicht in Betrieb.

Nur den VPN vom iPhone.

Aber ja, deswegen schrieb ich von 2 Pi‘s

Da ich meinen VPN unter UniFi nicht zum laufen bekomme, musste ich ausweichen.

Und einen site2site zu einem Standort bräuchte ich zusätzlich, weil dort (m)ein NAS steht.

Alles anzeigen

Ich hab mir jetzt mal 2 Pi's geholt und Wireguard nach der Anleitung von Dennis drauf geklatscht. (Ein 3 B+ und ein 4 B)

sudo wg gibt auf beiden nun folgendes aus:

  public key: <pubkey>
  private key: (hidden)
  listening port: 40731

peer: <privkey>
  endpoint: <dyndns-address-side-2>:51820
  allowed ips: <private subnet side 2>/24
  transfer: 0 B received, 8.53 KiB sent
  persistent keepalive: every 25 seconds

  public key: <pubkey>
  private key: (hidden)
  listening port: 51820

peer: <privkey>
  allowed ips: <private subnet side 1>/24
  persistent keepalive: every 25 seconds

Die Routen in der FritzBox auf Seite 1, sowie im USG auf Seite 2 sind eingetragen. Leider komme ich jedoch nicht auf die andere Seite. Was mache ich falsch? Muss ich noch Portweiterleitungen einrichten, bzw. Ports öffnen? Davon will ich ja eigentlich weg...

Ich hoffe hier kann mir nocheinmal jemand weiterhelfen und wünsche Grüße

Climbingflo

Hallo razor ,

vielen Dank für deine schnelle Antwort! Meine config.gateway.json ist laut der Website korrekt, daran kann es also nicht liegen...

Ist es denn absehbar, dass Ubiquiti die Funktion eine Site-to-Site Verbindung per DynDNS herstellen zu können noch nachliefert?

Ansonsten bin ich gerade am überlegen, ob ich meinen OpenVPN Server auf einen angemieteten vServer umziehe und mich aus den beiden Netzen auf diesen dann Verbinde. Das würde mir zumindest weiterhelfen, Ports auf meinem USG zu schließen...

Soweit viele Grüße und besten Dank!

Climbingflo

Hallo zusammen,

ich fange einmal damit an, was mein aktuelles Setup ist:

In Netzwerk A mit mehren Subnetzen (Aufbau hier: DrayTek Vigor -> USG -> Unifi Switche) steht mein Synology "Hauptnas" über das der Zugriff per Netzlaufwerk und Synology Drive möglich ist. Synology Drive von extern, Netzlaufwerk natürlich nur von intern.

20 km entfernt, in Netzwerk B mit einem Netz (Aufbau hier: Fritz!Box 7590 -> D-Link Switch) steht mein Synology "Backupnas". Der Zugriff auf die Dateien ist hier nicht möglich, hier wird lediglich täglich ein Backup vom Hauptnas aufgespielt. Aktuell baue ich die Verbindung zwischen den beiden Netzen per OpenVPN Access Server (in Netzwerk A) auf, als Client (in Netzwerk B) dient ein Raspberry.

Zudem dient der OpenVPN-AS Server aktuell zusätzlich auch als Server für User Verbindungen ins Netz.

Doch nun dazu was ich ändern möchte:

Damit das ganze funktioniert muss ich natürlich auf dem USG in Netzwerk A den entsprechenden OpenVPN Port an den Server weiterleiten. Nachdem ich jedoch mehr und mehr davon Weg möchte, Ports auf meinen Gateways freizugeben/weiterzuleiten, habe ich mich in der letzten Zeit etwas eingelesen die beiden Netzwerke über die Gateways miteinander zu verbinden. Im Internet habe ich auch schon eine "Anleitung" gefunden, welche per .cfg Datei die VPN Einstellungen in die Fritze importiert und per config.gateway.json die entsprechenden Einstellungen im USG vornimmt.

Leider wird die VPN Verbindung dennoch nicht aufgebaut!

In der Fritze wird die VPN nach dem import der .cfg Datei erfolgreich angezeigt, die Verbindung schlägt mit IKE Error0x2027 (Timeout) Fehl. Dazu habe ich schon einmal zwei Vermutungen:

Entweder das USG provisioniert meine config.gateway.json nicht richtig (das provisionieren dauert nach dem erstellen der Datei auf dem Controller gerade mal ca. 20 sekunden? Erscheint mir irgendwie etwas zu wenig...) Das würde auch die Timeout Meldung erklären, die Gegenstelle (das USG) hat ja keine Site to Site Config...

Oder das ganze Spiel geht mit DynDNS grundsätzlich nicht? Leider haben beide Anschlüsse dynamische IPs. Dies kann ich leider auch nur sehr schwer und teuer ändern, da Telekom, usw...

Nun meine Fragen an euch hier ins Forum:

Geht eine Site to Site L2TP Verbindung überhaupt mit DynDNS und USG? (Normale User Verbindungen funktionieren per L2TP und DynDNS)

Falls ja, kann das sein, dass mein USG die config.gateway.json nicht schluckt, da Fehler in der Datei o.ä?

Falls nein, gäbe es für mein Vorhaben irgend eine alternativ Lösung ohen Ports öffnen zu müssen? (Ich denke da z.B. an einen EdgeRouter hinter der Fritze, oder ähnliches)

An die, die bis hier her gelesen haben schon einmal vielen Dank, dass ihr die Zeit, für meine Problemchen aufgewandt habt

Ich würde mich rießig über Lösungsideen freuen!

Climbingflo

Hallo Arne,

vielen Dank für deine schnelle Antwort!

Zitat von amaskus

Was mir spontan vorm ersten Kaffee heute morgen einfällt ist ein Port forwarding für die Syno Ports

Du gibst dann quasi statt der IP des NAS die 192er IP des USG ein und er leitet weiter.

Das ganze schützt dich im Zweifel aber nicht wenn dein Client durch nen Virus (oder was auch immer) kompromittiert ist. Die Zugangs Berechtigung hat er dennoch.

Wenn ich das richtig verstanden habe würde ich also mein NAS nicht mehr völlig vor dem LAN schützen. Der Schutz gegenüber dem Internet bleibt in diesem Fall ja aber unberührt, denke ich?

Zitat von amaskus

Ob es evtl eleganter ist das USG für das komplette Netz zu Nutzen und das ganze via VLAN abzutrennen (oder als DMZ) müsste man noch sehen. Wegen der DMZ kennen sich andere vermutlich besser aus.

(...)

Was macht die FB denn noch alles ? nur mal zum abchecken ob du das USG für das gesamte Netz nehmen kannst

Meine FB stellt aktuell die Internet-, sowie Telefonverbindung her. Außerdem eine VPN zu einer anderen Fritz!Box. Diese ist aber nicht so wichtig. Unbedingt weiterhin funktionieren muss (natürlich) die Internetverbindung und die Telefonverbindung.

Nach meinen Recherchen wäre hier die Ideallösung ein Modem, welches die Telefonverbindung herstellt, das USG dann nur die Internetverbindung. Leider ist meine Fritz!Box 7590 erst vor ca. 2 Monaten angekommen, es wäre also blöd, wenn ich diese jetzt gar nicht mehr gebrauchen könnte.

Eine andere Lösung außer das Port forwarding gibt es nicht, oder? Wobei ich ja sowieso nur SMB und evtl. https zum Verwalten meines NAS freigeben müsste

Vielen Dank schon einmal für die Hilfe!

Climbingflo

Hallo zusammen,

ich habe folgende Frage, bzw. folgendes Problem:

Zunächst einmal was ich überhaupt haben möchte: Ich möchte mein Synology NAS mit einem USG vor dem Internet, sowie vor einem evtl. kompromittiertem Home Netzwerk schützen. Mein Ziel ist, mein Nas in ein 2. Netzwerk zu packen, welches ich besser durch die Firewall des USGs steuern kann und somit mehr Kontrolle darüber habe, was überhaupt bis zum NAS vordringen kann. Meine Client PCs sollen also nach wie vor im Netz der FB (192.168.178.XXX) liegen, nur das NAS soll im Netz des USGs (172.16.1.XXX) stehen.

Also habe ich mir ein USG bestellt, welches nun auch endlich angekommen ist. Ich habe das USG hinter meine Fritz!Box gehängt und komme sowohl aus dem Netz der FB, also auch aus dem Netz des USGs ins Internet. Doppeltes NAT habe ich per config.gateway.json ausgestellt (zumindest habe ich die Datei auf einem Windows PC in den Ordner C:/Benutzer/user/Ubiquiti UniFi/data/sites/default/ gelegt und per Provisionierung über den UniFi Controller auf das USG gespielt. Ich hoffe das war richtig so). Eine IPv4 Route habe ich auf der FB eingerichtet, sowie das USG als Exposed Host festgelegt.

Doch nun zum Problem: Von dem Netzwerk hinter dem USG komme ich problemlos in das FB Netz (Also: 172.16.1.XXX -> 192.168.178.XXX). Jedoch anders herum, also vom FB Netz (in dem die Clients stehen) komme ich nicht ins Netz des NAS, also hinter dem USG. Gerade um Ordner vom NAS per Netzlaufwerk in Windows einzubinden wäre das ja durchaus sehr wichtig! Ich habe schon versucht in der USG Firewall einen meiner Clients per MAC Adresse freizugeben, jedoch ohne Erfolg... Ich hab die Einträge unter WAN Eingehend und WAN Lokal probiert einzugeben, beides keine Wirkung.

Was mache ich falsch? Und geht das überhaupt? Ich bitte um eure Hilfe!

Viele Grüße und Gesundheit!

Climbingflo