Nein, das VPN GW ist die UDM, daher ja die Weiterleitung der Ports UDP 500 & 4500 auf die UDM. Sowohl der Windows Client als auch der IOS Client nutzen L2TP.
Beiträge von Blandwehr
-
-
Wenn die FBox nur Modem ist und alles zu UDM weiterleitet, dann ist deine Annahme richtig. Wie gesagt, dies habe ich nicht verifiziert und eine Einwahl mit dem Handy, egal ob IOS oder Android Client habe ich ebenfalls nicht getestet.
Habe es nun mit einem I-Phone getestet, läuft einwandfrei in der Konfiguration Fritzbox als Einwahl-Router mit Portweiterleitung 500 & 4500 UDP auf UDM und doppeltem NAT. Ein Android steht leider nicht zu Verfügung.
-
Das ist richtig
-
Da du die Fritzbox nur als Modem benutzt und die UDM als Exposed host eingerichtet hast, sollten eigentlich keine Weiterleitungen und Freigaben mehr notwendig sein... Wenn die F-Box wirklich nur ein Modem ist... Nun habe ich dies aber noch nie mit L2TP, sondern nur mit IPSEC probiert. Somit kann ich da keine verifizierte Auskunft geben. Um eine zweite Firewall / Paketfilterstufe zu haben, würde ich, um die Sicherheit zu erhöhen, die Fritz Box die Einwahl machen lassen und nur die Ports 500 & 4500 an die UDM weiterleiten. Dies reicht für einen L2TP Tunnel. Du hast danach ein zweistufiges FW Konzept und das funktioniert. Ein doppeltes NAT ist kein Nachteil, bei einer Kompromittierung der ersten Stufe, erhält man so keine Informationen über das Netz hinter der zweiten Stufe.
-
Wenn du die Fritzbox als Modem eingerichtet hast, dann ist das soweit auch richtig. Dann hast du die PPOE Daten auch in die UDM eingetragen und diese macht die Einwahl. Somit hast du dort auch die richtige Adresse, Also keine aus den Bereichen 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16. Sind meine Annahmen so richtig?
-
wenn du meinst, ob ich das DynDNS auf der Fritzbox eigerichtet bzw. eingeschaltet habe, dann nein. Das habe ich auf der UDM eigerichtet.
Ich habe die Ports 500 & 4500 in den Freigaben der Fritzbox mit im Exposed host konfiguriert. Den 1701 noch nicht, probiere ich gleich mal.
Das wird nicht gehen, die UDM wird ja ihre Adresse übermitteln. Das dürfte, da sie ja hinter der Fritzbox hängt, eine RFC 1918 Adresse sein. Du benötigst die öffentliche Adresse der Fritzbox. Also dort dyndns aktivieren. Ob die übermittelte Adresse stimmt, kannst Du in der CMD Shell überprüfen ping -a "dein dyndnsName". Die Adresse muss die selbe sein, wie die in der Fritzbox unter ->Internet->Onlinemonitor. Bevor die Adressen nicht identisch sind, geht nichts.
-
Für L2TP benötigt man nur UDP 500 & 4500 als Portweiterleitung auf der Fritzbox.
Damit das unter Win10/11 geht, muss folgende Ergänzung in die Registry implementiert werden:
CodeREG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /fEinfach in der CMD-Shell mit Adminrechten ausführen und das Gerät neu starten.
Der Rest steht hier:
UniFi - USG/UDM: Configuring L2TP Remote Access VPNOverview Readers will learn how to set up an L2TP VPN server on the USG and UDM models using RADIUS authentication. NOTES & REQUIREMENTS: Applicable to…help.ui.com
