Beiträge von Quatchi

Zitat von turtle1987

Muss man danach die Verbindung neu starten? Ich habe das eingefügt aber es ändert sich nichts

Eigentlich nicht. Ist ja nur eine lokale Routing Info fuer die UDM. Hast du probiert zusaetzlich eine statische Route einzurichten?

Falls ein PING in das lokale Fritzbox Netz danach immer noch nicht funktioniert, dann kann es sein, dass noch eine statische Route noetig ist. Das geht wieder ueber die UI der UDM. Da das loakle Netz der Fritzbox ueber als uber das Wireguard Interface erreichbar eintragen.

Zitat von razor

Als ich die VPN-Verbindung zwischen mir und meinem AVM-Spezi konfiguriert habe, da hatte er noch eine Einstellung in der Config manuell vorgenommen, welche nicht via GUI vorzunehmen ging - meine ich mich erinnern zu können. Die Verbindung war aufgebaut, aber ich konnte nicht auf sein NAS zugreifen, er aber via FRITZ!Box auf meines.

Mist ey, Hirn wie Sieb.

Ich versuche es noch einmal mit ihm...

Ich koennte mir vorstellen, dass das Problem von Professed75 daran liegt, dass die UDM das lokale Netz hinter der Fritzbox nicht kennt. Das laesst sich aber loesen und ist wahrschienlich die manuelle Config, die du (razor) hier ansprichst.

Dazu muss man sich per SSH auf die UDM verbinden und der wg Konfiguration als allowed-ip das lokale Netz hinter der Fritzbox mitgeben:

Erstmal nur wg eingeben. Da sollte die Verbindung zur Fritzbox angezeigt werden (inkl. PUBLIC_KEY).

Dann wg set wgsrv1 peer <PUBLIC_KEY> allowed-ips 192.168.9.0/24,192.168.2.0/24

Ggf. wgsrv1 durch den Interfacenamen ersetzen, den die UDM vergeben hat. Der Befehl fuegt der wg Konfiguration das lokale Netz hinter der Fritzbox hinzu. Falls ein PING in das lokale Fritzbox Netz danach immer noch nicht funktioniert, dann kann es sein, dass noch eine statische Route noetig ist. Das geht wieder ueber die UI der UDM. Da das loakle Netz der Fritzbox ueber als uber das Wireguard Interface erreichbar eintragen.

Leider habe ich bisher noch keine Möglichkeit gefunden.

Vielleicht als alternative Frage: Wie kann ich denn bei der UDM SE ein eigenes Script zum Boot hinterlegen, und so den wg set Befehl nach jedem Neustart auszuführen. Gibt es eine Möglichkeit, so dass das Script nach Update der 'Network' Komponente (bzw. sogar UnifiOS) noch da ist?

Hallo,

gibt es eine Möglichkeit über die GUI für eine Wireguard Verbindung zusätzliche Subnetzte einzutragen, die über die Verbindung erreichbar sind (allowed-ips)? Momentan trage ich dies per wg über die Console nach. Nachteil ist natürlich, dass das mit jedem Reboot wieder weg ist und ich neu eintragen muss.

wg set wgsrv1 peer <PUBLIC_KEY> allowed-ips 10.0.20.3/32,10.0.10.0/24

Hintergrund: Es geht um eine Site-to-Site Verbindung zwischen einer UDM SE (mit 3.x & network 7.4.x) und einem OpenWRT Router. 10.0.20.0/24 ist das wireguard Netz und 10.0.10.0/24 das lokale Netz hinter dem OpenWRT Router. Das 20er Subnetz ist natürlich automatisch immer konfiguriert, aber das 10er muss ich händisch nachtragen.

Heute habe ich mich mal wieder dran gesetzt.

Inzwischen habe ich eine funktionierende Config. Mein Problem (auf der OpenWRT Seite) war, dass ich keine Interface Adresse gesetzt hatte. Mittels:

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

habe ich die Adresse auf die, in der UDM SE konfigurierten Adresse, gesetzt (bei mir die 10.0.20.2). Nun steht die Verbindung.


Ich habe aber gleich eine Anschlussfrage:
Von OpenWRT aus kann ich nun mein Netz hinter der UDM SE erreichen. Nur umgekehrt leider nicht. Das liegt wahrscheinlich daran, dass auf der UDM SE bei Wireguard als "allowed ips" nur die Interface Adresse der Gegenstelle (OpenWRT) angegeben ist. Hier müsste ja eigentlich auch das Netz hinter der Gegenstelle angegeben werden. Ich finde aber in der Weboberfläche keine Möglichkeit, "allowed ips" zu setzen. Geht das nicht?

Falls es in der Weboberfläche keine Möglichkeit gibt, geht es dann irgendwie via SSH, ohne dass die Konfiguration bei einem Neustart verloren geht?

Zitat von thghh

Logfiles im Userinterface? Der war gut Sorry aber das kennt UniFi nicht oder nur rudimentär.

Übers Terminal würd mir ja schon reichen. Unter /var/log oder mit journalctl finde ich aber nichts zu Wireguard. Daher meine Vermutung, dass Logging für Wireguard erst irgendwo eingeschaltet werden muss. Im Netz finde ich dazu allerdings nur, dass ein Parameter ans Kernelmodul übergeben werden muss. Da bekomme ich aber auf der UDM SE die Fehlermeldung, dass es das Verzeichnis (dynamic_debug) nicht gibt.

echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

Daher meine Frage, wie ich bei der UDM SE an mehr Infos kommen kann.

razor das war ein guter Tipp. Es funktioniert zwar immer noch nicht, aber wenn ich die Fritz!Box Config runterlade, sehe ich, dass plötzlich ein PreShared Key eingetragen ist - auch wenn ich keinen eingetragen habe und der angezeigte nicht valide erscheint:

PresharedKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=

In der Oberfläche wird ist interessanterweise das Feld bei der Fritz!Box zu Vereinbarter Schlüssel leer. Vielleicht liegt das Problem daran, dass die Fritz!Box sich mit dem PreShared Key bei der UDM anmelden möchte, diese die Verbindung aber ablehnt, da sie keinen PreShared Key kennt...

Ich werde mal in einem Fritz!Box Forum suchen, ob das ein bekanntest Problem mit der Beta firmware ist.

Was ich bei der UDM allerdings noch suche, sind die Wireguard Logfiles (bzw. wie das Loglevel dafür einstellen kann). Darin müsste dann ja stehen, dass die Verbindung wegen des PreShared Keys abgelehnt wird (sollte meine Vermutung stimmen). Wo finde ich die Logfiles denn?

Zitat von willybald

Frage wie hast Du Wireguard auf die UDM Pro bekommen ?

Gibt es das schon offiziell oder hast Du dafür ein Workaround ?

Ich möchte meine 2 UDM Pro Site to Site verbinden !

Ich habe die UDM SE mit dem OS & Network Firmware aus dem Early Access Programm (= Beta). Da wird dann Wireguard offiziell unterstützt, ohne dass man das händisch im Linux Unterbau nachinstallieren muss.

Ich habe leider keine Lösung für dein Problem, aber hänge mich hier mal mit meiner Frage dran. Ich bin leider noch einen Schritt hinter dir. Ich habe ein ähnliches Setup: Fritz!Box 7490 (7.51-102214 BETA) an eigenen Internetanschluss und UDM SE (Network 7.3.80) auch eigener Anschluss (beides Telekom mit IPv4). Die UDM ist als Server konfiguriert und die Fritz!Box als Client mit der durch die UDM generierten Config. Leider wird keine Verbindung aufgebaut (weder Fritz!Box noch UDM zeigen eine aktive Verbindung an). Gibt es eine Möglichkeit das zu debuggen?

Hier die generierte Config:

[Interface]
PrivateKey = XXX
Address = 10.0.20.2/32
DNS = 10.0.20.1

[Peer]
PublicKey = XXX

AllowedIPs = 10.0.20.1/32,10.0.20.2/32,10.0.1.1/24
Endpoint = IP:51820

Mein Netzwerk Config sieht so aus, dass das normale UDM Netz die 10.0.1.0/24 ist. Das Netz für VPN ist 10.0.20.0/24. Die Fritz!Box soll später mal Hosts im 10.0.1.0/24 erreichen, aber soweit bin ich noch nicht.

UDM-SE Config:

An den Firewall Regeln habe ich bei der Einrichtung von Wireguard nichts geändert. Muss ich da manuell Regeln eintragen/ändern?

EDIT: Die Wireguard Verbindung funktioniert problemlos mit einem iPhone als Client.

Warum steht bei euch eigentlich noch L2TP oben mit auf der Seite? Bei mir steht da nur Wireguard.

Bei mir installiert:

UDM SE v3.0.13

Network 7.3.76

Zitat von thghh

Was meinst du bitte? Also ein weiteres Subnetz kann im im Bereich Netzwerke anlegen.

Er meint, dass bei dir ein Name fehlt - erstes Eingabefeld in deinem Screenshot. Gib da einfach irgendwas ein "WGTest" oder so. Dann klappt es wahrscheinlich mit dem Speichern. Bei mir funktioniert es zumindest bei der UDM-SE (auch wenn ich keine Daten über die aktive Verbindung drüber bekomme).

Hallo,

ich versuche gerade meinen LTE Router über Wireguard in mein Heimnetz (UDM-SE) einzubinden. Der LTE Router läuft mit einem HerstellerOS basierend auf OpenWRT (Gerät ist ein RUTX11). Ich habe es geschafft, dass beide Seiten, UDM & LTE Router, anzeigen, dass die Wireguard Verbindung aufgebaut ist. Die UDM zeigt einen aktiven Client und beim LTE Router spuckt der 'wg' Befehl aus, dass die Verbindung steht und auch bereits ein paar Bytes darüber verschickt wurden:

interface: WG01
  public key: xxx
  private key: (hidden)
  listening port: 51820


peer: xxx
  endpoint: IPv4:51820
  allowed ips: 10.0.20.1/32, 10.0.20.2/32, 10.0.1.0/24, 0.0.0.0/0
  latest handshake: 8 minutes, 19 seconds ago
  transfer: 2.98 KiB received, 8.59 MiB sent
  persistent keepalive: every 25 seconds

Mein Problem ist, dass ich nichts über die Verbindung schicken kann. Ich kann auch keine der jeweiligen Gegenstellen pingen - egal ob von der LTE Router oder UDM Seite aus. Hat jemand von euch einen vergleichbaren Aufbau im Betrieb? Muss ich noch irgendetwas besonderes beachten beim Setup? Als Firewall Regel habe ich auf der UDM eingerichtet, dass das 10.0.20.0/24 Netz (VPN Subnetz) alle anderen Subnetze erreichen darf.

Habt ihr Ideen, woran es scheitern könnte? Irgendwelche 'Debug' Tips um das Problem einzugrenzen?

Als Hintergrundinfo hier ist mein Aufbau / Topologie:

10.0.10.0/24 LTE Router <----> UDM-SE 10.0.1.0/24

Der LTE Router bekommt als Wireguard Client von der UDM-SE die 10.0.20.2 als IP Adresse verpasst. Der Screenshot im Anhang zeigt die UDM Wireguard Config.

Zitat von TobiasB

Ist die Synology-Kiste in einem internen LAN der UDM?

Nein, hinter einer Fritzbox an einem separatem Anschluss.

UDM —— (Internet) —— Fritzbox —— Synology

Ich bin leider immer noch nicht weiter gekommen. In /var/log/deamon.log werden Infos geschrieben. Ich kann leider nichts damit anfangen. Zum Vergleich habe ich mir den Verbindungsaufbau zwischen meinen iPhone (kann sich problemlos verbinden) und der Synology (verbindet sich nicht) angeschaut. Die jeweils grünen Teile sind gleich. Nach dem QUICK_MODE request/response kommt von der Synology INFORMATIONAL_V1. Ab da scheint es nicht richtig weiter zu gehen und die Verbindung wird nach einem Timeout wieder geschlossen.

Gibt es bei der Synology etwas besonderes, was ich einstellen muss? Hat jemand mal erfolgreich eine VPN Verbindung aufbauen können?

Verbindungsaufbau iPhone

2022-06-19T19:17:19+02:00 muc01gate charon[15862]: 16[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
2022-06-19T19:17:19+02:00 muc01gate charon[15862]: 16[IKE] 80.187.80.71 is initiating a Main Mode IKE_SA
2022-06-19T19:17:19+02:00 muc01gate charon[15862]: 16[ENC] generating ID_PROT response 0 [ SA V V V V ]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 06[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 06[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 04[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 04[IKE] IKE_SA lns-l2tp-server[21] established between 91.42.22.21[91.42.22.21]...80.187.80.71[0.0.0.0]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 04[ENC] generating ID_PROT response 0 [ ID HASH ]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 08[ENC] parsed QUICK_MODE request 1300630978 [ HASH SA No ID ID NAT-OA NAT-OA ]
2022-06-19T19:17:20+02:00 muc01gate charon[15862]: 08[ENC] generating QUICK_MODE response 1300630978 [ HASH SA No ID ID NAT-OA NAT-OA ]
##### AB HIER UNTERSCHIEDLICH #####
2022-06-19T19:17:21+02:00 muc01gate charon[15862]: 12[ENC] parsed QUICK_MODE request 1300630978 [ HASH ]
2022-06-19T19:17:21+02:00 muc01gate charon[15862]: 12[IKE] CHILD_SA lns-l2tp-server{7} established with SPIs c1987cdc_i 05cc367c_o and TS 91.42.22.21/32[udp/l2f] === 80.187.80.71/32[udp/52891]
2022-06-19T19:17:21+02:00 muc01gate charon[15862]: 12[CHD] updown: ok

Verbindungsaufbau Synology

2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 14[ENC] parsed ID_PROT request 0 [ SA V V V V V V V ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 14[ENC] received unknown vendor ID: 4f:53:57:64:69:75:48:5e:43:75:77:43
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 14[IKE] 217.248.106.109 is initiating a Main Mode IKE_SA
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 14[ENC] generating ID_PROT response 0 [ SA V V V ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 05[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 05[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 15[ENC] parsed ID_PROT request 0 [ ID HASH ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 15[IKE] IKE_SA lns-l2tp-server[20] established between 91.42.22.21[91.42.22.21]...217.248.106.109[192.168.178.180]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 15[ENC] generating ID_PROT response 0 [ ID HASH ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 16[ENC] parsed QUICK_MODE request 4223030332 [ HASH SA No ID ID NAT-OA NAT-OA ]
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 16[ENC] generating QUICK_MODE response 4223030332 [ HASH SA No ID ID NAT-OA NAT-OA ]
##### AB HIER UNTERSCHIEDLICH #####
2022-06-19T19:08:17+02:00 muc01gate charon[15862]: 06[ENC] parsed INFORMATIONAL_V1 request 2270137929 [ HASH N(INVAL_ID) ]
2022-06-19T19:08:32+02:00 muc01gate charon[15862]: 13[ENC] generating INFORMATIONAL_V1 request 2965054979 [ HASH N(DPD) ]
2022-06-19T19:08:32+02:00 muc01gate charon[15862]: 08[ENC] parsed INFORMATIONAL_V1 request 1467969797 [ HASH N(DPD_ACK) ]
2022-06-19T19:08:47+02:00 muc01gate charon[15862]: 07[ENC] generating INFORMATIONAL_V1 request 2690623813 [ HASH N(DPD) ]
2022-06-19T19:08:47+02:00 muc01gate charon[15862]: 09[ENC] parsed INFORMATIONAL_V1 request 3120881155 [ HASH N(DPD_ACK) ]
2022-06-19T19:08:54+02:00 muc01gate charon[15862]: 14[ENC] parsed INFORMATIONAL_V1 request 465151010 [ HASH D ]
2022-06-19T19:08:54+02:00 muc01gate charon[15862]: 14[IKE] deleting IKE_SA lns-l2tp-server[20] between 91.42.22.21[91.42.22.21]...217.248.106.109[192.168.178.180]

Hallo,

gibt es irgendwo eine (oder mehrere) Websites, die sich mit der UDM-SE, bzw. der 2.x Firmware näher beschäftigen? Mir geht es darum zu erfahren, was am Linux Unterbau geändert werden kann, ohne die original Funktionalität zu stören oder beim nächsten Firmware Update gelöscht zu werden (z.B. Let's Encrypt Zertifikate, etc.). Ich finde zwar mehrere Anleitungen / HowTos für die UDM-Pro (1.x Firmware mit ihren Containern), aber so gut wie nichts zur UDM-SE.

Bin für jeden Hinweis Dankbar!

Schönen (heißen) Restsonntag noch.

Wie ist denn eure ‚Langzeiterfahrung‘ mit der G4 Instant? Seid ihr mit der Bildqualität zufrieden?

Zitat von Blebbens

Quatchi das sieht, vor allem durch das Oberholz, gut aus… auch schön schlank.

Wie hast Du das stabil an die Wand gepinnt, wenn doch die Rückseite zur Stabilität fehlt ?

Wie wurde das Oberholz befestigt?

Wie zirkuliert bei Dir die Luft? Meine Fritzbox wird doch recht warm.

Weissbierschuettler yes, Fotos wären gut…

Alles anzeigen

Mit Hitze hatte ich nie Probleme. Der US-8-150W wird sehr heiß im Betrieb (>70°). Hat alles andere im Schrank aber nicht gestört. Anfangs hatte ich immer noch ein selbst gebasteltes Thermometer mit im Schrank (ESP32 + BME180), aber es wurde nie kritisch warm da drin. Falls du Bedenken hast, kannst du immer noch an der Unterseite Lüftungsschlitze & Ventilator einbauen.

Zitat von Weissbierschuettler

Wenn ich das richtig sehe, mit 6 Winkeln an der Wand befestigt.

Genau. Wichtig ist dabei darauf zu achten, dass der Schrank durch die Winkel gerade / als Rechteck und nicht wie eine Route an die Wand gedübelt wird. Sonst ist die Tür leicht schief (wie bei mir).

Die Deckelplatte (Bambusbrett) sitzt auf der mitgelieferten Schiene. Die Schiene ist bei den Schränken glaube ich für die Montage Arbeitsplatte mit dabei - wie ich das gerade so schreibe hier dämmert es mir, dass es eventuell gar kein Oberschrank, sondern ein Unterschrank gewesen ist...

Auch einfach mal bei eBay Kleinanzeigen reinschauen. Habe mir da einen günstigen Rittal Schrank ergattert. Sollte ein Kratzer dran sein, ist im Keller auch nicht wirklich schlimm…

Mit etwas ‚Bastelarbeit‘ habe ich mir eine günstige Möglichkeit geschaffen. Habe mir bei IKEA einen Küchen Oberschrank (60er Breite) gekauft. Da der mir aber zu tief war für den Flur, habe ich vor dem Zusammenbau alle Bretter auf ein für mich passendes Maß mit der Handkreissäge gekürzt. Dann zusammengebaut und als „Deckel“ oben drauf eine Bambus Platte aus dem Baumarkt. Je nach Anzahl der Geräte und vorhandenem Platz lässt sich so eine optisch schöne Aufbewarungsmöglichkeit schaffen.

PS: Nachdem ich mir vor kurzem allerdings eine UDM-SE gekauft habe, die im Keller in einem Netzwerkschrank wohnt, wird es dann jetzt leer in dem Schränkchen. Der Edgerouter-X und US-6-150W gehen die Tage raus.