Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Die Konfig sollte passend zueinander sein: fritzbox <> unifi
In der Fritz ist bei
phase2ss = "esp-aes256-3des-sha"
Und bei der UDM
## phase 2 (ESP) ##
esp=aes256-sha512-modp1024
Ich denke, hier musst du ansetzen.
Die ipsec.s2s.config ist entscheidend, nicht die "Klick-Bildchen". Ich weiß nicht ob die USG sha512 unterstützt.
Hi Zusammen,
evtl. könnt ihr mir helfen?
Ich habe das Phänomen, dass die UDM SE unterschiedlichen Geräten die selbe IP vergibt und sich dann darüber (zurecht) beschwert:
Multiple devices are using the same IP address: 172.16.XXX.156
. Please check each device's configuration and ensure that none are communicating with a rogue DHCP server.
Die doppelten IPs werden für Unifi APs vergeben.
Hier meine Network Config:
Die 172.16. ist das "default" und die anderen Netze sind durch VLANs und Sub-Netze getrennt.
Habt ihr eine Idee? Wenn ich die APs neu starten lasse, bekommen sie unterschiedliche IPs, aber am nächsten Tag, habe ich wieder ein paar doppelte drin.
Ich habe es nun zum laufen bekommen.
Mein Aufbau:
UDM SE mit fester IP (ist hinter einer Fritzbox im "Bridge Mode")
Site-to-Site VPN zu
Hier die Config einer Fritzbox:
vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "<VerbindungsName>";
boxuser_id = 0;
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = no;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <IP-UDM>;
remote_virtualip = 0.0.0.0;
remotehostname = "<DNSName-UDM>";
keepalive_ip = 0.0.0.0;
localid {
fqdn = "<DynDNS-FB>";
}
remoteid {
ipaddr = <IP-UDM>;
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "<streggeheimespassword>";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <LOCAL-IP-NETZ-FB>;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = <LOCAL-IP-NETZ-UDM>;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any <LOCAL-IP-NETZ-UDM> 255.255.255.0";
app_id = 0;
}
}Hier die Configs der UDM zu finden unter /etc/ipsec.d/tunnels
.ipsec.s2s.secret:
# Generated automatically by ubios-udapi-server
# For ipsec tunnel (site-to-site) ***
#
<IP-UDM <DynDNS-FB> : PSK "<strengeheimespassword>".ipsec.s2s.config:
# Generated automatically by ubios-udapi-server
# For ipsec tunnel (site-to-site) ***
#
conn ***
## basics ##
auto=start
authby=secret
type=tunnel
## timeouts ##
dpdaction=restart
dpddelay=30s
dpdtimeout=120s
## connection data ##
left=<IP-UDM>
right=<DynDNS-FB>
## routing ##
leftsubnet=<LOACL-IP-UDM>/24
rightsubnet=<LOACL-IP-FB>/24
fragmentation=yes
compress=no
## phase 1 (IKE) ##
keyexchange=ikev1
aggressive=yes
ike=aes256-sha512-modp1024!
reauth=yes
ikelifetime=3600s
## phase 2 (ESP) ##
esp=aes256-sha512-modp1024
rekey=yes
keylife=3600s
keyingtries=%forever
forceencaps=no
## notifications ##
leftupdown=/etc/ipsec.d/tunnels/***.ipsec.s2s.updownUnd was vorher an der UDM Oberfläche eingestellt werden sollte
Das sollte einigen weiter helfen.
Was noch fehlt ist ein Script das nach dem Reboot oder Pause/Start der VPN über die GUI die Werte wieder übergibt.
Evtl kann mal jemand testen was das /etc/ipsec.d/private macht ...
Vg
Thomas
Hört sich gut an.
Inzwischen geht wieder kein Traffic über die Tunnel o)
Der Tunnel wird sauber aufgebaut, aber es laufen keine Daten drüber, egal ob mit oder ohne den Haken ....
Habt ihr eine Idee?
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
XXXX 0.0.0.0 255.255.252.0 U 0 0 0 eth8
10.60.100.0 0.0.0.0 255.255.252.0 U 0 0 0 br60
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vti64
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 vti64
192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 vti64
192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth7
192.168.111.0 0.0.0.0 255.255.255.0 U 0 0 0 vti65
203.0.113.0 0.0.0.0 255.255.255.0 U 0 0 0 dnsfilterLaut routing table alles iO..
Hi,
ich denke schon:
phase2localid {
ipnet {
ipaddr = 192.168.XXX.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.YYY.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.YYY.0 255.255.255.0";
app_id = 0;Ich bin mir nur nicht sicher ob in der UDM noch was extra in die ***.ipsec.s2s.config rein muss?
Ich habe einen funktionierenden Tunnel zu einer FortiGate laufen, da musste ich aber eine dynamische Route extra einstellen.
Evtl. braucht die Fritte so was auch? oder die UDM?
Vg
Thomas
OK, ich gebe mir mal selbst die Antwort:
Beim anlegen der VPN Verbindung in der UDM muss der Haken bei "Route-Base VPN" raus!
Bei der VPN Verbindung zur Fortigate ist der drin und an der FG ist eine Policy Route gesetzt.
Bei der Verbindung zur FB läuft das anders 
Habt ihr einen Weg gefunden, wie die Config nach dem reboot der UDM erhalten bleibt?
Hi Zusammen,
erstmal danke für den Input. Der VPN Tunnel steht
Aber es fließen noch keine Daten drüber.
Muss ich noch eine extra Route setzen?
Log der UDM:
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 02[ENC] generating QUICK_MODE request 1379349665 [ HASH ]
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 02[ENC] generating QUICK_MODE request 3935411295 [ HASH SA No KE ID ID ]
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 03[ENC] parsed INFORMATIONAL_V1 request 2646887692 [ HASH D ]
2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 08[ENC] parsed INFORMATIONAL_V1 request 266201648 [ HASH D ]
2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[ENC] parsed QUICK_MODE response 3935411295 [ HASH SA No KE ID ID ]
2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[IKE] CHILD_SA 63de55075df4957dc200e330{12} established with SPIs c5d3a42b_i a9cd434b_o and TS 0.0.0.0/0 === 0.0.0.0/0
2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[CHD] updown: okLog der Fritz
VPN-Verbindung zu **** [xxx] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-3DES/SHA1/LT-3600 wurde erfolgreich hergestellt.
UDM Config
conn ****
## basics ##
auto=start
authby=secret
type=tunnel
## timeouts ##
dpdaction=restart
dpddelay=30s
dpdtimeout=120s
## connection data ##
left=DynUDM
right=DynFB
mark_in=0x04000000/0xfe000000
mark_out=0x04000000/0xfe000000
## routing ##
leftsubnet=0.0.0.0/0
rightsubnet=0.0.0.0/0
fragmentation=yes
compress=no
## phase 1 (IKE) ##
keyexchange=ikev1
aggressive=no
ike=aes256-sha1-modp1024!
reauth=yes
ikelifetime=28800s
## phase 2 (ESP) ##
esp=3des-sha1-modp1024
rekey=yes
keylife=3600s
keyingtries=%forever
forceencaps=no
## notifications ##
leftupdown=/etc/ipsec.d/tunnels/63de55075df4957dc200e330.ipsec.s2s.updownFB Config wie oben
Habt ihr eine Idee?
Danke
---
Thomas
zur Zeit sind 92 Mitglieder (davon 2 unsichtbar) und 297 Gäste online - Rekord: 129 Benutzer ()
