Bin ich falsch informiert oder kann die 7490 inzwischen Wireguard?
Posts by badboy66
Unsere Community hält dieses Forum am Leben. Freiwillige Spenden ermöglichen es uns, komplett auf Werbung zu verzichten.
-
-
Hast du mal versucht die Portfreigaben an der Fritzbox manuell zu machen? Ich hatte mit Exposed Host immer Probleme in Kombination mit der UCG
Außerdem würde ich die beiden "Local Authentication ID" und "Remote Authentication ID" auch noch manuell vergeben zum testen. Da steht bei dem einen die öffentlichen und beim anderen die private drin.
-
Verwende zum testen die öffentlich IPv4 Adresse und trage bei der Site1 die "Local Authentication ID" und bei der Site2 die "Remote Authentication ID" auf deine Mailadresse.
der PreShared Key ist aber schon der gleich auf beiden Sites?
-
Versuch mal bei dir den "Local Authentication ID" auf manuell zu stellen. z.B deine Mailadresse
und auf der Remote USC den "Remote Authentication ID" ebenfalls mit der gleiche Mailadresse.
Siehe Anleitung bei Unifi: https://help.ui.com/hc/en-us/artic…-Site-IPsec-VPN
Wie ich sehe verwendest du kein DDNS sondern die IP´s direkt.
-
Hallo zusammen,
verwendet von euch jemand alle Port an der UCG Fiber?
Ich bekomme meine Konstellation nicht zum laufen und verstehe nicht was genau das Problem ist.
Diese sieht wie folgt aus.
Mein WAN 1 beziehe ich über ein in der UCG Fiber definiertes VLAN 22
VLAN 22 kommt von einer Fritzbox mit einem 192.168.22.0/24 Netz, welches in einen Unifi Switch angeschlossen ist. Der Port ist entsprechend definiert.
An einer anderes stelle im Netzwerk seht meine UCG Fiber, an dieser habe ich LAN Port 2 als VLAN 22 definiert und LAN Port 2 mit WAN 1 (Port5) verbunden. Das klappt wunderbar!
Ähnlich sieht mein WAN2 aus, das ist ein Zyxel 5G (Bridge Mode) Router auf dem Dach, der ebenfalls an einem Switch als VLAN 5 definiert wird. Vom nebenstehende USW Lite 8 PoE Port 7 geht es in Port 6 (WAN2) mit einem SFP to RJ45 (UACC-CM-RJ45-1G). Funktioniert ebenfalls wunderbar und liefert mir eine Public v4 Adresse
Jetzt zum Problem, sobald ich Port 7 an der UCG Fiber als exakt so konfiguriere wie Port 7 des USW Lite 8 und mit Port 6 (WAN2) verbinde, klappt es nicht mehr.
Ich habe bereits sämtliche Verbindungen getestet. DAC Kabel, UACC-OM-SM-10G-D-2, UACC-OM-SM-1G-S-2 und UACC-CM-RJ45-MG
Doch mit keiner Verbindung geht WAN online. Die Module werden sauber erkannt aber das WAN bekommt keine Adresse.
Jemand eine Idee?
VG Steven
-
Du hast eine öffentliche IP Adresse die an der Fritzbox ankommt, wenn du Exposed Host für das UCG aktivierst, werden alle öffentlichen Anfragen dieser IP Adresse an die UCG weitergeleitet. Somit funktioniert auch IPsec Site-to-Site wunderbar. Habe ich in genau dieser Konstellation auch im Einsatz.
Beispiel
FritzBox A mit MyFritz Adresse xyz1234.myfritz.net
FritzBox B mit MyFritz Adresse xyz9876.myfritz.net
UCG A (hinter FritzBox A) :
UCG B (hinter FritzBox B) :
-
Moin Andi,
meine Erfahrungen sind:
- Exposed Host bzw. selbstständige Portfreigaben an der Fritzbox in Kombination mit einem Unifi Cloud Gateway funktioniernen nicht sauber --> mach einfach selbe die Portfreigaben dann kannst du dir sicher sein, dass es funktioniert --> Port 4500 + 500 UPD + ESP für das Unifi Cloud Gateway freigeben.
- Trage deinen DynDNS einfach in der Fritzbox ein oder verwende die MyFritz Adresse, das funktioniert super.
- Alternativ kannst du auch ein anderes Gerät nutzen, dass DynDNS aktualisiert, z.B eine NAS (falls im Einsatz)
- Mir sind nur 2 WAN anschlüsse bekannt. Ich versehe auch nicht was du vor hast?!?
VG Steven
-
Ich habe mir die Release Note zu 9.5.21 angeschaut und nichts gefunden.
Grund für das Update war nämlich dieser Bugfix:
Quote- Fixed an issue where Site-to-Site VPN configurations weren't updated when the WAN DHCP IP changed.
Ich würde mal behaupten, dass an meiner UCG Fiber auch IPv6 IPsec offen ist, da die entsprechenden Ports freigegeben sind.
Die beiden Remote Gateway haben aber nicht mal IPv6 sondern sind nur mit IPv4 online. Daher wunder mich das ziemlich. Für den moment läufts wieder und ich hake das Thema mal ab
Danke für dein Feedback.
-
Ich glaub ich habe es gefunden.
Vermutlich wird mit 9.5.21 der Hostname mit der IPv6 Adresse aufgelöst und deswegen verbinden sich die Remote Gateways nicht mehr. Sobald ich den Hostname auf die IP Adresse ändere, klappt die VPN wieder.
Sobald ich einen Hostname nehme, der nur v4 auflöst geht´s wieder. Seltsam.....
-
Hallo Leute,
ich habe am letzte Woche meine UCG Max gegen eine UCG Fiber getaucht und das Backup eingespielt. 2 Tage hat alles wunderbar funktioniert.
Meine UCG Fiber hängt hinter eine FB, welche die entsprechenden Portfreigaben konfiguriert hat. (500 + 4500 UDP + ESP)
Ich habe zwei IPsec Site-to-Site VPN zu anderen Unifi Gateways. Das lief seit Monaten problemlos.
Jetzt zum Problem, die VPN zwischen mir und beiden anderen Standorten wird nicht mehr aufgebaut. Ich habe schon Stunden investiert und komme nicht weiter.
Was wurde vor 2 Tagen geändert. Auf beiden Remote Gateway wurde Network Version 9.5.21 eingespielt. Auf meiner UCG Fiber / Max was das schon länger drauf.
Ich habe an meiner Unifi noch ein 2. WAN mit einer öffentlichen IP Adresse, wenn ich die VPN auf diese umstelle, baut sich die VPN wieder auf.
Daher habe ich die Vermutung, dass mit 9.5.21 sich irgendwas an der VPN Aufbauanfrage geändert hat. ggf. müssen nun mehr Ports an der FritzBox geöffnet werden. Allerdings kann ich dazu nichts finden oder wüsste auch nicht welche Logs ich auslesen kann.
Hat jemand eine Idee?
VG und danke für euer Feedback!
-
Alles klar ich teste es mal wie folgt. Oder habe ich was falsch verstanden?
Es ist ein Standard Telekom 100Mbit Anschluss.
-
Hallo zusammen,
ich setze seit längerem auf HomeAssistant und habe bereits einige Matter Geräte via Thread angebunden. Sowohl mein Nuki als auch meine Eve Energy ließen sich ohne Probleme integrieren.
Jetzt habe ich das erste Gerät mit Matter over WiFi und bekomme es nicht eingebunden und wollte grundsätzlich mal fragen welche Vorraussetzungen im Netzwerk erfüllt sein müssen, dass dies klappt.
Mir ist bewusste, dass Matter over WiFi auf IPv6 setzt aber so richtig verstehen tue ich das ganz nicht….
Meine UniFi Cloud Gateway Max hängt an 2 Internet Anschlüssen. WAN 1 = Hinter Fritzbox + WAN 2 = 5G Modem ohne IPv6 Support
Hat jemand bereits Erfahrungen damit gesammelt und könnte mir weiterhelfen?
-
Alles klar, danke dir. Habe nun eine Brume 2 ins Netzwerk gehängt, das klappt sehr gut.
-
Hallo zusammen,
ich habe für jede Site einen eigenen WG Server im UCG Max laufen, sodass ich alle meine Netze zentral verwalten kann. Routing in beide Richtung klappt ohne Probleme.
Das funktioniert soweit sehr geht, aber nur wenn ich daheim bin.
Sobald ich mich selber via Wireguard VPN auf die UCG Max verbinde, werde ich nicht zu den anderen Remotenetzen weitergeleitet.
Ich habe schon versucht entsprechende Firewallregeln zu erstellen aber leider ohne Erfolg.
Das interessante ist, dass meine Client VPN (2 * OpenVPN) ohne Probleme erreicht werden können.
Jemand einen Denkanstoß?
-
Ok es wird immer wilder....
vor WAN1 hängt eine Fritzbox mit entsprechenden Portweiterleitungen für die UniFi.
Ich habe mal diese Portweiterleitung für den Wireguard Server deaktiviert, die Fritzbox an WAN1 neu gestartet und das CG Max neu gestartet.
Verhält sich immer noch gleich und mir ist schleierhaft wie die FritzBox den Port an die CG Max weitergibt....
-
Danke für deine Input. Leider ist das auch die einzige Theorie die ich mir vorstellen kann. Ich starte heute mein Cloud Gateway Max neu und werde berichten.
-
Ok lachhafte Lösung.... FritzBox Neustart hat wohl den DNS Cache gelöscht und nun bauten die Site schön brav die Verbindung via WAN2 auf.
*edit*
Zu früh gefreut.
Die VPN baut sich auf und ändert dann die IP nach ein paar Minuten.
-
Moin Leute,
ich habe eine Cloud Gateway Max und dort Dual WAN im Failover aktiv.
WAN 1 = 100 Mbit Telekom - Public IPv4 ohne CGNAT
WAN 2 = 5G Telekom - Public IPv4 ohne CGNAT
Zur Ausgangssituation: Da ich verschiede Sites habe, die alle zu mir sicher, würde ich gerne mein SITE VPN´s über WAN 2 laufen lassen, da sonst meine WAN 1 immer dicht ist.
Die angebundenen Sites sind alles Fritzboxen und wurde wie in diesem Thread beschrieben angebunden.
Die Sites haben alle in der Wireguard Config meine DynDNS Domain hinterlegt.
Was habe ich bereits getestet:
- im Wireguard Server auf WAN2 gestellt
- Die DynDNS wird Public auch Sauber auf WAN2 aufgelöst
- VPN auf beiden Seiten neugestartet
Leider verbinden sich die Site weiterhin mit WAN1 und machen schön Ihr Backup´s darüber.
Jemand noch einen Denkanstoß?
VG
-
Hi Sascha,
vielleicht hilft dir meine Erfahrung aus diesem Thread weiter.
Leider müssen meiner Erfahrung nach alle anderen Wireguard Verbindungen gelöscht werden, damit es geht.
VG
-
Ich hänge mich hier mal dazu.
Ich bekomme meine DynDNS nicht zum laufen. Meine Domain ist bei Domaindiscount24 und ich habe folgende Info gefunden:
Codehttps://dynamicdns.key-systems.net/update.php?hostname=MEINEDOMAIN.de&password=KENNWORT&ip=autoSowohl an der FritzBox als auch auf meiner Synology NAS kann ich so meine Adresse täglich aktualisieren. Mit der UCG-Ultra bekomme ich es einfach nicht hin!
Ich habe schon folgendes zur Syntax recherchiert aber leider bin ich nicht weitergekommen.
Kurzes Update zu meiner DynDNS bei Domaindiscount24.
nach etlichem rumprobieren haben ich endlich die Syntax gefunden:
- Service: custom
- Hostname: *deine_Domain*
- Username: *deine_Domain*
- Password: *dein_Passwort*
- Server: dynamicdns.key-systems.net/update.php?hostname=%h&password=%p&ip=%i
