VPN ZWISCHEN FRITZBOX UND UBIQUITI UDM PRO (DREAM MACHINE) (STAND: 09.09.2025) - ubiquiti

Stelle eine VPN Verbindung zwischen deiner FritzBox und deiner UDM Pro her.

Vorab:

Quote

Diese Anleitung dient zur Einrichtung einer IPSec VPN Verbindung für FritzBoxen (wie in meinem Fall) die Wireguard nicht unterstützen.
Meine Gegenstelle ist eine 6590 Kabel Box welche keine Wireguard Verbindung kann.
Quelle: https://wiki.home-hosting.de/de/VPN-zwische…biquiti-UDM-Pro

→ H a f t u n g s a u s s c h l u s s ←

Diese Anleitung wurde nach bestem Wissen erstellt und auf einer FritzBox 6490 Cable und 6590 Cable getestet.
Es gibt jedoch keine Garantie auf Funktion, Sicherheit oder Vollständigkeit.
Die Umsetzung erfolgt auf eigene Gefahr und Verantwortung.
Der Autor übernimmt keine Haftung für Schäden, Datenverluste, Sicherheitsrisiken oder sonstige negative Folgen.
Die Anleitung richtet sich ausschließlich an erfahrene Administratoren.

Changelog:

Quote

09.09.2025
Config Text angepasst für Zeile 7, 14 und 19 für besseres Verständnis
09.08.2025
Getestet mit einer FritzBox 6590 Cable | Schnellerer Aufbau und schnellerer Upload der Config
23.08.2024
Getestet und Optimiert mit einer FritzBox 6490 Cable

Basiseinstellung

VPN-Typ: IPSec
Name: Hier ein Beliebiger Name
Pre-Shared-Key: Gemeinsamer Schlüssel für die FritzBox und die UDM
Lokale IP: Hier steht die Öffentliche IP Adresse deines Internet Providers
Remote IP / Host: Die Feste IP, FQDN oder die MyFritz Adresse der Gegenstelle/FritzBox

Netzwerkkonfiguration

VPN Typ: Routenbasiert
Remote Netzwerk(e): Lokales IP Netz der Fritzbox (Default: 192.168.178.0/24)

Erweiterte Einstellung

Erweitert: Manuell
Schlüsselaustausch Version: IKEv1

IKE:

Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 28800

ESP:

Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 28800
Perfect Forward Secrecy (SPF): Angehakt

Code

Verschlüsselung Hinweis
Die hier in dem Artikel gezeigten Verschlüsselungsmethoden sind bereits die höchsten von der FritzBox unterstützten Technologien.

Lokale Authentifizierungs-ID - (Manuell: Haken Weg): <Lokale FQDN/DynDNS oder Feste IP Adresse der UniFi UDM>
Remote-Authentifizierungs-ID- (Manuell: Haken Weg): <FQDN/MyFritz-Adresse der FritzBox>

Route Entfernung: 30

1 Voraussetzungen / Einschränkungen durch die FirtzBox

Diese Anleitung wurde mit einer FritzBox 6490 Kabel getestet und erfolgreich umgesetzt.

Code

Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3331_FRITZ-Box-mit-einem-Firmen-VPN-IPSec-verbinden/

2 Vorbereitung für der FritzBox:

Man erstellt ne neue Text Datei, Trägt meine Vorlage ein und Lädt diese in der FritzBox unter "Internet" → "Freigaben" → VPN (IPSec) als Config hoch:

Angepasst müssen Folgende werte:

Zeile 5, Zeile 7, Zeile 14, Zeile 16, Zeile 19, Zeile 24, Zeile 31-32, Zeile 37-38 und Zeile 42

Zeile 5: Name der VPN Verbindung der in der FirtzBox angezeigt wird.

Zeile 7: keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";

Zeile 14: remotehostname = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";

Zeile 16: fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";

Zeile 19: fqdn = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";

Zeile 24: key = "<Gemeinsamer Schluessel zwischen FritzBox und UniFi UDM>";

Zeile 31-32: IP Netz inkl. Subnet der FirtzBox

Zeile 37-38: IP Netz inkl. Subnet der UniFi UDM

Zeile 42: accesslist = "permit ip any <IP Netz der UDM> <Subnet, Beispiel: 255.255.255.0>";

VPN Config FritzBox

Code

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "<Verbindungsname>";
        always_renew = yes;
        keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 0.0.0.0;
        remotehostname = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
    localid {
        fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
    }
    remoteid {
        fqdn = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
    }
        mode = phase1_mode_idp;
        phase1ss = "dh15/aes/sha";
        keytype = connkeytype_pre_shared;
        key = "<Gemeinsamer Schluessel>";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = <IP Netz der FritzBox>;
                mask = 255.255.255.0;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = <IP Netz der UDM>;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
        accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
        "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Display More

Bekannte Probleme | FAQ:

Problem	Lösung
Verbindung wird nicht aufgebaut	1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Prüfe die Parameter in der Konfiguration für die FritzBox. 3.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox
Ich hab kein PING zur gegenstele	1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig
Das Gegenüber stehende Netz war kurz erreichbar und jetzt nicht mehr	1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Deaktiviere und Aktiviere die IPSec VPN Konfiguration in der UDM 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig
Ich hab die FritzBox und die UDM neu gestartet, aber es geht trotzdem nicht, was kann ich tun?	1.) Bitte achte da drauf ob du ein DS-Lite Anschluss hast, das erfährst du bei deinem Internet Anbieter. 2.) Prüfe auf mögliche Firewall Fehlkonfigurationen 3.) Ist die Konfiguration auf der FritzBox oder UDM Aktiviert? 4.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig
Die Konfig lässt sich nicht in die FritzBox Importieren	1.) Entferne die komplette Zeile mit keepalive_ip = aus der Konfig und Probiere es erneut 2.) Überprüfe ob du dich nicht ggf. Vertippt hast. 3.) Wechsle mit Notepad++ unter “Bearbeiten” → “Format Zeilenende” → von “Windows (CR+LF)” zu “Unix (LF)” und speichere dies erneut ab.