Site-to-Site VPN sicher einrichten UniFi IP SEC

DerErzherzog

Experte
Thread Starter
Mitglied seit
20.06.2015
Beiträge
176
Guten Abend zusammen,

gerne würde ich zwischen einer Ubiquiti Dream Machine und Ubiquiti Dream Machine Pro ein IP-SEC Site to Site VPN einrichten. Prinzipiell geht das normalerweise recht einfach. Das Problem ist, dass ich an einer Adresse keine statische IP-Adresse habe und daher einen DYNDNS Namen eintragen muss.
Das bringt das Problem mit sich, dass ich unter Advanced Configuration gleich alles auf manuell stellen muss, obwohl ich nur unter
Remote Authentication ID meine DYNDNS Adresse eintragen muss.

Ich möchte, das möglichst alles sicher eingestellt ist, daher wollte ich euch um Rat fragen.
Anbei ein Screenshot zur Übersicht, ich beschreibe dann noch was man in den Dropdown Feldern auswählen kann und würde mich über eure Erfahrungswerte und Best Practice Empfehlungen freuen :)

1703696618980.png





Bei der Key Exchange Version kann ich
IKEv1 und IKEv2 auswählen. Soweit ich das gelesen habe ist V2 neuerer und viel sicherer.

Unter IKE Encryption habe ich AES128, AES192 und AES256, hier würde ich es auf 256 belassen da dies ja die stärkste Verschlüsselung ist, wenn ich das richtig sehe?
Beim Hash habe ich die Auswahl zwischen SHA1, SHA256,SHA384,SHA512 und MD5 hier hätte ich nach meiner Recherche 512 ausgewählt, wäre das am sichersten und besten?

Bei der DH Group habe ich gelesen sind höhere Werte empfohlen, sofern mann eine starke AES Verschlüssung auswählt, ich würde da jetzt 30 nehmen, passt das? Bei der Liftime habe ich garkeine Ahnung sind damit die Pakete gemeint und ist der Wert in Millisekunden oder was sollte man da am besten einstellen?

Dann ist die Frage was ESP ist, nehme ich da die identischen einstellungen oder sollte das nicht gleich sein?
Perfect Forward Secrecy würde ich anlassen weil wenn ich es richtig verstehe dazu dient den Key autoamtisch zu ändern, hört sich für mcih recht sicher an.

Local Authentication ID würde ich eifnach so bealssen und bei Remote muss ich ja meine DYNDNS Adresse eintragen.
Maximum Transmission Unit Würde ich auch auf Auto belassen und Route Distance weiß ich nicht genau 30 waren hier voreingetsellt ob das passt soweit?

Ich würde mich sehr freuen, falls jemand mir hier weiterhelfen kann das ganze möglichst sicher einzurichten.
Leider muss ich hier Manuell nehmen und es ist nciht möglich nur die Remote Authentication ID zu vergeben.

Ich möchte von Magic VPN via Wireguard weg, da ich eigentlich die Konsolen nicht über die Cloud managen möchte. Gerade nach dem letzten Vorfall gibt mir das ncohmal ein ungutes Gefühl. Jetzt geht ja endlich auch eine dyndns Adresse anzugeben bei IP Sec das ging bisher nicht, da musste ich auf magic Site to Site VPN ausweichen.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich würde das mit Wireguard direkt aufsetzen. Die Unifi DMs sollten WG mit aktueller Firmware an Bord haben, alternativ 2x GL.inet Router Opal oder Flint.

Setup: an der fixen IP den WG Server konfigurieren, an der dynamischen als Client.
 
Danek dir für die schnelle Rückmeldung!
Leider geht WireGuard nur für Clients. Site to Site ist das nur über Site Magic möglich so wie ich es aktuell habe mit den Konsolen mit der Cloud verknüpft, davon möchte ich aber gerne weg.

Andere Hardware möchte ich nicht einsetzen.
Hmm das mit dem Server und Client könnte gehen ist aber dann kein richtiges Site to Site oder sehe ich das falsch?
Unter Site to Site gibt es auf jedenfall nur IPSEC und OpenVPN, WG als Client und Server ist dann eher ein bisschen gebastel oder?
So wie ich das verstehe ist das ja eher für direkte Endgeräte gedacht wie PCs/Laptops oder Smartphones und nciht für Router.
 
Jede Art von VPn besteht aus einem Server und einem Client, das ist der Teil der die verbindung aufbaut und sich einwählt.
Ein WG Client kann auch ein Router sein.

Site-to-Site bedeutet, das Du auf beiden Seiten einen Router hast, und die Clients/Server auf beiden Seiten so miteinander kommunizieren können, wie die Routern und Firewalls es erlauben.

Warum Wireguard? Weil es stabil läuft, fast keinen "Reibungsverlust" hat -> bester VPN Durchsatz.
WG ist inwzsichen in vielen Geräten, OPNsense, OPNwrt etc vorhanden. Oder man installiert das in einer VM.

Für eine WG Site-to-Site kannst Du auch alte Router verwenden, und OPNwrt draufmachen.
Oder 2x GL.inet Router Opal, die Kosten pro Stück ~45 Euro.
 
@DerErzherzog Und warum nicht OpenVPN? Das würde ich mal versuchen.
 
Site-to-Site bedeutet, das Du auf beiden Seiten einen Router hast, und die Clients/Server auf beiden Seiten so miteinander kommunizieren können, wie die Routern und Firewalls es erlauben.
Genau das möchte ich gerne.

Warum Wireguard? Weil es stabil läuft, fast keinen "Reibungsverlust" hat -> bester VPN Durchsatz.
Würde ich auch gerne verwenden, gibt es stand jetzt aber so leider nicht bei meiner Hardware.

Und warum nicht OpenVPN? Das würde ich mal versuchen.
Hatte ich mal in Verbindung mit einem USG, da war die Performance sehr schlecht durch denke durch den großen overheat.

Prinzipiell ist die Konfiguration ja nicht schwer nur die Einstellungen sagen mir nicht nicht alle umbedingt etwas. Ich denke wenn ich das aufschlüssen kann, wird das ganze gut laufen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh