Unifi Portfreigabe Wireguard

[landu89]

Hallo zusammen,

ich möchte bei mir gerne einen VPN Server einrichten, damit ich mich von unterwegs auf mein Netzwerk schalten kann.

Ich verwende eine Fritzbox 7590 in Verbindung mit einer Unifi Dream Machine.

Die Fritzbox fungiert als Exposed Host, aus diesem Grund kann ich nicht den Wireguard VPN Server direkt auf der Unifi Dream Machine nutzen.

Ich habe hier noch eine Ubuntu Installation laufen, dort habe ich per Docker WG-Easy installiert.

Als UDP Port habe ich 51700 verwendet. Allerdings hänge ich gerade in der Portfreigabe der Firewall fest, wo genau und wie ich das eintragen muss.

Kann da evenutell eine helfen wie ich das eintragen muss?

 

[BobbyD]

Die Fritzbox fungiert als Exposed Host, aus diesem Grund kann ich nicht den Wireguard VPN Server direkt auf der Unifi Dream Machine nutzen.

Die Fritzbox hat doch ebenfalls WireGuard? Wofür hast Du denn die UDM genau, wenn Du dort keine Ports öffnen kannst...

Fragen zur Ubuntu Firewall wären wohl besser im entsprechenden Bereich aufgehoben. Oder liegt es am Ende doch an Docker...

 

[ruezi]

Was genau verstehst du unter exposed host?
Kannst du deinen Aufbau etwas genauer erläutern?
Was macht die Fritzbox/was die UDM?

Habe ebenfalls eine UDM mit Modem am laufen.
Wireguard per Docker und mittlerweile auch direkt in der UDM eingerichtet.
Es ist eigentlich relativ problemlos möglich.

 

[landu89]

Den exposed host hab ich nur eingerichtet, damit ich Internet beziehen kann über die FB, mehr macht die FB bei mir nicht, Festnetz Telefon nutze ich gar nicht mehr. Alles andere macht die UDM.

Durch den exposed host habe ich doppeltes NAT. D.h. meine UDM hat am WAN Port nur eine interne IP Adresse:

Wenn ich in den Einstellungen Wireguard einrichten möchte bekomme ich folgende Fehlermeldung:

 

[ruezi]

Habe es erst beim zweiten Lesen gesehen.
Fritzbox 7590 -> also DSL-Anschluss?

Ich würde jetzt behaupten, dass der Wechsel hin zu einem DSL-Modem (Draytek Vigor o.ä.) das einfachste wäre. Mit Verkauf der Fritzbox sollte das eigentlich relativ kostenneutral/mit kleinem Plus über die Bühne gehen können.

 

[landu89]

Das wird denke ich leider nicht gehen, ich bekomme demnächst einen Glasfaser Anschluss (Deutsche Glasfaser) und mir wurde gesagt, dass ich hierfür eine Fritzbox 7590 benötige

 

[BobbyD]

Also ist die UDM der Exposed Host in der Fritzbox. Warum ignorierst Du nicht einfach die Warnung in der UDM? Kenne die UDM aber nur vom Hörensagen.

 

[landu89]

Wenn ich das einrichte und verbinde habe ich keinerlei Zugriff

 

[hominidae]

ich bekomme demnächst einen Glasfaser Anschluss (Deutsche Glasfaser) und mir wurde gesagt, dass ich hierfür eine Fritzbox 7590 benötige

...nur am Rande: mit Glasfaser brauchst Du keine Fritz...den ONT kannst Du direkt mit dem WAN-Port der UDM verbinden...musst dann nur den Verbindungsaufbau für Dual-Stack hinkriegen.

 

[TheBigG]

...nur am Rande: mit Glasfaser brauchst Du keine Fritz...den ONT kannst Du direkt mit dem WAN-Port der UDM verbinden...musst dann nur den Verbindungsaufbau für Dual-Stack hinkriegen.

Das Ubiquiti zeugs kann kein DS-Lite, da müsste man schon OpenWRT auf die UDM flashen.

 

[BobbyD]

Wenn ich das einrichte und verbinde habe ich keinerlei Zugriff

Bitte genauer sein.

Dein Router (z.B. UDM) ist doch der ideale Verbindungsendpunkt für ein VPN, deutlich besser als ein Docker Container.

 

[hominidae]

Das Ubiquiti zeugs kann kein DS-Lite,

OK, hmmm...also wie MT...macht dt. Glasfaser jetzt DS-Lite oder echten Dual Stack?

 

[landu89]

...nur am Rande: mit Glasfaser brauchst Du keine Fritz...den ONT kannst Du direkt mit dem WAN-Port der UDM verbinden...musst dann nur den Verbindungsaufbau für Dual-Stack hinkriegen.

Das Ubiquiti zeugs kann kein DS-Lite, da müsste man schon OpenWRT auf die UDM flashen.

Nach deinem Kommentar habe ich gestern ein wenig rum gesucht und dieses Video bei YT gefunden (Ab Minute 22 ca.). Anscheinend funktioniert es mit der UDMPRO direkt.

Bitte genauer sein.

Dein Router (z.B. UDM) ist doch der ideale Verbindungsendpunkt für ein VPN, deutlich besser als ein Docker Container.

Ich habe auf der UDM Pro einen Wireguard Zugang generiert und einen Client eingerichtet. Wenn ich mich mit dem Iphone dann über die Wireguard App mit dem gescannten QR-Code verbinde, habe ich keinerlei Zugriff aufs Internet (z.B. über Google Chrome) und auch keinen Zugriff auf meine Systeme wie z.B. meine Synology

 

[BobbyD]

Ich habe auf der UDM Pro einen Wireguard Zugang generiert und einen Client eingerichtet. Wenn ich mich mit dem Iphone dann über die Wireguard App mit dem gescannten QR-Code verbinde, habe ich keinerlei Zugriff aufs Internet (z.B. über Google Chrome) und auch keinen Zugriff auf meine Systeme wie z.B. meine Synology

Ok, aber niemand sagt, dass das mit dem Docker Container anders aussehen würde. Also exportiere mal die config in Text-Form und zeige diese hier, die Keys zensierst Du aber.

Und hast Du überhaupt eine von außen errechenbare IP-Adresse?

 

[landu89]

Meinst du die Config für einen Client oder die für den Server?

 

[BobbyD]

Meinst du die Config für einen Client oder die für den Server?

Für einen Client, aus der UDM.

Und hast Du überhaupt eine von außen errechenbare IP-Adresse?

 

[Senator Wurstbein]

OK, hmmm...also wie MT...macht dt. Glasfaser jetzt DS-Lite oder echten Dual Stack?

Weder noch, bei DG gibt es CGNAT.

 

[landu89]

Für einen Client, aus der UDM.

[Interface]
PrivateKey =
Address = 192.168.3.2/32
DNS = 192.168.3.1

[Peer]
PublicKey =
AllowedIPs = 192.168.3.1/32,192.168.3.2/32,0.0.0.0/0
Endpoint = 192.168.2.70:51820

So sieht das auch wenn ich mir eine Config runterlade.

Und so sieht es in der UDM aus:

Beitrag automatisch zusammengeführt: 07.11.2023

Weder noch, bei DG gibt es CGNAT.

Kann ich denn das Glasfaser-Modem direkt an die UDM-Pro anschließen?

 

[TheBigG]

[Interface]
PrivateKey =
Address = 192.168.3.2/32
DNS = 192.168.3.1

[Peer]
PublicKey =
AllowedIPs = 192.168.3.1/32,192.168.3.2/32,0.0.0.0/0
Endpoint = 192.168.2.70:51820

So sieht das auch wenn ich mir eine Config runterlade.

Mit der Config wird das niemals funktionieren, bei Endpoint muss deine Öffentliche IP rein

 

[BobbyD]

Endpoint = 192.168.2.70:51820

Die IP müsstest Du halt ersetzen gegen eine DDNS-Adresse, es sei denn, Du hast eine statische IP-Adresse, dann nimmst Du diese.

 

[Supaman]

Als UDP Port habe ich 51700 verwendet.

Im Screenshot steht der default WG Port von 51820.

Weiterhin:
1) wenn "0.0.0.0/0" eingetragen ist, prügel der Client ALLES durch das VPN. je nach Anwendung besser auf Netzte/IPs begrenzen, die man erreichen möchte.
2) Je nach Client und Anwendung ggf novh v6 ergänzen

 

[landu89]

Mit der Config wird das niemals funktionieren, bei Endpoint muss deine Öffentliche IP rein

Die IP müsstest Du halt ersetzen gegen eine DDNS-Adresse, es sei denn, Du hast eine statische IP-Adresse, dann nimmst Du diese.

Ah danke euch beiden. Ich habe die öffentliche IP eingetragen und einen Client hinzugefügt. Allerdings sind die Änderungen davor noch nicht gespeichert. D.h. ich muss erst ein Server erstellen, die öffentliche IP eintragen, dann speichern. Dann wieder öffnen und einen Client hinzufügen, sonst macht er das nicht.

Auf dem UDM geht es nun, allerdings muss ich die IP immer handlich ändern, ich habe eine DynDns Adresse, in der UDM kann ich leider nur IP Adressen eintragen und keine URL.

Im Screenshot steht der default WG Port von 51820.

Weiterhin:
1) wenn "0.0.0.0/0" eingetragen ist, prügel der Client ALLES durch das VPN. je nach Anwendung besser auf Netzte/IPs begrenzen, die man erreichen möchte.
2) Je nach Client und Anwendung ggf novh v6 ergänzen

Das bezog sich auf den Docker Container, den brauch ich somit nicht mehr, da ich direkt über die UDM gehen kann. Muss noch nur das Problem mit der IP Adresse lösen.

 

[BobbyD]

Auf dem UDM geht es nun, allerdings muss ich die IP immer handlich ändern, ich habe eine DynDns Adresse, in der UDM kann ich leider nur IP Adressen eintragen und keine URL.

Sicher, auch wenn Du DDNS direkt mit der UDM machst? Sollte aber egal sein, Du änderst die Config im Editor und lädst diese in deine App, kannst natürlich nicht länger den QR-Code benutzen.

 

[landu89]

Du meinst hier unter Dynamic DNS den Eintrag hinterlegen?

Ich habe jetzt in der Config Datei den DynDns Namen eingetragen und es funktioniert. Die Frage ist aber, ob es noch funktioniert, wenn ich eine andere IP bekomme, in der UDM ist die öffentliche IP Adresse hinterlegt, nicht der DynDns Eintrag

 

[ruezi]

'Create New Dynamic DNS' wäre hier ein Anfang.

Aber da die UDM Pro ja nur im lokalen Netzwerk liegt und eben keine öffentliche IP hat, wird das Vorhaben so nicht funktionieren

 

[BobbyD]

in der UDM ist die öffentliche IP Adresse hinterlegt, nicht der DynDns Eintrag

Einfach mal beobachten. Wenn es morgen nicht mehr geht, dann könntest Du statt der öffentlichen IP auch die private am WAN der UDM im VPN-Server speichern.

 

[Senator Wurstbein]

Kann ich denn das Glasfaser-Modem direkt an die UDM-Pro anschließen?

Nutze die udm nicht, aber grundsätzlich sollte das gehen - das sollte eine der Standardaufgaben der udm sein.

 

[landu89]

Ich hab noch die Möglichkeit Wireguard auf der Fritzbox direkt laufen zu lassen. Wenn ich das einrichte, bekomme ich keine Verbindung ins Netz der UDM. Fritzbox hat die 192.168.2.1 und die UDM das 192,168,10.x Netz. Müsste ich das an der Fritzbox einstellen, dass er auch auf das UDM Netz zugreifen kann? Bei der FB hätte ich das Problem nicht, meine IP dauernd anzupassen.

 

[BobbyD]

Bei der FB hätte ich das Problem nicht, meine IP dauernd anzupassen.

Welches Problem denn jetzt genau? Zeig doch mal die komplette Liste der möglichen IP-Adressen im WG-Server der UDM.

Das Problem hast Du auf beiden... und wenn deine Netze nun mal hinter der UDM sind, dann gehört da auch das VPN hin.

 

[landu89]

Welches Problem denn jetzt genau? Zeig doch mal die komplette Liste der möglichen IP-Adressen im WG-Server der UDM.

Das Problem hast Du auf beiden... und wenn deine Netze nun mal hinter der UDM sind, dann gehört da auch das VPN hin.

Dass ich meine öffentliche IP nicht bei jeder neu Verbindung anpassen müsste.