Hallo Community, ich komme nicht weiter mit der VPN Konfiguration.. Habe jetzt neu die Internet Box 3 (IB3) zu Hause, mit Standardsetting 192.168.1.1 und eine Unifi DreamMachine (UDM) mit dem Netz 192.168.170.x Alle an der UDM angehängten Geräte haben also IP's im Bereich 192.168.170.xxx somit sollte kein Konflikt mit dem Netz der IB3 bestehen. Nun hätte ich gerne eine VPN Verbindung in die Firma. * Habe dazu in der IB3 DMZ aktiviert und auf die UDM leiten lassen Verbindung kam nicht zustande, daher: * Portweiterleitung erstellt für Port 500 + 4500, auf die UDM (Portweiterleitung erachte ich zwar als überflüssig, wenn DMZ aktiv ist, aber wollte es versuchen) * Statische Route erstellt: Ziel Netzwerk 192.168.170.0 und Subnetzmaske 255.255.255.0, auf UDM leiten lassen Blieb erfolglos. Was mache ich falsch? In der UDM sind auf beiden Seiten die richtigen IP Adressen und VPN Konfiguration eingestellt. VPN hat mit anderem Anbieter funktioniert (!), habe jetzt zu Swisscom gewechselt und es funktioniert nicht mehr.. Danke im Voraus für eure Unterstützung! Gruss

@"Zürcher"#1032124 danke für den Beitrag Da werden sie geholfen: [Sichere VPN-Verbindung - Hilfe | Swisscom](https://www.swisscom.ch/de/privatkunden/hilfe/internet/vpn-server.tab-internet-box-plus.html#)

Unifi DreamMachine VPN zu UDM in Firma

Zürcher

Hallo Community, ich komme nicht weiter mit der VPN Konfiguration..

Habe jetzt neu die Internet Box 3 (IB3) zu Hause, mit Standardsetting 192.168.1.1 und eine Unifi DreamMachine (UDM) mit dem Netz 192.168.170.x

Alle an der UDM angehängten Geräte haben also IP's im Bereich 192.168.170.xxx somit sollte kein Konflikt mit dem Netz der IB3 bestehen.

Nun hätte ich gerne eine VPN Verbindung in die Firma.

Habe dazu in der IB3 DMZ aktiviert und auf die UDM leiten lassen

Verbindung kam nicht zustande, daher:

Portweiterleitung erstellt für Port 500 + 4500, auf die UDM
(Portweiterleitung erachte ich zwar als überflüssig, wenn DMZ aktiv ist, aber wollte es versuchen)
Statische Route erstellt: Ziel Netzwerk 192.168.170.0 und Subnetzmaske 255.255.255.0, auf UDM leiten lassen

Blieb erfolglos.

Was mache ich falsch?

In der UDM sind auf beiden Seiten die richtigen IP Adressen und VPN Konfiguration eingestellt. VPN hat mit anderem Anbieter funktioniert (!), habe jetzt zu Swisscom gewechselt und es funktioniert nicht mehr..

Danke im Voraus für eure Unterstützung!

Gruss

Black Mamba

@Zürcher

danke für den Beitrag

Da werden sie geholfen:

Sichere VPN-Verbindung - Hilfe | Swisscom

Werner

@Zürcher

Damit man da überhaupt etwas dazu sagen, muss man zuerst noch einiges "aussortieren".

Aus Deiner Frage geht nicht klar hervor aus welchem Netz Du in welches andere Netz hineingreifen möchtest.

Mit Clients im Heim-UDM-Netz ins Firmennetz, oder mit Clients im Firmennetz ins Heim-UDM-Netz?

In welchem Netz hast Du den VPN-Server installiert?

Und was ist das für ein Firmennetz, ev. nochmals ein UDM-Netz im Bereich 192.168.170.0?

Und mit welchem VPN-Server hast Du überhaupt probiert, mit demjenigen der IB3 oder demjenigen der UDM?

Zürcher

Danke für den Input - ich möchte allerdings nicht mit einem Client auf die IB3, sondern VPN zwischen zwei UDM konfigurieren.

Zürcher

Hallo Werner

Danke für deine Antwort und Entschuldigung für meine mangelhafte Info.

Bislang hatte ich einen anderen Anbieter und dessen Modem im Bridge Modus. Da funktionierte das VPN zwischen der UDM in der Firma und der zweiten UDM zu Hause tadellos.

Ich konnte vom 192.168.170.x (Home) mit sämtlichen Geräten auf das Netz 192.168.250.x (Firma) und umgekehrt genauso.

VPN Server habe ich keinen! Die Verbindung kommt zwischen den beiden UDM zustande und dann hatte ich mit allen Geräten auf alles Zugriff (PC, Mac, NAS, Linux-Server).

Die IB3 hat aber keinen Bridge Modus, weshalb ich "vom DMZ einschalten" gelesen habe. Das genügt aber nicht. Die UDMs verbinden sich nicht miteinander.

Wer weiss warum?

Danke im Voraus..

Werner

@Zürcher

Danke für die zusätzlichen Infos welche die Situation jetzt klarer machen.

Was Du betreibst ist eine site-to-site vpn Installation um 2 Netze transparent miteinander zu verbinden und Du hast nicht "keinen", sondern sogar 2 VPN Server, nämlich jeweils einen pro UDM Gerät, welche dann direkt miteinander ohne Einbezug eines Clients kommunizieren können.

Die Spezialitäten der UDM VPN Server kenne ich selbst nicht, da müsste Dir ein UDM-Spezi helfen, aber den Unterschied vom Bridge Modus eines beliebigen anderen Anbieters zum DMZ-Modus der IB3 kann ich kurz darlegen.

Bei einem Bridge Modus besteht keine NAT-Grenze und das als reines Modem funktionierende Internetzugangsgerät leitet die öffentliche IPv4-Adresse direkt an die UDM weiter.

Eine Internetbox im DMZ-Modus funktioniert aber immer noch im Routermodus und leitet die öffentliche IPv4 nie an die UDM weiter. Der von Dir erwähnte DMZ-Modus ist lediglich eine Komfortfunktion um nicht einzelne spezifische Ports durch die NAT-Grenze hindurchleiten zu müssen.

Handelt es sich z.B. um einen L2TP VPN Server kann man also entweder die dafür spezifisch benötigten Ports UDP 500, 1701, 4500 auf die UDM manuell weiterleiten, oder man defininiert auf der IB gleich die DMZ auf die UDM, was dann gleich alle, ausser den von der IB selbst benötigten Ports, auf die UDM weiterleitet.

Falls das mit dem DMZ-Modus oder den manuellen Portweiterleitungen nicht ausgereicht hat die site-to-site Verbindung herzustellen, würde ich sehr stark vermuten, dass das Problem bei dem für die Heim-UDM verwendeten DynDNS-Service liegt, denn falls dieser Service bei Dir direkt durch die UDM nachgeführt wird, ist da bedingt durch die NAT-Umsetzung der Internetbox nie eine öffentliche IPv4 drin und in der Folge daraus wird die "Firmen-UDM" Deine "Heim-UDM" via Internet gar nie finden können.

Näher anschauen sollte Du Dir also den DynDNS-Teil der UDM VPN Server.

Zürcher

Hallo Werner

Vielen Dank für deine ausführliche Antwort. Deine Erklärung ist super. Du nimmst dir alle Mühe mir zu helfen - dankeschön!

Da ich die öffentliche IP beider Standorte in den jeweiligen Settings der UDM einpflege (und kontrolliert habe, dass die noch stimmen) behaupte ich, dass es nicht an deiner Schilderung liegt. Ich benutze keine DynDNS Dieste, sondern pflege die IPs direkt.

Ich denke auch, dass das Problem wie von dir beschrieben an der Router Funktion der IB3 liegt, wenn es im Bridge Modus (früherer Anbieter) funktioniert hat. Daher glaube ich auch, dass es ein Problem der IB3, sprich Swissom ist und nicht vom Hersteller der UDMs (Unifi Ubiquiti).

Werner

@Zürcher

Grundsätzlich ist es schon möglich auch hinter einer IB3 und mit doppeltem NAT einen VPN Server im eigenen kaskadierten Netz zu betreiben.

Mache das selbst im eigenen Netz mit Unterstützung eines direkt von der IB3 nachgeführten DynDNS (konkret: NO-IP) und einer manuellen Portweiterleitung der eingehenden Verbindungen aus dem Internet von der IB3 auf die Appliance, auf welcher der Open VPN Server läuft.

Welche zusätzlichen Seiteneffekte und Querabhängigkeiten die Kombination von IB3/Doppeltes NAT/UDM-site-to-site VPN aber auch noch bringt, weiss ich nicht.

Eine kurze Google-Recherche hat ergeben, dass es international aber durchaus UDM-Anwender gibt, welche darüber berichten, dass sie UDM-site-to-site VPN trotz doppeltem NAT zu Laufen gekriegt haben.

Falls das Thema für Dich wirklich wichtig ist, kannst Du m.E.in zwei Richtungen weiter forschen:

- Weg 1: Vertiefe die Internetrecherche zum Thema UDM site-to-site VPN in Kombination mit Double NAT

- Weg 2: Gehe zurück zu Deinem ursprünglichen Konzept, verzichte auf den Einsatz der IB3 und ersetze sie mit einem reinen Modem oder einem Fremdrouter, welcher auch den nativen Bridge Mode unterstützt.

Abhängig von Deiner Swisscom-Anschlussart (VDSL2, g.Fast, P2P FTTH, P2MP FTTH (XGS-PON) und den von Dir auf dem Swisscom Netz benötigten Services (naked Internet, Festnetz, Swisscom TV) muss das Produkt dann aber auch wirklich massgeschneidert passen, weshalb es dazu auch keine generellen Empfehlungen geben kann.

Ausser bei P2P FTTH bin ich selbst übrigens immer sehr zurückhaltend mit der Idee, die Provider-eigene Modemfunktion ersetzen zu wollen, denn bei jedem weiteren Netzausbau der Swisscom läuft man dann Gefahr, dass das eigene "Modem" dann auch wieder nicht mehr passt.

P.S.: Nur noch so als Nachtrag: Dynamische IP Adressen manuell nachpflegen, solltest Du mal noch gelegentlich durch eine komfortablere, weniger fehleranfällige und stabilere Lösung ersetzen…