VPN zu Unifi hinter Fritzbox

[Mr.Courious]

Moin Moin zusammen,

Ich habe vor kurzem mein Heimnetzwerk auf die Unifi-Serie von Ubiquiti umgestellt (Security Gateway, Switch, Cloudkey und 2 AP's). Mit der Einrichtung und Leistung bin ich bis jetzt sehr zufrieden. Die Fritzbox muss bleiben, da Sie Kabelmodem und DECT-Telefonserver bereitstellt. Leider gibt es eine Thematik, die ich nicht fertig bekomme -> Thema VPN:
Ich möchte eine direkte L2TP VPN-Verbindung ins Unifi-Netzwerk aufbauen. Die Config dafür ist bereits fertig. Jedoch ist der Weg "rein" anscheinend fehlerhaft. Das Security Gateway ist Client an der Fritzbox und als "Exposed Host" konfiguriert. Des Weiteren sind die IP-Bereiche im Unifi-Netzwerk auf der Fritzbox als IPv4-Routing eingetragen.

Habt ihr zufällig einen Tipp, was ich vergessen haben könnte?

 

[McClane]

Hat dein Anschluss denn IPv4?

 

[HominiLupus]

Zu 99% nutzt dein Kabelanschluß DSLite und hast damit keine öffentliche IPv4. Damit kannst du keine Serverdienste wie ein VPN bereitstellen.

 

[Mr.Courious]

hab ich vor einiger Zeit zurückstellen lassen auf klassisches IPv4.
Der Fritzbox Fernzugang funktioniert von anderen IPv4-Anschlüssen auch einwandfrei

 

[KingBeike]

Ich habe es selber so im Einsatz.

schau mal auf dem Youtube Kanal von iDomix, dort gab es eine gute Video Anleitung.


Allerdings funktioniert es bei mir nur über Android, mein Windows Laptop lässt sich nicht überreden, trotzt der gesetzten Protokolleinstellungen.

 

[Mr.Courious]

Wie kommst du denn vom internet aus direkt zum Unfi Gateway, bzw welche Adresse stellst du beim VPN-Client ein? Ist die Adresse die public ip deines Anschlusses oder meldet sich das Gateway an einem DynDNS-Dienst an?

 

[McClane]

Dann wären ein paar mehr Infos nicht schlecht. Z.B. woran scheitert es? Klappt die Einwahl nicht? Oder Einwahl geht aber kein Zugriff auf interne Geräte möglich?
Muss es IPSec sein? Warum kein SSL VPN?

Ergänzung (6. September 2017)

Wie kommst du denn vom internet aus direkt zum Unfi Gateway, bzw welche Adresse stellst du beim VPN-Client ein? Ist die Adresse die public ip deines Anschlusses oder meldet sich das Gateway an einem DynDNS-Dienst an?

Wenn du in der FB ein Exposed Host eingerichtet hast, werde alle Pakete zum Unifi geleitet. Diese ist dann erreichbar unter der öffentlichen IP.
Die FB kann aber auch selbst als IPSec Gegenstelle dienen. Nicht das evtl. der eigene Dienst stört dabei weil der noch aktiv ist.

 

[Mr.Courious]

IPSec ist im anderen Netzwerk, in dem ich arbeite, als einziges freigegeben. Da bin ich auch kein Admin.
Ich hab mal versucht das ganze etwas zu visualisieren:

 

[KingBeike]

Wie kommst du denn vom internet aus direkt zum Unfi Gateway, bzw welche Adresse stellst du beim VPN-Client ein? Ist die Adresse die public ip deines Anschlusses oder meldet sich das Gateway an einem DynDNS-Dienst an?

Ja genau, habe eine Domain bei Strato und die Fritzbox gibt die IP immer durch für die Domain.

Dann trage ich als Server immer meine Domain ein.

 

[Mr.Courious]

Ergänzung (6. September 2017)

Die FB kann aber auch selbst als IPSec Gegenstelle dienen. Nicht das evtl. der eigene Dienst stört dabei weil der noch aktiv ist.

Das könnte natürlich ein Grund sein. Darüber hab ich noch garnicht nach gedacht

 

[brainDotExe]

Wenn auf der Fritzbox eine IPSec VPN Verbindung eingerichtet ist, oder auch nur ein User der sich theoretisch per VPN einloggen könnte werden die entsprechenden Ports von der FritzBox belegt.
Habe ich letztens auch erfahren, als ich meinen nachgelagerten MikroTik Router als VPN Server eingerichtet habe.

 

[Mr.Courious]

Das werd ich auf jeden Fall deaktivieren, sobald ich wieder Zeit habe. Gestern Abend hab ich nochmal die Config überprüft und alles abgeglichen mit 2 Youtube-Howto's, allerdings kann ich nicht mal ne VPN-Verbindung aufbauen, wenn ich mich im Unifi-Netzwerk befinde -.- also geh ich davon aus, dass zunächst da das erste Ei versteckt liegt

 

[Mr.Courious]

Update: Hinter der Fritzbox hab ich keine Unifi VPN-Dienste zum laufen bekommen.. Bin jetzt gewechselt auf einen "klassischen" Kabelrouter, bridgemode aktiviert, und alles funktioniert wunderbar mit dieser Anleitung:
https://help.ubnt.com/hc/en-us/arti...P-Remote-Access-VPN-with-USG-as-RADIUS-Server

weiß zufällig jemand, wie ich per VPN auf Rechner innerhalb eines bestimmten vlan's zugreifen kann?
Also Beispiel: 192.168.3.2 ist die IP des per VPN eingewählten PC's 1, der sich in einer Workgroup mit dem PC2 der IP 192.168.2.10 befindet. Unter Netzwerkumgebung ist der PC2 von PC1 und umgekehrt aber nich zu sehen