Fritzboxen Site to Site mit Unifi weiternutzen

[Z!mTst3rN]

Hallo liebes Forum,

ich benötige für mein Setup die Hilfe der Netzwerkexperten, da ich nicht durchblicke, an welchen Punkte ich welche Einstellungen setzen muss.

Vorab: Ich nutzte die ganze Zeit eine Fritzbox 7590 am Standort A, die per Wireguard Site to Site mit einer Fritzbox 7590 am Standort B gekoppelt war. Das ganze funktionierte einwandfrei.

Nun habe ich aber hinter die Fritzbox ein Unifi Cloud Gateway Ultra eingebaut, welche an Lan 1 der FB hängt und im Wan Port des Unifi Cloud Gateways endet.

Gerne würde ich nun das bestehende Wireguard VPN der beiden Fritzboxen weiternutzen.

Doppeltes Nat ist nicht mehr vorhanden, ich habe Nat im Netzwerkcontroller der Unifi ausgeschaltet und in der Fritzbox bei Standort A eine IPv4 Route erstellt und somit das Unifi Netzwerk bekannt gemacht.

Die Netze haben folgende IP Bereiche:

Fritzbox Standort A: 192.168.0.0/24

Fritzbox Standort B: 192.168.2.0/24

Unifi Router: 192.168.0.0/24
Unifi Wanip: 192.168.0.78 (fest)

Im Internet finden sich diverse Anleitungen, die aber nur zum Teil verstehe.

Welche statischen Routen müssen bei Unifi gesetzt werden?
Wie muss die Firewall dort geöffnet werden? (wan in, lan in?)
Wie müssen die Wireguard Configs angepasst werden? (allowed Ips in cfg Standort B ändern?)
Braucht Standort B eine statische Rückroute?

Für euch sicherlich einfach, aber leider fehlt mir hier das Grundverständnis.

Die Möglichkeit, Unifi per exposed Host in der FB freizugeben und die VPNs direkt auf der Unifi zu erstellen, ist mir bekannt, soll aber hier unbeachtet bleiben, da der Wireguard Tunnel der beiden FBs ja grundsätzlich perfekt läuft.

Ich bedanke mich bereits im Voraus für eure Hilfe und Mühe, die ihr in dieses Forum steckt.

Liebe Grüße

 

[Simanova]

An beiden Standorten in der jeweiligen Fritzbox:

• Fritzbox -> Heimnetz-> Dem USG einen Namen und eine statische IP verpassen
• Fritzbox -> Internet -> Freigabe -> Portfreigaben -> Exposed Host auf das USG setzen
• Wireguard und andere aktive VPN Verbindungen auf Fritzbox deaktivieren
• VPN zwischen den beiden USG aufbauen

Deine beiden USG bilden nun einen Tunnel und verbinden beliebige lokale LAN Ports / LAN Netzwerke

Ansonsten gäbe es nur die Einwahl von einzelnen Clients via VPN auf die USGs.

 

[Z!mTst3rN]

Hallo Simanova,

danke für deine Antwort, die aber leider am Thema etwas vorbei geht. Es existiert erstens nur eine USG und zweitens wäre es mir lieber, dass der bestehende WG Tunnel der Fritzboxen genutzt wird, s. vorletzter Absatz.

 

[ms007]

Welche (Routing-) Aufgaben soll das Unifi Gateway denn erledigen?

 

[h00bi]

Der (meiner Meinung nach) einzig sinnvolle Einsatz wäre, die multiplen WLANs der Unifi APs zu verwalten und zu routen.

Für euch sicherlich einfach, aber leider fehlt mir hier das Grundverständnis.

Eigentlich nicht, du versuchst zu "murksen".
Ein CGU und andere professionelle Routinglösungen wollen einfach nicht hinter einem Consumer Router betrieben werden. Du musst dir workarounds ausdenken, weil der Einsatz so nie vom Hersteller vorgesehen war.

Besorg dir ein reines VDSL-Modem und entferne die 7590 am Standort A.
Dann kannst du mit etwas Handarbeit auch ein site-to-site zwischen dem CGU an Standort A und der 7590 an Standort B aufbauen.

 

[Z!mTst3rN]

Ja das Thema ist, dass die Fritzbox ohnehin noch da ist und Telefonie macht und in einem Jahr der Glasfaseranschluss kommt und das CGU dann direkt angeschlossen werden könnte. Daher lohnt sich der Kauf eines Draytek oder ähnlichen Gerätes nun eigentlich nicht mehr. Dann werde ich wohl doch die Lösung mit exposed Host versuchen.

@ms007 : Das UCG wurde angeschafft, weil ich verschiedene VLANs benötige, da ich nun Außenkameras einsetze und die rein lokal erreichbar sein sollen, aber auch Arbeitsgeräte von anderen Geräten isoliert werden sollen.

 

[h00bi]

Für Telefonie brauchst dann zukünftig sowieso eine andere Lösung.
Auch die VPN Lösung müsstest du dann mit dem Glasfaseranschluss so umbauen wie ich vorgeschlagen habe.

Was für einen Anschluss hast du an Standort A?
Geschwindigkeit und ob vollwertiges Dual Stack anliegt wäre relevant.
für ein VDSL 100 tuts evtl. auch ein gebrauchter Speedport im Modem-Modus für wenige Euro.
Hätte auch den Vorteil, dass du bei der Glasfaserumstellung quasi nur das Kabel vom VDSL Modem ins Glasfasermodem umstecken musst.

 

[Z!mTst3rN]

Dort ist ein 100/40 Anschluss der Telekom mit echter Ipv4 vorhanden. Ja dann muss ich mal sehen, ob ich dort einen Speedport davorsetze.

Telefonie wird auch zukünftig die FB machen, dann eben weiter hinten in der Kette.

Da hast du Recht, hatte gedacht durch einige wenige Settings das Setup so weiterlaufen lassen zu können. Bei anderen läuft es so auch erfolgreich, gesehen im administrator Forum, leider kann ich aber einzelne Schritte nicht komplett nachvollziehen.

 

[norKoeri]

Draytek oder ähnlichen Gerätes

Wie @h00bi schon andeutete, bekommt man teilweise geschenkt …

Doppeltes Nat ist nicht mehr vorhanden

Der Tipp geistert aktuell in den UniFi-Foren umher, ist aber …

Wie muss die Firewall dort geöffnet werden? (wan in, lan in?)

Wüsste ich jetzt auf Anhieb auch nicht. Kommst Du überhaupt auf den UCG-Ultra, also wenigstens dessen lokale Web-Oberfläche?

 

[Z!mTst3rN]

Also ich habe gerade mal die UCG als exposed eingestellt und konnte im Netzwerkcontroller problemlos einen Wireguardserver erstellen und per Handy darauf zugreifen. Jetzt muss ich mich noch einlesen, wie ich dort eine Verbindung zur Fritzbox am Standort B hinbekomme.

Dyndns macht weiterhin myfritz.