Ubiquiti Security Gateway VPN einrichten

[MetalForLive]

Morgen zusammen,

ich habe mir ein Ubiquiti Unifi Security Gateway zugelegt, primär erstmal um mich damit auseinander zu setzen.
Momentan läuft es noch hinter einer Fritzbox.

Nun wollte ich mal testweise das Remote User VPN in Betrieb nehmen, leider klappt es aber nicht.
Ich bin eigentlich exakt nach der Anleitung von Ubiquiti vorgegangen:

Radius einrichten
VPN einrichten

Habe mir ebenfalls das Video von iDomix auf Youtube dazu angesehen, er hat es genau so gemacht.

Naja, bei mir klappt es aber nicht, weder über meine LAN IP im gleichen Netz, noch über meine öffentliche IP.

Ich habe nun das Bedenken, das es evtl. an meiner Netzwerk Konstellation liegen könnte, denn der Controller selbst befindet sich nicht im gleichen Netz.

In der Fritzbox selbst ist das USG als Exposed Host konfiguriert, somit sollte die Firewall der Fritzbox eigentlich nicht in die Suppe spucken. Aber wie gesagt, aus dem Internen Netz klappt es auch nicht.
Hat jemand evtl. eine Idee, wo hier das Problem ist ?

Folgend noch eine Zeichnung meines Netzes:




Edit: Die Fritzboxen sind per FritzVPN Site to Site verbunden.
Ziel ist es auf lange Sicht, auf beiden Seiten nur noch ein USG zu haben und das VPN darüber laufen zu lassen.

 

[d2boxSteve]

Grundproblem: in dem Moment wo auf der Fritzbox selbst VPN aktiv ist lässt die die ESP Pakete nicht mehr durch sondern fängt die selber ab, damit geht hinter einer Fritze mit aktiven VPN kein anderes IPSEC-VPN mehr, Nur so Sachen wie OpenVPN oder SSL.VPN gehen dann noch.

Haben das Problem hier auch in Firma ... Cisco mit VPN hinter Fritzbox gehr auch nur wenn VPN auf Fritze komplett deaktiviert ist.

Wiki: https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_.28ESP.29

 

[MetalForLive]

Ahh okay, was ein Mist.
Aber dann müsste es doch theoretisch aus dem Internen Netz trotzdem gehen, da die Pakete ja direkt zum USG gehen und nicht über die Fritzbox laufen.

Ansonsten muss ich mir dem nächst mal ein Modem zulegen um die Fritzbox abzulösen.
Wäre aber die Frage ob ich das USG Site to Site vorerst mit der Fritzbox im anderen Netz koppeln kann, da muss ich mir nochmal die Konfig ansehen.

 

[d2boxSteve]

Nur aus 192.168.20.0/24 weil das der "WAN" Bereich der USG ist. Nur da geht VPN.

Ergänzung (21. August 2017)

Du willst ja ins LAN rein.

Ergänzung (21. August 2017)

Die USG müsste eigentlich das VPN so einstellen können dass du damit den 2. Standort direkt verbinden kannst, ist ja nur eine Frage der Parameter. An der ersten Fritz VPN halt ausmachen.

 

[MetalForLive]

Ja von da aus habe ich es getestet und auch vom LAN Bereich, ging beides nicht.
Wenn ich die WAN IP des USG als VPN Gateway eintrage, sollten die Pakete ja aus dem LAN trotzdem nicht über die Fritzbox laufen bzw. von dieser abgefangen werden, da ja das USG die beiden Netze 192.168.20.0/24 und 192.168.21.0/24 routet oder hab ich hier ein Denkfehler ?

 

[d2boxSteve]

Hmm, hast du am 2. Standort eine feste IP? Ansonsten:

"I think, that my Mainproblem is, that the USG-Configuration only accept an IP and not a DynDNS-Address."

Ergänzung (21. August 2017)

Du darfst dich nicht in dem LAN befinden in das du rein möchtest ... das geht routing-technisch nie.

Der Test-PC muss eine Adresse im Netz 192.168.20.0/24 haben, und die 192.168.20.x des WAN Ports als VPN Gateway, nur dann kommst du ins LAN.

Ergänzung (21. August 2017)

In den 2. Standort kommst du so aber nicht, weil die Route der USG ja durch dein eigenes Netz geht. Da funktioniert der Rückweg dann nicht.

 

[MetalForLive]

Gut muss ich heute Abend nochmal testen wenn ich Daheim bin.

Eine feste IP habe ich nicht, habe einfach geguckt welche ich gerade vom Provider bekommen hatte, reicht ja zum testen erst mal.

Bin jetzt erst mal beim Kundentermin, würde mich sonst heute Abend nochmal melden.
Danke schonmal für die Hilfe !

 

[d2boxSteve]

Kein Ding, bin hier täglich am lesen. Kannst notfalls ja auch ne PM schreibe,

 

[Raijin]

Ubiquiti hat eine sehr aktive Community mit vielen versierten Usern. Ich persönlich kenne die USG nur aus dem Produktkatalog und ein paar Youtube-Videos, da ich auf die UniFi-Integration pfeife und stattdessen die EdgeRouter von Ubiquiti einsetze. Im ubnt-Forum wirst du wohl höhere Chancen auf eine Lösung haben als hier. Es sei denn hier findet sich tatsächlich jemand, der ein USG in der Form im Einsatz hat.

 

[MetalForLive]

Habs gerade mal getestet und mich ins 192.168.20.0/24er Netz gesteckt und eben versucht das VPN über 192.168.20.254 aufzubauen, ging aber trotzdem nicht.
Scheint also noch irgend ein anderes Problem zu sein.

 

[Raijin]

"Ging aber trotzdem nicht" heißt was? Gab es eine Fehlermeldung oder sonstige Hinweise darauf was nicht geklappt hat?

Ein semiprofessioneller Router wie die EdgeRouter bzw. USGs von Ubiquiti sind komplexer zu konfigurieren als Consumer-Router von TP-Link und Co. Die Firewall muss explizit eingerichtet werden und wenn man da was verkehrt macht, klappt es eben auch nicht. Ich hab mir das verlinkte Tutorial jetzt nicht angeschaut, aber wenn du etwas näher beschreibst was nu konkret nicht ging, hat man vielleicht eine Idee woran es liegen könnte

 

[MetalForLive]

Ja die Ports die benötigt werden hat das USG selbst in der Forwardingliste hinzugefügt habe ich gesehen.
Hatte jetzt gestern bemerkt, dass Windows sagt, es seie ein Authentifizierungsproblem, ich müsste mal den NPS auf meinem Windows Server aktivieren und versuchen diesen als Radius einzutragen.
Wobei das USG selbst diese Funktion ja auch zur Verfügung stellt, ich habe es auch wie von Ubiquiti beschrieben eingerichtet.
So sollte es eigentlich klappen.

Aber das Ganze hat nun auch aus dem Interen Netz geklappt, also er scheint zumindest von intern auf den VPN Service zugreifen zu können, nur die Authentifizierung scheitert wenn ich es richtig interpretiere.

Eventuell muss ich die Radius Ports 1812 und 1813 freigeben falls diese nicht freigegeben sind, wobei das USG ja selbst Radius macht, daher sollte es eigentlich auch so gehen...

 

[Raijin]

Ich habe selbst noch keinen Radius auf nem ER/USG eingerichtet, aber das reine aktivieren eines Dienstes hat nicht zwangsläufig zur Folge, dass automatisch Regeln für die Firewall definiert werden.

Ja, es gibt Wizards, bei denen das automatisch gemacht wird (zB Port Forward --> Erweitert --> automatisch Firewall), aber das muss nicht heißen, dass das auch beim Radius gemacht wird. Lieber nochmal genau hinschauen und zur Not manuell eine Regel hinzufügen.

 

[MetalForLive]

Wie gesagt, ich bin genau nach dem Guide von Ubiquiti vor gegangen, hab mir dann nochmal das Video von iDomix dazu angesehen, er hat es ebenfalls so gemacht und bei Ihm geht es.

Ich muss mir das bei Gelegenheit nochmal genauer ansehen, momentan stellt sowieso mein Windows Server im anderen Netz ein Remote VPN bereit über welches ich mich verbinden kann.

Aber es soll halt wie gesagt auf lange Sicht die beiden Fritzboxen abgelöst werden und durch ein USG ersetzt werden.
Dann sollte dort auch das VPN gehen.