Ubiquiti Unifi Security Gateway Site 2 Site VPN untereinander aber wie ?

[MetalForLive]

Tag zusammen,

ich bin akutell dabei mein Ubiquiti Unifi Netzwerk zu erweitern, kurz zur Ist Situation:

Netzwerk A: Fritzbox, Server (auf dem unter anderem der Unifi Controller läuft), diverse Unifi APs
Netzwerk B: Fritzbox, Unifi Security Gateway, ein Unifi AP

Beide Netzwerke sind untereinander mit Fritz VPN verbunden, der Unifi Controller steht im Netz A und managed auch die Geräte von Netzwerk B.

So jetzt habe wir hier endlich 100.000 DSL und ich bin leider mit der Fritz VPN Performance überhaupt nicht zufrieden, es gehen maximal 11-12Mbit durch obwohl bei beiden Standorten ca. 35k Upload zur Verfügung steht.

Jetzt habe ich mir überlegt, schaffe ich einfach ein zweites USG für Standort A an und lasse das VPN zwischen Netz A und B über das USG laufen.
Im Controller kann man sogar ein Site 2 Site VPN automatisch konfigurieren lassen, in dem man einfach nur die "Site" angibt, mit der man sich verbinden will, siehe Screenshot.



Alles schön und gut aber jetzt frag ich mich gerade wie ich das Ganze technisch umsetzen soll.
Das USG an Standort B wird ja auch über den Controller in Standort A gemanaged, sobald ich aber das Fritz VPN abschalte hab ich ja aber keine Verbindung mehr untereinander welche ich ja brauche um das VPN aufzubauen.


Muss ich hier dann den Controller ins Internet hängen damit die Geräte vom anderen Standort darauf zugreifen können oder wie soll das gehen ?

Vielleicht hat hier jemand ja so einen Aufbau und kann mir erklären wie das genau ablaufen soll.

 

[smart-]

Habe ich das richtig verstanden, du verteilst das Internet von Netzwerk A nach B per VPN?

 

[MetalForLive]

Nein, beide Standorte haben einen eigenen Internetanschluss (Worüber auch das VPN läuft).

 

[chris2215]

Ich habe zwar keine Erfahrung damit zwei USG's per VPN zu verbinden, aber über den Controller setzt du doch die Konfiguration für die Sites und die USG's übernehmen dies. Die USG's arbeiten anschließend auch ohne Controller und sollten den VPN aufbauen.
Zur initialen Konfiguration müssen die Geräte in einem Netzwerk sein.

 

[MetalForLive]

Hmm, ja das hab ich mir auch schon gedacht.
Wenn ich auf beiden Dyndns konfiguriere und das funktioniert.
Dann konfiguriere ich das IPSEC VPN und trenne das Fritz VPN, müsste man dann so mal probieren.
Falls jemand noch input hat, immer her damit

 

[smart-]

Ah ja, war Denkfehler von mir.
Welche Performance wird denn derzeit erreicht?
Die Frage ist ja, ob die USG überhaupt eine wesentlich höhere Performance erreicht.

 

[MetalForLive]

Hab ich doch oben geschrieben, aktuell zwischen den Netzen 11, maximal 12 mbit.
Upload normal ins Internet erreiche ich an beiden Standorten ca. 35k.
Die VPN Verbindung wird ja von den Fritzboxen verschlüsselt und mehr schaffen die halt leider nicht.

Laut Datenblatt müsste das USG per Ipsec VPN meine 35k erreichen.

 

[XN04113]

dann brauchst Du aber auch neue DSL Modems mit Vektoring und da gibt es nur eins auf dem Markt

 

[mtbriderlm]

Warum machst Du den Tunnel nicht direkt über das USG?

 

[MetalForLive]

Du meinst von USG zu Fritzbox ?

 

[mtbriderlm]

Genau 😊 ich versuche gerade den Site to Site VPN mit zwei USGs hinter jeweils einer Fritzbox. Das Unifi System selbst bekomme ich ins Management aber ich will den Traffic von Netz 2 zum Netz 1 und dann ins www schicken

 

[MetalForLive]

Ja genau das selbe Szenario habe ich auch aktuell, nur das beide Netze schon ihren eigenen Internet Breakout nehmen sollen.
Ich habe aber die Vermutung, das die Fritzboxen da in die Suppe spucken, ich glaube ohne ein separates Modem wird das nicht klappen wegen Double Nat.
z.B. habe auf dem USG mal ein Dyndns eingetragen, der zeigt dann natürlich nur als WAN IP die interne IP der Fritzbox an.

 

[JSit]

Hallo MetalForLive, hast Du Deine beiden USGs mit einem VPN verbunden bekommen? Wir bist Du dabei schlußendlich vorgegangen? Hast Du an beiden Standorten eine dynamische IP und funktioniert das dann mit dyndns? Danke bereits im Vorfeld!
Jens

 

[MetalForLive]

Ich habe die Fritzboxen gegen billige TP Link Router getauscht und als Modem konfiguriert, die Einwahl ins Internet nimmt jetzt das USG selbst per PPPoE vor.
Das VPN ging dann auch per Dyndns aber nur bis zum IP change also ziemlich genau 24 Stunden.
Hab es schlussendlich aufgegeben und mache nun das Site 2 Site VPN über eine virtuelle Sophos Firewall, da an beiden Standorten ein Hyper Visor verfügbar ist.

 

[stabile]

Das von dir beschriebene Szenario ist möglich, jedoch benötigst du eine andere Herangehensweise. Da der Cloud Key die Geräte provisioniert, muss dieser unabhängig vom Standort erreichbar sein. Zwar wäre es möglich, die entfernte USG initial zu provisionieren, bei Störungen kannst du sie aber nicht mehr konfigurieren.

Also muss der Cloud Key von außen erreichbar sein. Man hostet den Cloud Key im Internet oder lokal auf einem für alle Sites erreichbaren Server und gibt dem entfernten Gerät eine andere Inform URL mit auf den Weg. Diese weist dem USG den Weg zum Cloud Key. Dieser muss über entsprechende Portweiterleitungen dann wiederum von außen erreichbar sein.

Ich habe das für einen Kunden mit mehreren Filialen so eingerichtet. Dort werden insgesamt 3 Sites mit einem zentral gehosteten Cloud Key gemanaged. So kann man wunderbar etwa WLAN Netze zentral über mehrere Standorte verwalten.

 

[MetalForLive]

Ja genau so habe ich es auch gelöst, hab aktuell 3 Sites verbunden.

 

[Zyrusvirus]

Das von dir beschriebene Szenario ist möglich, jedoch benötigst du eine andere Herangehensweise. Da der Cloud Key die Geräte provisioniert, muss dieser unabhängig vom Standort erreichbar sein. Zwar wäre es möglich, die entfernte USG initial zu provisionieren, bei Störungen kannst du sie aber nicht mehr konfigurieren.

Also muss der Cloud Key von außen erreichbar sein. Man hostet den Cloud Key im Internet oder lokal auf einem für alle Sites erreichbaren Server und gibt dem entfernten Gerät eine andere Inform URL mit auf den Weg. Diese weist dem USG den Weg zum Cloud Key. Dieser muss über entsprechende Portweiterleitungen dann wiederum von außen erreichbar sein.

Ich habe das für einen Kunden mit mehreren Filialen so eingerichtet. Dort werden insgesamt 3 Sites mit einem zentral gehosteten Cloud Key gemanaged. So kann man wunderbar etwa WLAN Netze zentral über mehrere Standorte verwalten.

Ich stehe ebenfalls grade vor der Herausforderung 2 Standorte miteinander zu verbinden.
Es sind zwei USG Pro vorhanden und jeweils ein dynamischer Anschluss.
Meine Frage ist, jetzt sagt ihr der Cloudkey / Controller muss öffentlich stehen.
Wie soll das gehen? Nutzt ihr dafür einfach den Onlineservice von UBNT, dass ihr auf beiden Seiten einfach den UBNT Onlineservice nutzt?
Wenn auf beiden Seiten ein normaler FTTH Anschluss mit dynamischer vorhanden ist, kann
man ohne Probleme ein Site to Site VPN aufbauen?
Danke euch schon einmal im Vorfeld.

 

[h00bi]

Meine Frage wäre warum ihr euch so drauf versteift andere Standorte über den gleichen WLAN Controller laufen zu lassen. Ich würde ins andere Netz einen RAsPi als Unifi Controller hängen, den kann man, wenn er dann da ist, auch für andere Sachen benutzen.

Aber zurück zu deiner Frage:
2x dynamische IP wird nicht klappen, zumindest nicht dauerhaft.
Du müsstest hier dann schon mit DDNS arbeiten.

 

[MetalForLive]

Meine Frage ist, jetzt sagt ihr der Cloudkey / Controller muss öffentlich stehen.
Wie soll das gehen? Nutzt ihr dafür einfach den Onlineservice von UBNT, dass ihr auf beiden Seiten einfach den UBNT Onlineservice nutzt?

Ich habe für den Host auf dem mein Controller läuft einfach ein Port Forwarding eingerichtet.
Ebenfalls nutze ich einen Dyn DNS Dienst, wenn ich ein neues Gerät an einem anderen Standort in Betrieb nehme, muss ich dort nur per SSH drauf zugreifen und den inform link auf meine Dyn DNS Adresse setzen, dann kann ich das Gerät im Controller aufnehmen.

Wenn auf beiden Seiten ein normaler FTTH Anschluss mit dynamischer vorhanden ist, kann
man ohne Probleme ein Site to Site VPN aufbauen?

Zu der Zeit als ich es versucht habe, war das nicht so einfach möglich, da Ubiquiti es nicht auf die Reihe bekommt mit DNS Namen anstatt mit festen IPs zu arbeiten.
Daher würde ich mir persönlich auch kein USG mehr kaufen, ich habe das Sit2Site VPN nun über eine virtuelle Sophos Firewall laufen.

Meine Frage wäre warum ihr euch so drauf versteift andere Standorte über den gleichen WLAN Controller laufen zu lassen.

1. Verwaltbarkeit - Ich habe nur einen Controller den ich verwalten, updaten warten etc. muss.
2. Fehleranfälligkeit - Ich habe nur einen Controller als Fehlerquelle und nicht drei oder mehr
3. Kosten - Für jeden Standort ein Raspi anschaffen ist zwar nicht die Welt aber es kostet trotzdem 50 -60€, dieser muss dann ebenfalls gewartet und administriert werden

 

[stabile]

@MetalForLive hat schon alles gesagt. Cloud Key in der "Zentrale" per Portweiterleitung nach außen freigeben, bei den anderen USG die Inform URL darauf setzen.

Im geschäftlichen Umfeld würde ich immer eine feste IPv4 buchen. Ist bei allen Business Verträgen Standard. Darüber dann eine DynDNS Adresse stülpen und fertig. Auf Dauer erspart man sich damit sehr viel Arbeit.

Bezüglich der Verwaltbarkeit sei noch gesagt, dass wenn man mehrere Standorte betreibt, es sehr viel mehr Arbeit ist, gleiche Bedingungen herzustellen. Das fängt bei der Benennung von Geräten an, geht über Firmwareupdates bis hin zu WLAN Zugängen oder der Fehlersuche.

Als Dienstleister habe ich ja nicht nur einen Kunden, sondern Dutzende. Da kann ich schon aufgrund einfacher Strukturen nicht alles doppelt und dreifach machen. Als Admin in der Firma mag das noch handhabbar sein.

Was aber richtig ist, ist dass die VPN SIte-to-Site nicht die allerbeste ist. Ganz ehrlich. Geht, läuft auch passabel. Mir wäre im Nachhinein ein Lancom VPN lieber gewesen. Andere nehmen Sophos. Ist dieselbe Liga. In deren Liga spielt Ubiquiti eben (noch) nicht.