Wireguard Unifi DreamMachine + Fritz.Box 7530

[J E Y P E E]

Hallo zusammen,

ich versuche aktuell zwei Standorte miteinander zu verbinden. Das klappt aber leider nur teilweise (einseitig).
Es ist immer nur ein Ping in eine Richtung möglich. Eine Route an der Fritz.Box lässt sich leider nicht eintragen.


Standort-1: Unifi Dream Machine (10.0.6.0/24)
Standort-2: Fritz.Box 7530 (10.1.1.0/24)

Bis vor kurzem habe ich vom Standort 1 eine Wireguard Verbindung zur Fritz.Box hergestellt. Ping zum neuen Standort 2 ging hin aber nicht von Standort 2 zurück. An der Fritz.Box konnte ich auch keine Route hinterlegen (Fehlermeldung nicht möglich - nicht näher bezeichnet).
Jetzt habe ich den Spieß umgedreht und versucht eine Site-To-Site Verbindung (Fritz.Box) mit folgender Konfiguration an der FB importiert:

[Interface]
PrivateKey = AbCdEfGhIjKlMnOpQrStUvWxYz
Address = 10.0.11.11/32
DNS = 10.0.11.1,10.1.1.1

[Peer]
PublicKey = LeOAGbOHo5UNYQRwQpR5uwwADsfzaOlLNbalu6nl0=
PresharedKey = BliBlaBlubYMoNkeyKNJNTF4KJcwxwKoOLFVKmg=
AllowedIPs = 10.0.11.1/32,10.0.11.11/32,10.0.6.0/24
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

Somit ist die DM der Server und die FB ja eigentlich der Client. Jetzt geht der Ping vom Standort 2 zu Standort 1 aber ich hab das Problem auf der anderen Seite. Ich habe auch eine Route eingerichet 10.1.1.0/24 > 10.0.11.11 - es geht dennoch nicht. Ich hab es auch mal mit 10.0.11.1 probiert aber das geht auch nicht. Richtig müsste ja die 10.0.11.11 sein.

Im Standort-1 kann ich bis zu 10.0.11.11 pingen, aber schon 10.1.1.1 (FritzBox) geht nicht.
Mit "tracert" komme ich nicht weit. Da kommt direkt von der DM das der Zielhost nicht erreichbar ist bei Hop 2.
Nun zu den Fragen.

Ist die Konfiguration (WireGuard) so richtig oder müsste noch etwas eingetragen werden ?
Wo könnte ich an der Dream-Machine noch etwas einstellen ?

Habt Ihr noch Ideen wo ich suchen muss oder wie ich am besten vorgehen könnte ?

PS: Ach ja, es funktioniert auch alles wenn ich beide Wireguard Verbindungen aktiviere, aber so ist das ja eigentlich nicht gedacht.
Standort-1 (Server) - Stanort-2 (Client) Problemfall
Standort-1 (Client) - Standort-2 (Server) Alte Verbindung

 

[till69]

Mit FB vergiss das Transportnetz (10.1.11.0/24)

Erstelle die Verbindung auf der FB (entferntes Netz 10.0.6.0/24)

Im Export für Standort-1 dann editieren:
Address = 10.1.1.1/32
AllowedIPs = 10.1.1.0/24

Sag Bescheid obs klappt

PS: Ping Test am besten von 10.0.6.10 zu 10.1.1.100

 

[VDC]

Wsa spricht gegen 08/15 Site2 Site mit IPSec? Sollte selbst der Consumerkram hin bekommen.

Ansonsten, warum das Transfernetzwerk? Würde das auch entsprechend wie Till rausnehmen.

 

[till69]

Was spricht gegen 08/15 Site2 Site mit IPSec?

Auf Seiten der Fritzbox ist IPsec ein Krebsgeschwür und grottenlahm.

 

[J E Y P E E]

Wie gesagt, anders herum hab ich es auch schon eingerichtet geht aber genauso wenig.
Da sieht die Konfig aktuell so aus [Standort-1]:

[Interface]
PrivateKey = PrivateKEYasjaeoSDF4j4jjjkjs33s5
Address = 10.1.1.100/24
DNS = 10.1.1.1,10.0.11.1

[Peer]
PublicKey = PublickEYasdflasjfljöjaskldjfölj
PresharedKey = Presharedkeysadkjw0OOIJO=
AllowedIPs = 10.1.1.0/24,10.0.6.0/24
Endpoint = cryptisch.myfritz.net:57281
PersistentKeepalive = 25

Leider ist es da eben genau anders rum. Ich kann von Standort-1 aus pingen und von Standort-2 aus nicht. Und hier bekomme ich auch keine Route in die Fritz-Box eingetragen.

Wenn beide Tunnel aktiv sind gehen natürlich auch beide Pings - aber das ist ja gaga.

Ergänzung (23. Dezember 2024)

Mit FB vergiss das Transportnetz (10.1.11.0/24)

Erstelle die Verbindung auf der FB (entferntes Netz 10.0.6.0/24)

Im Export für Standort-1 dann editieren:
Address = 10.1.1.1/32
AllowedIPs = 10.1.1.0/24

Sag Bescheid obs klappt

PS: Ping Test am besten von 10.0.6.10 zu 10.1.1.100

Also wenn ich es so einstelle geht es ebenso nicht. Und die 10.1.1.1 ist plötzlich nicht mehr die Fritz.Box sondern die UDM. Das passt leider gar nicht !
Wenn man die Client-Configs an der FB erstellt dann bekommen die Adressen ab 10.1.1.100 zugewiesen (TunnelIP). Und mit den anderen Verbindungen (Smartphone, PC klappt das dann auch). Aber das ist eben eine Einfache Verbindung (Client -> Standort-2). Hier geht eben die Rückverbindung (Client <-> Standort-2) nicht.

 

[till69]

Also wenn ich es so einstelle geht es ebenso nicht. Und die 10.1.1.1 ist plötzlich nicht mehr die Fritz.Box sondern die UDM. Das passt leider gar nicht !

Hast Du mit der Config den Ping von 10.0.6.10 zu 10.1.1.100 getestet?

Und hier bekomme ich auch keine Route in die Fritz-Box eingetragen

Auf Seiten der FB geht das Routing über "Allowed IPs = 10.0.6.0/24". Mehr ist dort nicht nötig.
Dein Routing-Problem ist auf der UDM.

 

[Bob.Dig]

Auch wenn es vermutlich schon gesagt wurde, die FB gibt der WireGuard-Verbindung keine IP-Adresse, das brauchst du auch gar nicht versuchen nachträglich reinzudoktern. Auf der anderen Seite kannst Du eine IP-Adresse vergeben, das kann dann für Gateway-Monitoring genutzt werden, zumindest mit einer *Sense. Keine Ahnung, ob die UDM damit was anfangen kann...

 

[J E Y P E E]

Also lt. Ubiquiti Support geht das gar nicht und ist auch nicht so "designed". Sie empfehlen die Site-To-Site IPSec Verbindung. Nach langem rumdoktoren steht die auch, ermoglicht aber weder einen Ping noch sonst irgendetwas - wird lediglich als OK in der UDM und der Fritz.Box angezeigt. Hilft also auch nicht.
Ich werde wohl die Client-Verbindung zur Fritz.Box von Standort 1 belassen und und von STandort 2 aus die benötigten VErbindungen über Wireguard und OpenVPN seperat erstellen (vom Server). Dann geht eben beides über einzelne VPN-Verbindungen.

 

[Z!mTst3rN]

Ich finde das auch schade, dass es so kompliziert ist. Ich hatte hier einen anderen Thread offen und wollte dort Wireguard Vpn zwischen beiden Fritzboxen laufen lassen, weil das Unifi Cloud Gateway erst hinter den Fritzboxen hängt. Hat aber auch nicht zum Erfolg geführt. Im Internet gibt es diverese Anleitungen, aber geklappt hat es bis jetzt bei mir auch noch nie. Einzig die Vpns von sonstigen Geräten funktionieren.

Wobei es eigentlich seltsam ist, dass nicht mehr Leute für dieses Problem eine Lösung benötigen.

 

[J E Y P E E]

Im Internet gibt es diverese Anleitungen, aber geklappt hat es bis jetzt bei mir auch noch nie. Einzig die Vpns von sonstigen Geräten funktionieren.

Bei mir hängt die UDM zwar auch hinter der Fritz.Box allerings an einem Bridge-Port mit eigner IP.
Evtl. hilft Dir ja der Link, wobei der Dennis das über zwei eigne WG-Server gelöst hat und vollen Zugriff darauf hat, was bei der FritzBox ja leider nicht der Fall ist...
...ich scheu mich hier insofern ich die IDs der Netzwerkadapter nicht kenne und bei der UDM die Garantie dahin ist wenn man sich per ssh einloggt.

 

[J E Y P E E]

So, ich bin im Adminforum fündig geworden.

Hier die Lösung für die FritzBox:

[Interface]
PrivateKey = <<<Private-Key>>>
Address = 10.1.1.1/24
DNS = 10.0.11.1,10.1.1.1

[Peer]
PublicKey = <<<Public-Key>>>
PresharedKey = <<<Preshared-Key>>>
AllowedIPs = 10.0.11.1/32,10.0.6.0/24
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

1. Bei Fritz.Boxen als Client muss als Adresse die lokale Adresse der FritzBox stehen (10.1.1.1 beim Netz 10.1.1.0/24) und eben auch mit "/24" dran !
2. FritzBoxen mögen es scheinbar gar nicht wenn Kommentare in den Wireguard Konfigurationsdateien enthalten sind - diese entfernen !

Hilfreiche Artikel:
Administrator.de - Wireguard