Fritz Box 7530 ZX OS 7.57 - site2site - Unifi Gateway --- WireGuard

[carrer]

Versuche Wirequard site2site mit Fritzbox und unifi:

Ich erstelle auf der Fritzbox ein Site2Site VPN mit folgender VPN Config:

[Interface]
PrivateKey = ***
ListenPort = 52483 (überschreibt die Fritzbox immer)
Address = 192.168.10.1/24 (schreibt die Fritzbox immer dazu)
DNS = 192.168.10.1 (schreibt die Fritzbox immer dazu)
DNS = fritz.box (schreibt die Fritzbox immer dazu)

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 192.168.51.1/32,192.168.21.0/24
Endpoint = ***:51820
PersistentKeepalive = 1

Die Verbindung wird grün. Aber es sind keine Netzwerke erreichbar in keine Richtung erreichbar.

- Lokales Netz der Fritzbox ist: 192.168.10.0
- Remote Netz von Unifi: 192.168.21.0
- Transfernetz: 192.168.51.0 (Unifi Gateway ist 192.168.51.1)

1. Die Fritzbox trägt immer "192.168.10.1/24" (ihre Addresse im lokalen Netz) ein. Ich kann dort zusätzlich eine Addresse aus dem Transfernetz eintragen "192.168.51.2/32". - Dann ist auch weder das Transfernetz noch das remote Netz vom lokalen Fritzbox Netz erreichbar. Der Unifi Endpoint kann auch die Endpint Addresse 192.168.51.2/32 der Fritzbox nicht anpingen.
2. Ich kann beim Unifigateway dessen Endpoint auf 192.168.10.2 stellen, dass hilft auch nicht. Dann kann der Unifi Endpoint auch 192.168.10.1 nicht anpingen.

Bitte um Tipps. IPSec ist keine Option.

 

[Stationary]

ListenPort = 52483 (überschreibt die Fritzbox immer)

Die Fritzbox wählt solange einen neuen Port für Wireguard aus, bis mal eine Verbindung eingerichtet wurde. Ansonsten wird bei jedem Löschen der Verbindung beim nächsten Einrichten ein neuer Port oberhalb 50000 gewählt. Um das zu verhindern kannst Du erst einmal eine WG-Verbindung der Fritzbox mit einem Smartphone oder Tablet einrichten. Selbst dann, wenn Du die dann deaktivierst, bleibt der WG-Port zumindest festgesetzt, was den Vorteil hat, daß Du bei weiteren Experimenten mit der Unifi den Port der Fritzbox kennst und sich dieser nicht andauernd ändert.
Auf diese Weise legst Du dann ebenfalls den öffentlichen Schlüssel der Fritzbox fest, der änderst sich sonst nämlich auch jedesmal.

 

[carrer]

Ja vielen dank schon mal für den Tipp.

 

[blurrrr]

Hi,

kenne zwar das Unifi Gateway nicht, aber gibt es da ggf. noch Firewall-Regeln, welche die Zugriffe verhindern?

Das hier wäre eventuell auch noch relevant?

Tragen Sie beim Erstellen der WireGuard-Verbindung für die FRITZ!Box keine IP-Adresse aus einem Transfernetz (Intermediate-Adresse), sondern die lokale IP-Adresse der FRITZ!Box ein (z.B. 192.168.20.1, Subnetzmaske 255.255.255.0).

(Quelle: https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/)

 

[Stationary]

Da Du dann den Port und öffentlichen Schlüssel der FB kennst, könntest Du versuchen, die Verbindung zuerst in der unifi einzurichten, dort dann die config zu exportieren und die dann in die FB zu importieren.
Wieso ist das lokale Netz der FB eigentlich gleichzeitig 168.10.0 und 168.21.0?

 

[carrer]

192.168.21.0 ist natürlich das Remote Netz von Unifi. - Habe mich verschrieben.

Bei der Fritzbox kann man eben nur als Endpoint Addresse die lokale Addresse der Box eintragen, die Fritzbox hat keine Addresse im Transfernetz.

 

[blurrrr]

Hast Du denn auch eine entsprechende Regel auf dem Unifi-Gateway angelegt?

How can I send traffic over the VPN?​

After uploading the configuration file or manually filling the settings, apply the changes and the VPN Client connection will automatically establish. Traffic from devices is not automatically sent over the VPN however.

To send traffic from devices over the VPN, add a Traffic Route.

(Quelle: https://help.ui.com/hc/en-us/articles/16357883221015-UniFi-Gateway-WireGuard-VPN-Client)

 

[carrer]

Unifi wird mit config.gateway.json erstellt, da müsste alles passen ... Es liegt wirklich an der Box da es zwischen Unifi und Unifi funktioniert. Ich kann z.b. auf der Fritzbox auch bei Address noch eine Endpoint Addresse aus dem Transfernetz hinzufügen, so dass: Address = 192.168.10.1/24, 192.168.51.2/32 ist. Dann kann ich aber aus dem lokalen FB Netz selbst diese Addresse nicht anpingen.

 

[blurrrr]

Hast Du denn mal mit einem Traceroute geschaut, welchen Weg die Pakete überhaupt nehmen?

 

[carrer]

Mit der Config gehts jetzt. Der Public Key von der Box, der bei Unifi eingetragen war, hat nicht gestimmt.

[Interface]
PrivateKey = *
ListenPort = 52483
Address = 192.168.10.1/24
DNS = 192.168.10.1
DNS = fritz.box

[Peer]
PublicKey = *
PresharedKey = *
AllowedIPs = 192.168.51.1/32,192.168.21.0/24
Endpoint = *:51820
PersistentKeepalive = 1