Problem: Unifi (UDR) baut Wireguard-Tunnel nicht auf

IPv64.net - Services
, ,
1

Servus Community,

Ich betreibe einen Unifi-Dream-Router (UDR) hinter einer Fritzbox 7530ax.
Ziel ist es, dass die UDR einen Wireguard-Tunnel im Client Modus zu einer entfernten Fritzbox (Wireguard-Server) aufbaut.
Die Client-Wireguard-Config wurde exportiert von der entfernten Fritzbox (WG-Server).
Standardmäßig akzeptiert UDR nicht die exportierte Fritzbox Client-Wireguard-Config. Zur Abhilfe habe ich die IPv6 Adressen in der Client-Wireguard-Config gelöscht. (siehe unten Orignal und Angepasst)
Versuche ich den Tunnel mit der UDR im Client-Modus aufzubauen bekomme ich folgende Meldung:

The XYZ.myfritz.net server is not reachable. Please check if the Server Address and Port are correct.

Checks & Setup:

  1. UDR hinter Fritzbox (Kein Doppel NAT. Routing zwischen UDR und Fritzbox)
  2. Standard-Routen auf der Firtzbox für IPv4 und IPv6 zur UDR hergestellt.
  3. Verbindung zwischen Fritzbox und UDR per IPv4 und IPV6 angebunden
  4. Clients im Unifi-LAN per IPv4 und IPV6 angebunden
  5. Der entfernte Wireguard-Server ist ebenfalls eine Fitzbox die per Inet (IPv6) erreichbar ist.
  6. Namens-Auflösung des entfernten Fritzbox WG-Servers (IPv6) aus dem Unifi-LAN ist OK getestet.
  7. Ein WG-Tunnel lässt sich ohne Probleme als Client (Arch/NetworkManager) im Unifi-LAN zum des entfernten Fritzbox WG-Servers aufbauen. (jeweils mit Original und Angepasster Client-WG-Config)

Jemand eine Idee was da faul ist ?

Danke
B3n3r

Original Export Fritzbox Client Config:

[Interface]
Address = 192.168.188.202/24, fd30:db48:aaa6::202/64
DNS = 192.168.188.1, fd30:db48:aaa6:0:d624:ddff:fe4e:6c2f, fritz.box
PrivateKey = Secret=

[Peer]
AllowedIPs = 192.168.188.0/24, 0.0.0.0/0, fd30:db48:aaa6::/64, ::/0
Endpoint = XYZ.myfritz.net:53845
PersistentKeepalive = 25
PreSharedKey = Secret=
PublicKey = PublicKey=

Angepasste Fritzbox WG-Client-Config für UDR (IPv6 Adressen gelöscht):

[Interface]
Address = 192.168.188.202/24
DNS = 192.168.188.1
PrivateKey = Secret=

[Peer]
AllowedIPs = 192.168.188.0/24, 0.0.0.0/0
Endpoint = XYZ.myfritz.net:53845
PersistentKeepalive = 25
PreSharedKey = Secret=
PublicKey = PublicKey=

2

  1. kannst du irgendwie auf der UDR ein nslookup XYZ.myfritz.net absetzen, um zu prüfen ob die UDR die korrete IPv6-Adresse der entfernten Fritte bekommt? The XYZ.myfritz.net server is not reachable lässt ja vermuten dass das so ist

  2. Wenn der Name korrekt zu v6 aufgelöst wird: welche Wireguard-Version hat deine UDR? IPv6 wurde nicht von Anfang an bei Wireguard unterstützt.

3

Danke für deine Rückmeldung. Der nsloookup hat funktioniert. Es scheint tatsächlich die Wireguard Version zu sein.

Laut Chat-Gpt:

Soweit sich die Community-Beiträge und offiziellen Hinweise decken: Nein, eine vollumfängliche Unterstützung von IPv6 als Endpunkt bei UniFi OS (z. B. Version 4.3.9) in Verbindung mit dem integrierten WireGuard-VPN auf UniFi-Gateways wird nicht als gegeben angesehen.

Das ist echt bitter. Ich bin noch nicht lange in dem Unifi Game, aber das ist echt Scheibenkleister.

Danke nochmals!