Unifi OSPf - Integrierung von OVPN & WG Interfaces

General
1

Hallo zusammen,
als Anstoß von Dennis seinem Video: https://www.youtube.com/watch?v=Ej1dmSkPzNo

(Es ist mein erster Beitrag in dem Forum, vielleicht ist es daher noch für andere interessant)

Als Antwort auf sein erste Frage:
Das geht aktuell nicht via GUI. Die GUI ist limitierend.
Im Backend läuft jedoch ein beschnittenes FRR Package (Nur OSPFv2, kein OSPFv3 für IPv6).

Du gehst folgender maßen vor:

SSH auf dein Gateway.
Und dann:

vtysh
conf
router ospf
network [dein tunnel interface zb 10.255.255.0/30] area [LALAL]
interface [dein tunnel interface zb wgclt1 wgclt2]
ip ospf weight 1
ip ospf dead-interval 40
exit
exit
write

Gewichtung und Intervalle nach deiner Anforderung anpassen.

Weitere interfaces und networks hinzufügen bei Bedarf. FRR erkennt hierbei automatisch den Interface Type (z.B. PTP)

(In der vtysh console bleiben)
show running-config
show ip ospf neighbor
show ip ospf route

ggf. clear ip ospf process machen, falls er nicht will

Das ganze hält bis zu einem Update oder Neustart.

Site to Site VPNs über Wireguard, würde ich persönlich nie über WG Client machen. Das bringt einen entscheidenen Nachteil:
Das WGClient Interface landet für Incoming Traffic in der „Internet“ Chain für die Firewall Regeln. D.h., wenn du von Hetzner auf deine lokalen Netzwerke zugreifen möchtest, sind bei „Internet In“ zusätzlich zu den „Lan Out“ Regeln erforderlich. Das ist nicht sauber.
Wie das mit der ZBF FW aussieht, kann ich allerdings nicht sagen. Ich nutze das noch nicht, finde es noch zu Buggy.

Auf deine zweite Frage:
So wie du es gelöst hast, würde ich es auch machen. Ich würde allerdings noch explizit STP auf den betroffenen Switch Ports deaktivieren. Das kann in diesem Fall nur für Probleme sorgen und spammt unnötig STP Messages in deinen Traffic rein.

Ich kenne allerdings auch keine andere saubere Lösung. GGf. könnte man die vorhandene Bridge für das VLAN, die Interfaces für das jeweilige ETH reinmachen und etwas rumspielen. Solange solche Themen gut dokumentiert sind, spricht aus meiner Sicht nichts dagegen. Ich denke im Enterprise Segment werden auch andere Vendors eingesetzt mit anderen Technologien.

Beste Grüße

1 Like
2

Wie soll man die S2S-Verbindungen sonst machen? Ich hab das mit jemandem gehabt, das Problem. Es endete mit einem Container mit WireGuard dahinter.

3

Hi m-electronics,
„manuell“ - sofern man nur selten mal ein Reboot oder Update macht.

Die Kurzform:
SSH auf das Gateway

  • Interface mit allen notwendigen Tunnel IPs IPv4 und/oder IPv6 anlegen (ja manuell über ip link etc.)
  • WG Config erzeugen (das „schwierigste“ sind die Schlüssel) dabei, Config ins /root Verzeichnis packen (dort peristiert es auch nach OS, Network Updates etc.)
  • wg setconf [Interface] /root/[CONFIG]
  • Fertig

Das WG Package von Unifi ist auch irgendwie künsltich beschränkt, daher lege ich erst die Interfaces an, und dann mache ich die WG Config und verheirate sie dann mit dem Interface. Achtet bitte auch auf die MTU.

Entsprechendes Routing konfigurieren über Statische Routen oder OSPf, wie oben beschrieben.

Das kann man alles automatisieren in einem Skript, wenn man möchte.

Entsprechendes kann man auch machen, wenn man beispielweise VPN Provider einsetzt, z.B. Mullvad oder IVPN und man möchte auch IPv6 tunneln. Dann kann man dies mit ein paar Anpassungen auch machen.

Eine IPv6 PBR kann auch manuell erstellt werden. Das geht jetzt aber hier zu weit.

Man beachte allerdings - ganz wichtig - das sind Dinge die natürlich nicht von Ubiquiti supported werden. Wenn da Probleme entstehen, müsst ihr selber schauen. Aber mit ein wenig Verstand, funktioniert das.

Es wäre natürlich wünschenswert, wenn Ubiquiti das von Haus supported. Aber die lassen sich nicht in die Karten schauen, Roadmaps gibt es nicht / sind nicht öffentlich.

Beste Grüße

4

Ich bin Netzwerker und hasse deswegen UniFi total. Dann nehme ich lieber pfSense, MikroTik, VyOS wo ich mehr Freiheiten habe.

5

Was für eine perfekte Info. Werde ich heute Nachmittag sofort umsetzen und mich dann hier melden.

6

Hi m-electronics,

die Ubiquiti Unifi Produktfamilie hat ja auch eine andere Zielgruppe. Das ist nicht typisch an die Cisco CLI Netzwerker gerichtet, die jeden einzelnen Switch / Router einzeln konfigurieren möchten oder müssen.

Gerade für die einfachen Standards sind die Sachen vollkommen ausreichend und einfacher, als CLI gebingel auf jeden Switch machen zu müssen für ein neues VLAN, vorallem wenn man nur Unifi einsetzt, kann auch das Site Magic genutzt werden (Wireguard S2S) als Hub&Spoke oder Mesh VPN um deine Sites zu verbinden.

Die Produkte sind im Vergleich sehr günstig für die mögliche Bandbreite.

Sicher kann man pfsense Appliancen auf Mega Hardware machen. Aber die großen setzen da eher auf die Platzhirsche Cisco, Juniper, Palo Alto, vielleicht noch Fortigate etc. und das ist da auch vollkommen richtig. Das wäre aber auch nicht die Zielgruppe von Unifi.

Man muss da immer schauen, wer die Zielgruppe ist. Am Ende muss man das im eher Business Kontext sehen, wenn du eine kleine Büro Site hast und willst nicht viel managen oder besser gesagt einfach managen mit wenig FTE, ist beispielsweise die Unifi Produktlinie business technisch attraktiv.

Ist aber nur meine Meinung.

Beste Grüße

7

Aktuell habe ich noch das Problem das er die Default Route mit nimmt und ich dann einen Loop habe.
@Epica_Luxo

8

Hi
zu der zweiten Frage. Diesen aufbau solltest du vermeiden. Hab nichts mehr dazu gefunden obs behoben wurde. Aber folgendes problem Tritt bei der Variante auf, wenn du Modems mit eigenen DHCP auf einen VLAN Port auf einen Unifi Switch steckst.

Bei Neustart aller Komponenten, starten die Switche am schnellsten und suchen einen DHCP und nehmen dann einfach den vom Modem egal auf welchem VLAN der ist.

Danach ist der Switch nicht mehr von der Dream Machine/Controller zu erreichen oder wird erkannt.

Feste IPs haben leider dabei nicht geholfen. Einziges was ich beim Kunden nicht mehr getestet habe, ist bei komplett deaktiviertem DHCP in den Modems.

Ob das dann nicht mehr auftritt.

Villeicht testest du das mal bevor es mal zu was kritischem Ausfall kommt. :rofl:

9

Da hänge ich aktuell fest.

2025 Apr  5 19:05:52 UDMSE wireguard: wgclt1: possible loop detected, dropping skb of size 65216
2025 Apr  5 19:05:52 UDMSE wireguard: wgclt1: possible loop detected, dropping skb of size 65216
2025 Apr  5 19:05:53 UDMSE wireguard: wgclt1: possible loop detected, dropping skb of size 65216
2025 Apr  5 19:05:53 UDMSE wireguard: wgclt1: possible loop detected, dropping skb of size 65216
2025 Apr  5 19:05:53 UDMSE wireguard: wgclt1: possible loop detected, dropping skb of size 65216
10

Hi,
das Problem habe ich nie beobachtet, kann ich so nicht beobachten.

Es ist sehr wichtig, das VLAN getaggt zu lassen und alles zu blocken auf dem Switch.

Ich habe auch eine solche Konstellation wie Dennis für, da meine Console in nem anderen Raum ist.

  • 5G Modem Backup
  • Fritzbox (Nicht der gebridgte Anschluss) damit ich diese weiterhin managen kann.

Die Modems sind bei mir auf L3-Switche angeschlossen, wo ich auch entsprechende SVIs anlegen kann.

Ich nutze die VLANs der Modem-Netze dann u.a. für Spielereien in meiner vmware Testumgebung. Da ist dann das Modem-DHCP teilweise notwendig.

Ich habe allerdings auch SVIs angelegt fürs Routing in die Netze, falls ich die (Switch)LAN → (Console)WAN Verbindung nicht nutze.
z.B. mein Zyxel:
image

Auf dem L3-Switch:
image

Der nicht gebridgte Anschluss von der Fritzbox ist auch auf dem WAN, da teste ich gerade das DS-Lite von Unifi parallel.

Beste Grüße

11

Hi Dennis,

bitte mal Details darlegen. Ansonsten ist das nur herumstochern mit möglichen Glaskugel Effekt.
z.B.
show running-config Auszug aus der Console

Config auszug aus der pfsense „Configuration“ frr.conf

(Privates bitte rauskürzen)

Sehen sich beide Tunnel Interfaces, kannst du beides anpingen? Siehst du gegenseitig ospf traffic? (tcpdump -ni any proto ospf)

Hast du Firewallfreigaben gemacht? (pfsense, unifi)

Überlappen sich Bereiche?

Beste Grüße

12

Hier gehts ja nicht um L3 Switche von anderen Herstellern, sondern darum das hier ein Unifi Switch zum Einsatz kommt. Bei ungefähr Minute 6 zu sehen.

Dieses Problem tritt bei Unifi Switchen auf.

Statische IP Adressen werden beim Start Ignoriert wenn ein Fremder DHCP auf dem Switch anliegt. Egal auf welchem VLAN dieser getagt ist.

Dabei spielt es keine Rolle ob alle anderen VLANs geblockt waren.

13

Hi darkneo08,

Dann habe ich mich nicht klar ausgedrückt. Die L3-Switche sind auch Unifi Switche, in meinem konkreten Testfall aktuell:

  • USW Aggregation Pro (FB)
  • USW Enterprise 8 PoE+ (Zyxel)

Und ich kann dein beschriebenes Problem nicht bestätigen. Hier hilft es auch den Support zu melden, falls es in deiner Konstellation zu Problemen führt, dass dort anhand deiner bereitgestellten Support Files geschaut werden kann.

Es ist definitiv kein normales Verhalten :slight_smile:

Beste Grüße

14

Ah ok oben konnte ich das nicht rauslesen.

Das Problem trat auf bei einer Dream Machine Pro Max und einer Pro Max 16 PoE Switch.

Ich habs dann anders gelöst und seid dem nicht mehr testen können.

Hier wollte ich den Gast Zugang einer FritzBox erst über den VLAN Ziehen, für migrations zwecke und zur einfachen begrenzung der Maximal Transferrate.

Weil ich keinen weg gefunden hatte diesen als Second WAN zu begrenzen.

Z.B. bei einer 500Mbit Glasfaser zu sagen, das der Gast WAN maximal 250Mbit verbrauchen darf.

15

Ja, verstehe ich ja auch. Ich hätte ja gerne sowas wie ein UniFi-MikroTik. Also wo ich die Freiheit habe, wie bei MikroTik und die Einfachheit (alle Switche gleichzeitig konfigurieren lassen, bei gewissen Dingen) wie bei UniFi. MikroTik hat auch wohl so halb vor, einen Manager zu bauen…