Hallo zusammen,
das neue Feature Cloud Router / VPN Gateway passt sehr gut in meine veränderte Hardware Situation in den letzten Tagen (FritzBox 5530 raus, UDM Pro rein).
Bisher hatte ich das VPN über die FritzBox 5530 und Wireguard gemacht, lief problemlos, solange man IPv6 hatte bzw. durch irgendeine Einstellung habe ich es glaube sogar hinbekommen, dass es mit IPv4 Adresse ebenfalls funktioniert.
Aus den Kommentaren hier und in Youtube lese ich raus, dass viele dieses Szenario haben und nicht genau wissen was zu tun ist bzw. es dann irgendwann hängt. Ich dachte mir, ich biete mein Szenario an um das mit der Community zum Laufen zu bekommen. Wenn ich es soweit geblickt habe schreibe ich auch gerne ein How-To dazu.
Folgendes Szenario:
Heimnetzwerk gemanaged durch UMD Pro mit Netzwerken 10.0.0.0/8
Zugriff von versch. Endgeräten (bei mir Mac, Windows, Android) von außerhalb des Heimnetzes auf das Heimnetzwerk (zum Test über Handy Hotspot vom Telekom-Vertrag) um Home Assistant zu erreichen, die NAS zuzugreifen, später mobil mit pi-hole zu surfen (keine Werbung), …
Free Account mit nur einem Cloud Router und VPN Gateway
Der Einfachhalber bleiben wir mal bei der Erreichbarkeit des Netzwerkes 10.0.0.0/24 und dem Versuch die UDM Pro unter 10.0.0.1 über VPN zu erreichen.
Ich würde es gerne zuerst mit dem Free Account versuche, wenn man unbedingt zwei VPN Gateways braucht, upgrade ich auch gerne.
Ich poste hier meine aktuelle Config:
Cloud Router
Was ich schon mal berichten kann, ist, dass man die Peer IP für die Unifi nicht im 32er Subnetz anlegen sollte. Tunnel ist bei mir dann nicht lauffähig und es kommt zum Request Timeout, wenn ich versuche die VPN Gateway IP anzupingen. Aber im 24er geht es dann, z.B. 10.7.0.2/24 für die Peer IP.
Um den Thread hier (für mich) abzuschließen:
Das Video von Dennis zeigt genau diese Konfiguration und funktioniert bei mir auf Anhieb (auch mit mehrere /24 Netzwerken). Ich habe die bestehenden Peers im VPN Gateway sowie auf den Devices (UDM und Client) gelöscht und von neu angefangen.
Bei mir kann ich aktuell weder die 10.7.0.2 noch das dahinterliegende Netz anpingen.
Bei meiner UCG habe ich wie im Video von Dennis 1:1 alle Regeln und Konfiguratioen befolgt. Hier kommt wenigstens der ping und auch tracert bis zur internen UCG Adresse durch, aber auch weiter nicht.
Habe bereits auch schon komplett alles gelöscht sowie den Clout Router komplett neuaufgebaut und hänge weiterhin. Auch das wechseln auf dem Cloud Router zu S2S hat keine besserung gebracht.
Hi!
soviel wie ich mittlerweile davon verstehe (was immer noch lang nicht vollständig ist) schaut es bei dir ganz gut aus.
Schick mal bitte noch ein Screenshot der Peer Configuration von einem Client von dir rein.
Ich habe die ICMP Regel immer noch aktiv, bin mir aber gar nicht sicher ob die noch notwendig ist oder über die im Video gezeigten Regeln (die mMn. „umfangreicher“ sind) vllt. obsolete geworden sind.
Du bist bei deinem Screenshot wo du nach ICM suchst zu weit oben bei der Regel. Das kommt erst unten bei „IP Version“ und „Protocol“, siehe:
Also erstes möchte ich danke sagen für deine freundliche und sehr hilfreiche Antwort.
Ich war Blind, du hast recht. Natürlich muss man unter dem richtigen Abschnitt suchen.
Das Problem lag bei mir (Ping von Zuhause zur UCG und umgekehrt) nicht am ICMP, sondern an einer eingeschlichenen Blockierung durch meine Incoming Rules und zwar wurde die IP 185.91.127.81 blockiert. Seit dem ich diese aus meiner Blockliste in der Firewall geworfen haben, kann ich alles auf der anderen Seite erreichen.
Morgen werde ich dies aber nochmal verifizieren, da mein externer Client aktuell heruntergefahren ist.
*edit: die Rule ICMP braucht es bei meiner UCG und UDM Pro nicht.
