kellerfelix
Goto Top

DS Lite mit Wireguard hinter Fritzbox überwinden mit Unifi Dream Machine

Hallo zusammen,

ich weiß, dass dieses Thema so ähnlich schon öfter behandelt wurde und ich habe mich auch stundenlang durch etliche Threads gelesen, aber ganz abschließend konnte ich mein Problem nicht beseitigen...

Ich habe folgende Konstellation:
Fritzbox mit LTE (nur VF Simkarte mit Dualstack Lite), steht extern und daran ist eine Kamera angeschlossen.
Das Netz ist 192.168.178.1/24
Zuhause habe ich eine Unifi Dream Machine mit angeschlossenem Modem VF Kabel und öffentlicher IPV4 Adresse.
Netz ist hier 192.168.2.1/24
Ziel: Ich möchte von meinen Heimnetz auf die Oberfläche und Stream der Kamera (hat die 192.168.178.25) zugreifen können.

Ich habe jetzt in der UDM einen Wireguard Server angelegt und eine Clientconfig für die Fritzbox erstellt und dort importiert.
Die Fritzbox stellt die Verbindung her und bekommt auf der UDM die IP 192.168.3.1 und ist dadurch jetzt auch problemlos zu erreichen.
Wenn ich jetzt aber auf die Kamera zugreifen möchte, welche ja an der Fritzbox hängt mit der IP 192.168.178.25 - dann kann ich das nicht. Für mein Verständnis hätte ich jetzt einfach eine Portweiterleitung / Freigabe erstellt und wäre dann auch auf die Kamera gekommen.
Beispiel: Ich erstelle eine Portweiterleitung auf der Fritzbox für die 192.168.178.25 - Port extern z.B. Port 88 und als Port am Gerät die 80. Somit dachte ich, dass ich über 192.168.3.1:88 direkt auf die Kamera mit der 192.168.178.25 auf Port 80 und damit auf die UI der Kamera komme.
Habe ich da einen Denkfehler oder geht das tatsächlich so überhaupt nicht wegen des DS Lite?
Ich dachte eigentlich, dass wenn ich schon so auf die Fritzbox komme, dann sollte ich doch auch auf deren angeschlossenen Geräte kommen, oder?

Im Voraus vielen Dank für Eure Hilfe.
Felix

Content-Key: 53310149123

Url: https://administrator.de/contentid/53310149123

Printed on: April 22, 2024 at 15:04 o'clock

Mitglied: 12168552861
12168552861 Apr 01, 2024 updated at 08:37:53 (UTC)
Goto Top
Die Fritzbox kocht hier ihr eigenes Süppchen und weicht vom Wireguard Standard ab indem sie kein Tunnel-Transfernetz nutzt.

Als Tunnel-Adresse nutzt sie nämlich ihre eigene IP des LAN-Subnetzes, wie hier schon einige Male aufgezeigt wurde


oder geht das tatsächlich so überhaupt nicht wegen des DS Lite?
Doch, klar geht problemlos...

back-to-topConfig UDM (Server)

[Interface]
Address = 192.168.3.1/24
ListenPort = 51820
PrivateKey = XXX

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.2/32,192.168.178.0/24

back-to-topConfig Fritzbox (Client)

[Interface]
Address = 192.168.178.1/24
PrivateKey = XXX

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.1/32,192.168.2.0/24
Endpoint = X.X.X.X:51820
PersistentKeepalive = 25

Firewall auf der UDM nicht vergessen das Forwarding zwischen den Zonen/Subnets muss erlaubt werden!

So ist dann auch keinerlei NAT Gefrickel oder unnötige Weiterleitungen nötig, den simples Routing reicht hier völlig!

Gruß pp.
­čÉú
Member: kellerfelix
kellerfelix Apr 01, 2024 at 09:14:35 (UTC)
Goto Top
Vielen Dank für Deine Hilfe! Das hilft mir schon enorm weiter. Dann brauche ich ja überhaupt nicht mehr mit den Portweiterleitungen zu experimentieren... Mache da schon seit Stunden rum...

Clientseitig ist das kein Thema, da kann ich die Config wie beschrieben ändern und in die Fritzbox importieren. Bei der UDM scheint das aber nicht so einfach zu sein. Da komme ich überhaupt nicht an die config und es wird nur über die Oberfläche eingestellt. Ich kann da nirgends einen weiteren adressereich hinzufügen. Über ssh konnte ich auch nichts finden.
Hat jemand eine Ahnung, wo ich das einstellen kann? Wenn ich das über die UDM hinbekomme, wäre das super.
Mitglied: 12168552861
12168552861 Apr 01, 2024 updated at 13:34:39 (UTC)
Goto Top
Zitat von @kellerfelix:
Clientseitig ist das kein Thema, da kann ich die Config wie beschrieben ändern und in die Fritzbox importieren. Bei der UDM scheint das aber nicht so einfach zu sein. Da komme ich überhaupt nicht an die config und es wird nur über die Oberfläche eingestellt. Ich kann da nirgends einen weiteren adressereich hinzufügen. Über ssh konnte ich auch nichts finden.
Hat jemand eine Ahnung, wo ich das einstellen kann? Wenn ich das über die UDM hinbekomme, wäre das super.
Per SSH in die Kiste einloggen und die Config anpassen.

https://florianmuller.com/setup-a-wireguard-vpn-on-unifi-dream-machine-u ...
https://www.hostifi.com/blog/wireguard-on-a-unifi-dream-machine-pro

Auch ein Grund warum ich von dem Unify-Schund die Finger lasse.
Member: kellerfelix
kellerfelix Apr 01, 2024 at 13:53:08 (UTC)
Goto Top
Danke! Die Kiste hat ja Wireguard bereits integriert. Allerings eben ohne dass man weitere akzeptierte IP-Bereiche angeben kann. Wenn man es in der Config über SSH angibt, dann ists beim nächsten Neustart wieder weg (oder bei nem Update). Also völlig unbrauchbar. Mit nem Script arbeiten, dass das immer wieder reinschreibt ist mir ehrlich gesagt zu heikel.
Bin jetzt aktuell am Überlegen, ob es dann nicht mehr Sinn macht, den Wireguard auf der UDM nicht mehr zu nutzen und stattdessen nen eigenen Wireguard über ne VM unter Proxmox aufzusetzen, die nix anderes macht als Wireguard.
Sollte ich ja damit genauso lösen können denke ich...
Der Fritzbox ist das ja egal. Und dann kann ich auch alles vernünftig konfigurieren.
Ist wirklich eine Schaden von Unifi, sowas nicht vernünftig zu implementieren.
Member: kellerfelix
kellerfelix Apr 02, 2024 at 10:22:33 (UTC)
Goto Top
Jetzt brauche ich leider doch nochmals Hilfe.
Ich habe es jetzt wie vorgeschlagen versucht, aber die Fritzbox sagt mir beim Importieren der WG-Config-Datei, dass es einen Adresskonflikt bei der Gegenstelle gibt.

Meine wg.conf sieht so aus:

[Interface]
ListenPort = 51825
PrivateKey = XXX

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.2/32
Endpoint = XX.XX.XX.XX:37699
ForcedHandshake = 10

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.3/32
Endpoint = XX.XX.XX.XX:30613
ForcedHandshake = 10

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.4/32
ForcedHandshake = 10

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.5/32,192.168.178.0/24
Endpoint = XX.XX.XXX.XX:23004
ForcedHandshake = 10

Die einzigste Änderung sind bei Peer 192.168.3.5 der zusätzliche Adressbereich.
Nehme ich den raus, klappt die Verbindung...

Die client.conf sieht so aus:
[Interface]
PrivateKey = XXX
Address = 192.168.178.1/24
DNS = 192.168.3.1

[Peer]
PublicKey = XXX
AllowedIPs = 192.168.3.1/32,192.168.1.0/24,0.0.0.0/1,128.0.0.0/1
Endpoint = XX.X.XXX.XX:51825

Listenport: 51825 stimmt.
Die Fitte bekommt (mit der normalen Config) auch die IP 192.168.3.5

Wo ist mein Fehler bzw. wie bekomme ich das korrekt hin?

Danke vielmals für Eure Hilfe!
Member: aqui
Solution aqui Apr 03, 2024 updated at 09:34:09 (UTC)
Goto Top
Meine wg.conf sieht so aus:
  • Bei einem VPN Initiator (VPN Client mit Endpoint Definition) gibt man keinen Listenport an! Das macht man nur bei einem VPN Responder (Server)! Ein Responder antwortet auf eingehende Peer Verbindungen (Client, Initiators), hat also folglich selber keine Entpoint Definitionen für diese eingehenden Client (Initiator) Peers!! Wozu auch? Er muss ja nur antworten darauf! Deine Konfig ist wirr, denn du gibst fälschlicherweise auf beiden Peer Enden einen Endpoint an, was konfigtechnischer Blödsinn ist. Wenn deine Fritte VPN Client (Initiator) ist, hat sie doch niemals auf der Responderseite (Server) einen "Endpoint" Eintrag. Hier machst du vermutlich einen fatalen Wireguard Denkfehler?! Tutorial lesen und verstehen hilft vielleicht?! ­čĄö
  • Zudem bewegst du dich mit einigen deiner WG Endpoint Ports außerhalb der empfohlenen Ephemeral Ports und damit im Bereich fest registrierter IANA Ports. face-sad
  • System IP Adressen (128.0.0.0/1) sowie falsche und unsinnige Adressen (0.0.0.0/1), zudem mit syntaktisch völlig falschen Masken, haben in den Allowed IPs (Cryptokey Routing) natürlich nichts zu suchen! (Siehe auch hier)
  • Den Clients (Initiators) und NUR den Clients, fehlt ein 25 sekündiger Keepalive damit ggf. UDP Sessions in SPI Firewalls nicht austimen.
  • Ein erzwungender Handshake alle 10 Sekunden ist überflüssiger Unsinn.
  • "Einzig" ist schon einzigartig und lässt sich nicht weiter steigern. face-wink
Ziemlich viele Fehler für ein korrektes WG Setup. face-sad
Member: aqui
aqui Apr 08, 2024 at 13:40:50 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?