4
Site-to-Site VPN: Mikrotik RB zu UBNT USG und vice versa
Hallo Zusammen,
ich habe zwei Konstellationen wo ich gerne ein VPN einrichten würde.
Konstellation 1:
Konstellation 2:
Kopfzerbrechen bereiten mir nicht die Einstellungen des Mikrotik (davon gibt es hier im Forum ja ausreichend) sondern die Einstellung/Konfiguration des Unifi Gateways. Über den Unifi Controller lassen sich ja nur IPsec (jedoch nur mit Peer IP und nicht mit DynDNS) und OpenVPN mit Zertifikat einrichten.
Wenn ich mich nun korrekt schlau gelesen habe fällt daher OpenVPN flach da Mikrotik und UBNT nicht kompatibel sind (TCP zu UDP; Username/Passwort zu Zertifikat, usw).
Hat jemand ein Beispiel für mich welche Einstellungen in die config.gateway.json gehören um das IPsec VPN mit DynIP ans rennen zu bekommen?
Oder hat jemand noch andere Tipps für mich?
Danke im Voraus!
ich habe zwei Konstellationen wo ich gerne ein VPN einrichten würde.
Konstellation 1:
- Mikrotik RB3011 mit fester IP
- UBNT USG3 mit dynamischer IP
Konstellation 2:
- UBNT USG-4-PRO mit fester IP
- Mikrotik RB2011 mit dynamischer IP
Kopfzerbrechen bereiten mir nicht die Einstellungen des Mikrotik (davon gibt es hier im Forum ja ausreichend) sondern die Einstellung/Konfiguration des Unifi Gateways. Über den Unifi Controller lassen sich ja nur IPsec (jedoch nur mit Peer IP und nicht mit DynDNS) und OpenVPN mit Zertifikat einrichten.
Wenn ich mich nun korrekt schlau gelesen habe fällt daher OpenVPN flach da Mikrotik und UBNT nicht kompatibel sind (TCP zu UDP; Username/Passwort zu Zertifikat, usw).
Hat jemand ein Beispiel für mich welche Einstellungen in die config.gateway.json gehören um das IPsec VPN mit DynIP ans rennen zu bekommen?
Oder hat jemand noch andere Tipps für mich?
Danke im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 569431
Url: https://administrator.de/contentid/569431
Ausgedruckt am: 24.11.2024 um 09:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
mit den Unifis kannst du über den Controller auch „normale“ S2S-OpenVPNs mit Pre-Shared-Keys machen, Zertifikate gibts nur bei C2S.
mit den Unifis kannst du über den Controller auch „normale“ S2S-OpenVPNs mit Pre-Shared-Keys machen, Zertifikate gibts nur bei C2S.
Zitat von @chgorges:
Hi,
mit den Unifis kannst du über den Controller auch „normale“ S2S-OpenVPNs mit Pre-Shared-Keys machen, Zertifikate gibts nur bei C2S.
Mikrotik unterstützt jedoch nur OpenVPN mit Username/Password wenn ich das richtig lese (Clientverbindung OpenVPN Mikrotik). Daher fällt dies raus.Hi,
mit den Unifis kannst du über den Controller auch „normale“ S2S-OpenVPNs mit Pre-Shared-Keys machen, Zertifikate gibts nur bei C2S.
fällt daher OpenVPN flach da Mikrotik und UBNT nicht kompatibel sind
Nein !Wie kommst du dadrauf ? Die OpenVPN Parameter sind ja einzig und allein nur durch die Konfig bestimmt. Gut, MT supportet keine UDP Encapsulation aber dann macht man halt eben TCP. Ist ein simpler Eintrag im Konfig File.
Wenn UBNT allerdings dann auch keine Wahl hat und einzig nur UDP kann ist das natürlich Pech.
Zertifikate sollten beide können, denn das ist eigentlich OpenVPN Standard überall !
Mikrotik kann OpenVPN jedenfalls problemlos mit Zertifikaten und arbeitet völlig fehlerlos mit jeglicher anderer OpenVPN Hardware zusammen:
Clientverbindung OpenVPN Mikrotik
Bei IPsec ist der Mikrotik flexibel. Der kann IPsec mit allen Authorisierungen. IP, FQDN, User FQDN und String auch im Mix. Wenn der UBNT dann einzig nur IP Adressen supportet wäre das sehr ungewöhnlich und dann hättest du Pech, denn dann bist du zwingend auf eine, wenigstens einseitige, statische IP angewiesen. IPsec wäre dann in einem VPN Umfeld mit rein dynamischen IPs nutzlos was für ein Produkt fatal wäre und unüblich. Man beraubt sich ja da um 70% aller Anwendungsfälle im Massenmarkt.
Stimmt das Obige wirklich, wäre das mal wieder ein triftiger Grund vom Ubiquity Schrott unbedingt die Finger zu lassen... Ist ja noch nicht einmal eine Eigenentwicklung von denen sondern zugekaufter OEM Kram den sie nur mit einem Hersteller Bäppel versehen. Na ja was will man auch verlangen wenn WLAN Billigmarkt Hersteller sich an Routern und Firewalls versuchen...
Zitat von @aqui:
Wie kommst du dadrauf ? Die OpenVPN Parameter sind ja einzig und allein nur durch die Konfig bestimmt. Gut, MT supportet keine UDP Encapsulation aber dann macht man halt eben TCP. Ist ein simpler Eintrag im Konfig File.
Insofern sind die nicht kompatibel da man bei Unifi die Parameter nicht frei einstellen kann.fällt daher OpenVPN flach da Mikrotik und UBNT nicht kompatibel sind
Nein !Wie kommst du dadrauf ? Die OpenVPN Parameter sind ja einzig und allein nur durch die Konfig bestimmt. Gut, MT supportet keine UDP Encapsulation aber dann macht man halt eben TCP. Ist ein simpler Eintrag im Konfig File.
Mikrotik kann OpenVPN jedenfalls problemlos mit Zertifikaten und arbeitet völlig fehlerlos mit jeglicher anderer OpenVPN Hardware zusammen:
Clientverbindung OpenVPN Mikrotik
Deinen Bericht habe ich gelesen. Habe auch schon ein OpenVPN zwischen einem Edge Router und einem Mikrotik am laufen. Leider ist halt das Unifi Gateway nicht gleich zu konfigurieren wie ein Edge Router.Clientverbindung OpenVPN Mikrotik
Wenn der UBNT dann einzig nur IP Adressen supportet wäre das sehr ungewöhnlich und dann hättest du Pech, denn dann bist du zwingend auf eine, wenigstens einseitige, statische IP angewiesen.
Ja, im Unifi Controller ist das so. Daher habe ich die Hoffnung das über die Config Datei (config.gateway.json) es möglich ist eine FQDN anzugeben. Leider bin ich nicht ganz firm darin wie diese aufgebaut ist bzw. was genau rein muss und was nicht rein darf.Ist ja noch nicht einmal eine Eigenentwicklung von denen sondern zugekaufter OEM Kram den sie nur mit einem Hersteller Bäppel versehen.
Echt, das wusste ich noch gar nicht dass das OEM Ware ist.Wenn ich das so sehe wird es glaube ich schwer/kompliziert oder auch gar nicht möglich einzurichten. Gibt es sonst noch andere Vorschläge für eine Umsetzung?
