72-dpijunkie
Goto Top

UDM-Pro + PortForwarding + VPN

Nabend zusammen,
ich habe seit ein paar Tagen meine Fritte gegen eine Ubiquiti Dream Machine Pro getauscht.

Nun habe ich das Problem, dass mein VPN nicht mehr funktioniert und ich nicht weiß woran es liegt?
(Bitte nicht auf die IP Range schauen, wird noch geändert face-big-smile)

Portforwarding hab ich gemacht und der DynDns läuft auf der richtigen IP wenn ich die Domain anpinge...

vpn1

vpn2

vpn3

Irgendwie sehe ich den Wald vor lauter Bäumen nicht mehr... der VPN Client spuckt "Server poll timeout" aus?

Über eine Idee oder einen Lösungsansatz würde ich mich freuen.

LG

Content-ID: 1302371543

Url: https://administrator.de/forum/udm-pro-portforwarding-vpn-1302371543.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

aqui
aqui 24.09.2021 aktualisiert um 21:52:30 Uhr
Goto Top
Dein Port Forwarding funktioniert nicht !
Schliesse temporär anstatt des NAS einen Wireshark Rechner mit gleicher IP Adresse wie das NAS an.
Dann versuchst du einen OpenVPN Access von einem externen Client (Smartphone etc.) und checkst ob du dort am Wireshark eingehende UDP 1194 Pakete sehen kannst. So kannst du wasserdicht verifizieren ob das Port Forwarding klappt oder nicht.
Zu 99% wirst du da wohl nix sehen können am Kabelhai weil das Port Forwarding nicht oder nicht sauber funktioniert und deshalb die UDP 1194 Pakete NICHT am NAS ankommen und es logischerweise dann zu einem Timeout kommt.
Der UBQT Müll wird sicher noch eine Firewall Regel erwarten die den UDP 1194 Zugriff auf die WAN Port Adresse zulässt ?!
72-dpijunkie
72-dpijunkie 24.09.2021 um 21:56:16 Uhr
Goto Top
Moin aqui,
ich habe gerade nochmal in die Server LOG vom Nas geguckt. Da taucht nichts auf. Wenn ich im gleichen LAN wie das NAS bin funktioniert der VPN.. Das spricht für das Portforwarding.. Jetzt aber wird es für mich sehr kurios.. Laut Backend der UBQT Maschine habe ich eine WAN IP 100.118.XXX.XXX gehe ich beispielsweise auf eine Webseite um seine IP anzeigen zu lassen habe ich dort eine ganz andere: 94.31.XXX.XXX. Wie geht denn sowas?

DynDNS oder Portforwarding ... 50:50 :/
LordGurke
LordGurke 24.09.2021 um 21:59:10 Uhr
Goto Top
Du hast keine IPv4-Adresse mehr, du bist nur noch per IPv6 aus dem Internet erreichbar. Klassisches Carrier-NAT.
Deine Option ist jetzt, einfach die OpenVPN-Verbindung per IPv6 aufzubauen. Benutze dafür einfach die IPv6-Adresse deines NAS und richte eine Firewall-Regel auf dem Router ein, dass dieser Port an das NAS durchgelassen wird.
72-dpijunkie
72-dpijunkie 24.09.2021 um 22:01:54 Uhr
Goto Top
Zitat von @LordGurke:

Du hast keine IPv4-Adresse mehr, du bist nur noch per IPv6 aus dem Internet erreichbar. Klassisches Carrier-NAT.


Ahhh ich hab seit kurzem einen neuen Anschluss (Glasfaser) das klingt plausibel.. ich wusste nicht mal dass es sowas gibt. Ich probiere es sofort danke euch beiden erstmal.
LordGurke
LordGurke 24.09.2021 um 22:14:40 Uhr
Goto Top
Bei QNAP müsste das in den Systemeinstellungen -> Netzwerk zu sehen sein, da wo die IP-Adressen konfiguriert sind. Da sollte auch die IPv6-Adresse angezeigt werden.
72-dpijunkie
72-dpijunkie 24.09.2021 um 22:16:22 Uhr
Goto Top
Jepp, habs gefunden. Ich muss nur mit der total verschachtelten GUI von UBQT klarkommen und die Firewall Rule einzutragen... ich schreibe gleich ob ich es hinbekommen habe.
72-dpijunkie
72-dpijunkie 24.09.2021 um 22:29:27 Uhr
Goto Top
Hab die Regel jetzt erstellt. Wenn ich mit dem Handy ins Mobilnetz gehe, also WLAN ausschalte sehe ich in der Log allerdings Connection to blabla via UDPv4.. Muss ich das in der config von OpenVPN ebenfalls konfigurieren?

rule1
rule2


Und mir ist aufgefallen, dass ich meinen DynDns evtl. noch auf AAAA stellen muss auch wenns komischerweise läuft oder?

ipv6

Danke im Voraus
LordGurke
LordGurke 24.09.2021 um 22:42:45 Uhr
Goto Top
Bei der DynDNS-Adresse muss natürlich die IPv6-Adresse des NAS hinein.
Wichtig für DynDNS: Jedes Gerät in deinem Netzwerk hat seine eigene IPv6-Adresse! Das NAS hat eine andere Adresse als dein PC und der hat eine andere Adresse als dein Router.
Zum Testen kannst du erstmal händisch als AAAA-Record die IPv6-Adresse deines NAS eintragen und, wenn möglich, den A-Record mit der ohnehin nicht erreichbaren IPv4-Adresse entfernen.
72-dpijunkie
72-dpijunkie 24.09.2021 um 22:49:28 Uhr
Goto Top
Ich komme nicht mehr ganz mit.. Erstmal danke für deine Geduld.

Ich muss wie folgt vorgehen?

- DynDNS muss auf die IPv6 WAN Adresse
- Das NAS braucht zwingend eine IPv6 Adresse (kann ich diese Manuell eintragen? Das NAS hatte keine, warschl. weil der DHCP ihm keine zugewiesen hat. Die IPv4 war static...
- Die IPv6 Adresse dann als Firewall Regel UDP 1194 verweisen auf das NAS mit der IPv6 Adresse

bin ich da noch am Ball?
LordGurke
LordGurke 24.09.2021 aktualisiert um 23:27:47 Uhr
Goto Top
Prüfe mal, ob andere Geräte in deinem LAN eine IPv6-Adresse haben. Wenn nicht, verteilt die UDM keine.
DHCPv6 ist eher ungewöhnlich, normalerweise wird SLAAC eingesetzt (das ist ein anderes Verfahren zur Auto-Konfiguration).
Falls kein IPv6 in deinem LAN verteilt wird, muss die UDM entsprechend eingestellt werden - wie das funktioniert, kann ich aber nicht sagen, weil ich die selbst nicht einsetze.

In jedem Fall benötigt das NAS eine IPv6-Adresse. Wie gesagt, wenn IPv6 im LAN verfügbar ist, sollte diese vollautomatisch konfiguriert werden.
Statisch sollte sie nicht eingetragen werden, denn wenn sich mal das von der Deutschen Glasfaser zugewiesene Präfix ändert, müsstest du die konfigurierte Adresse auch anpassen.

Zusammengefasst also:
- Sicherstellen, dass die UDM für IPv6 konfiguriert ist - sowohl auf WAN- als auch auf LAN-Seite
- NAS sollte dann automatisch eine IPv6-Adresse bekommen
- Firewall-Regel für Port 1194/UDP auf die IPv6-Adresse des NAS anlegen. Es reicht hier eventuell, nur die zweite Hälfte der Adresse anzugeben (z.B. statt 2001:db8:a:b:c:d:e:f wird nur ::b:c:d:e:f eingetragen)
- DynDNS muss auf die IPv6-Adresse des NAS zeigen, nicht die WAN-Adresse des Routers! Wie gesagt: Alle Geräte in deinem Netzwerk haben ihre eigenen Adressen und diese müssen dann auch direkt angegeben werden.


Man kann das vielleicht vereinfachen, indem man sich per VPN direkt auf die UDM einwählt. Das wäre weniger Aufwand, weniger fehleranfällig und überhaupt sollte VPN lieber direkt auf den Router terminiert werden, nicht auf Geräte dahinter. Das macht die Sache nur komplizierter face-wink
In dem Fall wäre zumindest die Firewall-Regel auf das NAS hinfällig.
Die DynDNS-Adresse muss dann mit AAAA-Eintrag auf den Router zeigen.
72-dpijunkie
72-dpijunkie 24.09.2021 um 23:34:32 Uhr
Goto Top
Vielen Dank für diese ausführliche Antwort. Jetzt verstehe ich die Logik hinter IPv6.. (Abgesehen davon warum es diese gibt). Ich versuche mich mal durchzuwurschteln. Gern stelle ich dann die Lösung hier zur Verfügung. Werden sicherlich noch einige mehr auf dieses Problem stoßen wenn immer mehr IPv6 eingesetzt wird.
72-dpijunkie
72-dpijunkie 25.09.2021 um 00:12:35 Uhr
Goto Top
Ich habe es nun hinbekommen, dass via SLAAC alle Geräte inkl. meines Nas eine IPv6 Adresse bekommen haben.
in der UDM-Pro musste ich folgende Einstellungen machen:

tut1

tut2

Im Anschluss habe ich meinen VPN Server vom UDP auf das TCP Protokoll umgestellt.


Danach habe ich in der Firewall der UDM-Pro eine Gruppe mit der Ipv6 Adresse des NAS erstellt.
Dann noch eine Gruppe mit dem Port für OpenVPN

Zu guter letzt die IPv6 Adresse des NAS als AAAA in Afraid eingetragen. (Ändert die IPv6 sich nie??)
Jetzt muss ich nur noch mit der Firewall klarkommen und hoffen dass alles funktioniert
Visucius
Visucius 25.09.2021 um 08:44:36 Uhr
Goto Top
Warum quälst Du Dich mit dem openvpn, Unifi hat doch l2tp/ipsec integriert?

https://help.ui.com/hc/en-us/articles/115005445768-UniFi-USG-UDM-Configu ...
72-dpijunkie
72-dpijunkie 27.09.2021 um 09:20:32 Uhr
Goto Top
Zitat von @Visucius:

Warum quälst Du Dich mit dem openvpn, Unifi hat doch l2tp/ipsec integriert?

https://help.ui.com/hc/en-us/articles/115005445768-UniFi-USG-UDM-Configu ...

L2TP ist langsamer als OpenVPN, weshalb ich OVPN vorziehe... Es scheint jedoch so, als haben eine Vielzahl an Leuten die auf Glasfaser gewechselt haben dieses Problem...

Muss der OVPN Port als TCP freigegeben werden in diesem Fall? Ja oder ?
Die IPv6 Adresse vom NAS (Vpn Server) muss auf den DynDNS verweisen richtig ? Nicht die vom Router?
Ändert sich die IPv6 Adresse oder ist diese Statisch?

Danke euch
LG
Visucius
Visucius 27.09.2021 aktualisiert um 11:49:40 Uhr
Goto Top
L2TP ist langsamer als OpenVPN, weshalb ich OVPN vorziehe...
Ahh ok, verstehe. Das war mir bisher in meinen Client2Server-VPNs nicht so wichtig. Wieder was gelernt

Viel Erfolg!
aqui
aqui 27.09.2021 aktualisiert um 09:29:31 Uhr
Goto Top
L2TP ist langsamer als OpenVPN, weshalb ich OVPN vorziehe...
Ist natürlich Blödsinn und solch gefährliches Halbwissen sollte man nicht in einem Administrator Forum verbreiten ! OVPN ist duch die fehlende Multithread Fähigkeit und Userspace Umgebung generell immer langsamer.
Siehe: https://www.wireguard.com/performance/
Die Produktivdaten werden bei L2TP in einem IPsec Tunnel transportiert.
Visucius
Visucius 27.09.2021 aktualisiert um 10:00:08 Uhr
Goto Top
Na, dann will ich zumindest folgende Aspekte in die Waagschale werfen - bezogen auf die Client2Server-Setups:

a) Du hast (fast?!) auf allen Clients systemweite Unterstützung für l2tp/iPSec
b) Das läuft bei Unifi stabil (bei mir seit 4 Jahren auf einem 400 km entfernten Standort), inkl. Updates usw.
c) Bei mir ebenfalls an einer Glasfaserleitung
d) Die Konfiguration ist ziemlich trivial
e) Du sparst Dir den Zirkus mit der "Portweiterleitung". Das wird mir hier bei meinen Wireguard-Setups ja auch immer vorgehalten – nicht zu Unrecht.

Performance-mäßig habe ich das ehrlich gesagt nie durchgemessen, weil das für mich nur ein Wartungszugang ist.
aqui
aqui 27.09.2021 um 10:10:58 Uhr
Goto Top
Zum Punkt a.) ist das ein Riesenvorteil weil man immer die bordeigenen VPN Clients verwenden kann:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
72-dpijunkie
72-dpijunkie 27.09.2021 um 11:10:07 Uhr
Goto Top
Sorry, war nicht meine Absicht etwas falsches zu schreiben. Ich hatte das gelesen.
Okay, dann versuche ich mich mit L2TP/IP Sec.
Visucius
Visucius 27.09.2021 aktualisiert um 11:15:02 Uhr
Goto Top
jfyi:

Sollte das nicht gleich am Anfang klappen, hatte ich damals hier am MacOS-Client noch "Gesamten Verkehr über die VPN-Verbindung senden" (unter weitere Optionen) aktiviert.

Viel Erfolg!
72-dpijunkie
72-dpijunkie 27.09.2021 um 11:35:01 Uhr
Goto Top
Noch als kurzer Einwurf. Es gibt wohl die Lösung über einen PortMapper beispielsweise über Feste-IP.net.

Habe ich da irgendwelche Geschwindigkeiteinbußen?
LordGurke
LordGurke 27.09.2021 um 19:52:42 Uhr
Goto Top
Zitat von @72-dpijunkie:
Muss der OVPN Port als TCP freigegeben werden in diesem Fall? Ja oder ?
Die IPv6 Adresse vom NAS (Vpn Server) muss auf den DynDNS verweisen richtig ? Nicht die vom Router?
Ändert sich die IPv6 Adresse oder ist diese Statisch?

Nein, du kannst natürlich auch UDP verwenden. Ist ja auch performanter.
Die IPv6-Adresse des NAS ist abhängig von deinem zugewiesenen Präfix. Wenn sich das ändert, ändert sich die vordere Hälfte der IPv6-Adresse, die zweite Hälfte bleibt unverändert.
Und ins DNS muss die Adresse des NAS - denn dein Router hat ja eine andere Adresse als dein NAS und du willst ja das NAS ansprechen face-wink
Ob sich das Präfix an deinem Anschluss ändert und wenn ja, unter welchen Umständen, hängt davon ab, wie die Deutsche Glasfaser das handhabt.


Zitat von @Visucius:
Na, dann will ich zumindest folgende Aspekte in die Waagschale werfen - bezogen auf die Client2Server-Setups:
a) Du hast (fast?!) auf allen Clients systemweite Unterstützung für l2tp/iPSec
Nicht immer in Kombination mit IPv6. Das wird von manchen Herstellern sträflich vernachlässigt.

b) Das läuft bei Unifi stabil (bei mir seit 4 Jahren auf einem 400 km entfernten Standort), inkl. Updates usw.
Mit IPv6?


Zitat von @72-dpijunkie:

Noch als kurzer Einwurf. Es gibt wohl die Lösung über einen PortMapper beispielsweise über Feste-IP.net.

Habe ich da irgendwelche Geschwindigkeiteinbußen?
Du routest den Traffic erst zum Feste-IP.net-Server, von dort zu deinem Anschluss. Das kann ein Flaschenhals sein.
Unabhängig davon, muss aber auch hier das IPv6-Routing zu deinem VPN-Server funktionieren.
aqui
aqui 11.10.2021 um 10:15:09 Uhr
Goto Top
TO: Wenn's das denn nun war bitte dann nicht vergessen diesen Thread zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?