Wireguard - Site to Site (Unifi Dream Machine - FritzBox 7530)

Hallo zusammen,

ich versuche seit einiger Zeit einen 2. Standort anzubinden scheitere aber am Routing (glaube ich).
Ich komme jeweils von einem Standort zum anderen (als Client) aber der Ping geht immer nur in eine Richtung und endet maximal am IP-Tunnel des Servers.

udm - wireguard - fritz.box - 2024-12-28

Standort 1 (UDM):
Netz: 10.0.6.0/24
WG-Server-Gateway: 10.0.11.1
WG-Server-Client: 10.0.11.11
Remote-Netz: 10.1.1.0/24

Standort 2 (FritzBox 7530):
Netz: 10.1.1.0/24

[Interface]
PrivateKey = <<<Private-Key>>>
Address = 10.0.11.11/32
DNS = 10.0.11.1,10.1.1.1

[Peer]
PublicKey = <<<Public-Key>>>
PresharedKey = <<<Preshared-Key>>>
AllowedIPs = 10.0.11.1/32,10.0.11.11/32,10.0.6.0/24   # Muss hier noch die 10.1.1.0/24 rein ????
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

Die Verbindung steht auch:

Ping von Standort 2 zu Standort 1 möglich - umgekehrt nicht und auch keine Rechner erreichbar.

Ich habe auch schon versucht in der Unifi eine Statische Route 10.1.1.0/24 auf 10.0.11.1 einzurichten, aber auch das hilft nicht und sollte ja eigentlich auch nicht nötig sein da am Client ja das Netz bekannt macht wurde.

An der FritzBox lässt sich auch keine Route eintragen der bricht immer mit Fehler ab (egal welche).

Für mich ist aktuell unklar wo ich überhaupt ansetzen muss.
Ich hoffe Ihr könnt mir helfen.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 670409

Url: https://administrator.de/forum/wireguard-site-to-site-unifi-dream-machine-fritzbox-7530-670409.html

Ausgedruckt am: 01.01.2025 um 10:01 Uhr

4 Kommentare

Neuester Kommentar

Moin.
Die Fritze tanzt bei Wireguard aus der Reihe dessen Config muss so aussehen

[Interface]
PrivateKey = <<<Private-Key-Peer>>>
Address = 10.1.1.1/24

[Peer]
PublicKey = <<<Public-Key-Server>>>
PresharedKey = <<<Preshared-Key>>>
AllowedIPs = 10.0.11.1/32,10.0.6.0/24
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

Sie nutzt also keine Transfer-Netz-IP, sondern als Adresse muss ihre LAN-IP drin stehen.

Auf der anderen Seite muss in den AllowedIPs des Fritzbox Peers (10.0.11.11) wie oben schon richtig ersichtlich diese Netze stehen

AllowedIPs = 10.0.11.11/32,10.1.1.0/24

Und abgehakt sein das die Routen automatisch erstellt werden falls möglich.

Prüfe auf der Konsole der UDM die Routing-Tabelle ob die Routen auch korrekt angelegt wurden.

Mehr dazu auch hier
Merkzettel: VPN Installation mit Wireguard
und hier
S2S-Wireguard: AVM zu Mikrotik

Bedenken sollte man immer auch die Client-Firewalls denn Winblows bspw. blockt ICMP und SMB etc. aus fremden Subnetzen, da musst du dann die Firewalls customizen!

Gruß gastric

Vielen Dank das war fast richtig.

1. Versuch

[Interface]
PrivateKey = <<<Private-Key>>>
Address = 10.1.1.1/24 # Bei FritzBoxen muss die FritzBox IP drin stehen !!!
DNS = 10.0.11.1,10.1.1.1

[Peer]
PublicKey = <<<Public-Key>>>
PresharedKey = <<<Preshared-Key>>>
AllowedIPs = 10.0.11.1/32,10.0.6.0/24 # 10.0.11.11 muss bei der FritzBox nicht drin stehen.
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

2. Versuch (ohne DNS):

[Interface]
PrivateKey = <<<Private-Key>>>
Address = 10.1.1.1/24 # Bei FritzBoxen muss die FritzBox IP drin stehen !!!

[Peer]
PublicKey = <<<Public-Key>>>
PresharedKey = <<<Preshared-Key>>>
AllowedIPs = 10.0.11.1/32,10.0.6.0/24 # 10.0.11.11 muss bei der FritzBox nicht drin stehen.
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

3. Versuch (Lösung):

[Interface]
PrivateKey = <<<Private-Key>>>
Address = 10.1.1.1/24
DNS = 10.0.11.1,10.1.1.1

[Peer]
PublicKey = <<<Public-Key>>>
PresharedKey = <<<Preshared-Key>>>
AllowedIPs = 10.0.11.1/32,10.0.6.0/24
Endpoint = mydyn.dns.de:51820
PersistentKeepalive = 25

FritzBoxen mögen scheinbar keine Kommentare in WG-Konfigurationen !!!

DANKE !