• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

UniFi DreamMachine und Wireguard VPN hängt im Nichts

Holly

Holly

Cripps Pink
Registriert
14.12.05
Beiträge
148
Hi zusammen!

Kurz gefragt, woran kann es liegen, dass bei meiner erfolgreichen VPN-Verbindung im Nirvana hänge und im Netz nichts sehen/pingen kann, nicht mal den VPN-Client selbst?

Das VPN-Gateway ist korrekt im selben Netz auf der x.x.x.1 eingericht, mein Client bekommt die IP x.x.x.2. Internet Zugriff geht auch nicht. Sitze wie in einem dunklen Raum...

Muss dazu sagen, dass ich sämtliche VLANs per Firewall-Rules isoliert habe untereinander und nur das VLAN 1 überall reinkommt. VPN wäre VLAN 2 mit eigenem IP-Subnet. Alles quasi vorschriftsmäßig...

Any ideas?
 
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.524
Holly schrieb:
Any ideas?
Zum Vergrößern anklicken....
mit der Vielzahl an Infos? Nicht Dein Ernst.

Aber starten wir mal mit "erfolgreiche Verbindung" und "Wireguard". Eine VPN-Verbindung mit Wireguard wird immer gestartet, man muss es im jeweils anderen Wireguard-Instanz-Log überprüfen. Ich habe irgendwann auch einfach mal eine VM gebaut, wo/weil man besser testen kann.

Erst wenn das getan ist geht es weiter.
 
Patrick Rollbis

Patrick Rollbis

Moderator
AT Moderation
Registriert
22.10.06
Beiträge
6.191
Warum nutzt du Wireguard und nicht das Unifi-eigene "Teleport"?
 
Holly

Holly

Cripps Pink
Registriert
14.12.05
Beiträge
148
So, Wuchtbrumme, Du hattest recht, mit dem Wireguard, das verbindet sich tatsächlich einfach immer o_O .
Ich hab jetzt ein L2TP via IPSec eingerichtet, der Router leitet die UPD 500 und 4500 direkt zur UDM und ich kann mich über den iMac einloggen, wie das Logfile der UDM positiv bestätigt.
Selber Effekt jedoch. Ich häng im Nirvana und kann nicht vom VPN-Subnet in das admin VLAN 1, obwohl ich eine Firewall-Rule dafür eingerichtet habe. Sobald die Verbindung steht, komm ich von meinem iMac auch nicht mehr ins Internet oder erreiche andere IPs... so Wuchtbrumme, dann lass mal hören, was DU drauf hast ;)

@Rollbis: Das Teleport kenn ich bisher nicht. Wenn ich es einrichte, erzeugt es eine URL... wo führt das ganze denn hin?
 
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.524
vorweg: die UDM habe ich nicht und obwohl ich das halbwegs attraktiv finde stört mich, wie die Firma immer wieder irgendwelche schon interessanten Produkte raushaut, sie aber auch genauso schnell wieder weg oder nicht lieferbar sind (um sich z.B. was auf Halde zu legen). Genauso die Masche, Beta-Produkte zu "veröffentlichen". Alles strange.

Holly schrieb:
Ich häng im Nirvana und kann nicht vom VPN-Subnet in das admin VLAN 1, obwohl ich eine Firewall-Rule dafür eingerichtet habe.
Zum Vergrößern anklicken....

eine Firewallregel sollte normalerweise auch nicht reichen, von einem VLAN ins andere zu kommen, hängt aber vom Setup ab. Ich würde hier das Routing überprüfen.
Holly schrieb:
Ich hab jetzt ein L2TP via IPSec eingerichtet, der Router leitet die UPD 500 und 4500 direkt zur UDM und ich kann mich über den iMac einloggen, wie das Logfile der UDM positiv bestätigt.
Selber Effekt jedoch. [...] Sobald die Verbindung steht, komm ich von meinem iMac auch nicht mehr ins Internet oder erreiche andere IPs...
Zum Vergrößern anklicken....
das hängt vermutlich alles zusammen und könnte sehr gut am Routing liegen, musst Du halt überprüfen. Wichtiger Punkt noch: normalerweise soll ein VPN auch Split-Tunneling vermeiden, d.h. dass kein Traffic am VPN vorbeigeht - das würde also das Verhalten erklären können und wiederum aufs Routing zeigen (bzw. dass Du halt nicht auf Dein "admin VLAN 1", was zwar nicht als das lokale Netz mit Gateway genannt wird, aber dass Du wahrscheinlich dafür verwendest?)
 
Holly

Holly

Cripps Pink
Registriert
14.12.05
Beiträge
148
Hey Bro, richtig gute Analyse. Jetzt klappt es mit dem Routing. Mir ist noch nicht ganz klar warum, evtl. weil das VPN-Subnet nicht als dediziertes Netzwerk definiert ist, wie die anderen (geht nämlich nicht für das VPN-Subnet).

Hab jetzt die vergebene VPN-Adresse auf das Interface 'Admin' (also Standard-Netzwerk mit VLAN 1) gehängt und als Next Hop das Gateway angegeben. Das hat aber noch nicht ganz gereicht. Zusätzlich habe ich alle involvierten 3 Gateways als DNS in meinen VPN-Settings auf dem VPN-Client, also dem iMac, eingetragen. Jetzt pingt alles schön und nmap zeigt mir, dass alles erreichbar ist... danke erst einmal soweit!

Update: interessanter Weise funktioniert jetzt auch alles, auch wenn ich die neuen Routing Rules und alle DNS-Einträge wieder entfernt habe. Ich wollte quasi den Schalter suchen...
Dabei ist mir eine Option nun in den Sinn gekommen, die das Nirvana verursacht. Sobald ich auf meinem VPN-Client die Option 'Gesamten Trafic über VPN senden' aktiviere, klappt alles: Pings, Internet usf.
Ergo müsste ich das Routing eher auf meinem iMac einstellen... aber jedenfalls weiß ich jetzt, wie es läuft mit IPSec.

P.S.: Bei Wireguard kann man diese Option leider nicht (so einfach) aktivieren über die eigene Setup-App...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten