4
Anfänger UDM Pro Wireguard FW einstellen
Hallo
ich bin absoluter Anfänger und suche einen verständlichen Tipp für folgendes Problem:
Ich habe eine Unifi UDM PRO SE laufen. eigentlich Werkseinstellung.
Mein normales Heimnetz ist 192.168.2.0/24
Ich habe einen Glasfaseranschluss mit variabler IP. Den Unifi Tunnel über Teleport kann ich daher nicht von aussen nutzen, weil da kein no-ip einstellbar ist.
Ich habe daher Wireguard separat konfiguriert, die Config bearbeitet und mit meinem no-ip account jetzt auch einen Zugriff von extern. Die Verbindung steht.
Das bekannte Problem der UDM Pro ist, dass sie dem externen Zugang ein eigenes Netz zuweist. hier bei mir 192.168.5.0/24, die kann man nicht auf die Heimnetz IP umstellen. Gibt eine Fehlermeldung.
Ich möchte einfach nur über WG ins Heimnetz, in das Internet von zu Hause (also aus ungesicherten Wlans) und auf meinen Server.
Wie bekomme ich möglichst einfach von 192.168.5.0/24 in 192.168.2.0/24?
bzw. vom Handy, dass dann die 192.168.5.1 hat.
Kann ich das mit Port Forwarding machen? Eventuell auf die IP der UDM Pro im HeimNetz also 192.168.2.22 bei mir.
Anfänger halt. Ich will auch nicht an der Firewall herumbasteln, nachher verstelle ich etwas.
Danke
Tim
ich bin absoluter Anfänger und suche einen verständlichen Tipp für folgendes Problem:
Ich habe eine Unifi UDM PRO SE laufen. eigentlich Werkseinstellung.
Mein normales Heimnetz ist 192.168.2.0/24
Ich habe einen Glasfaseranschluss mit variabler IP. Den Unifi Tunnel über Teleport kann ich daher nicht von aussen nutzen, weil da kein no-ip einstellbar ist.
Ich habe daher Wireguard separat konfiguriert, die Config bearbeitet und mit meinem no-ip account jetzt auch einen Zugriff von extern. Die Verbindung steht.
Das bekannte Problem der UDM Pro ist, dass sie dem externen Zugang ein eigenes Netz zuweist. hier bei mir 192.168.5.0/24, die kann man nicht auf die Heimnetz IP umstellen. Gibt eine Fehlermeldung.
Ich möchte einfach nur über WG ins Heimnetz, in das Internet von zu Hause (also aus ungesicherten Wlans) und auf meinen Server.
Wie bekomme ich möglichst einfach von 192.168.5.0/24 in 192.168.2.0/24?
bzw. vom Handy, dass dann die 192.168.5.1 hat.
Kann ich das mit Port Forwarding machen? Eventuell auf die IP der UDM Pro im HeimNetz also 192.168.2.22 bei mir.
Anfänger halt. Ich will auch nicht an der Firewall herumbasteln, nachher verstelle ich etwas.
Danke
Tim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7678535602
Url: https://administrator.de/contentid/7678535602
Printed on: April 28, 2024 at 08:04 o'clock
4 Comments
Latest comment
Wireguard nutzt außer auf der proprietären AVM Fritzbox Konfig immer ein separates IP Netz für den Wireguard Tunnel selber. Das ist Wireguard Standard in einer klassischen Konfig!
Wireguard erzeugt ein virtuelles Interface für den Tunnel und auf einer Firewall muss man dann darauf achten das das Regelwerk auf dem Tunnelinterface passt. Ohne ein Regelwerk blockieren Firewalls bekanntlich im Default alle Interfaces.
Das Routen zwischen diesen beiden IP Netzen ist also auf einem Wireguard VPN Router oder Firewall kein Thema. Passen müssen aber bei einer Firewall immer die Regeln auf dem Tunnelinterface.
Merkzettel: VPN Installation mit Wireguard
Lesen und verstehen...
Wireguard erzeugt ein virtuelles Interface für den Tunnel und auf einer Firewall muss man dann darauf achten das das Regelwerk auf dem Tunnelinterface passt. Ohne ein Regelwerk blockieren Firewalls bekanntlich im Default alle Interfaces.
Das Routen zwischen diesen beiden IP Netzen ist also auf einem Wireguard VPN Router oder Firewall kein Thema. Passen müssen aber bei einer Firewall immer die Regeln auf dem Tunnelinterface.
Merkzettel: VPN Installation mit Wireguard
Lesen und verstehen...
Danke dir. Ich arbeite mich mal durch und probiere es.
Ich habe mich damit beschäftigt, denke aber das trifft nicht mein Thema.
WireGuard läuft ja. Der Port ist freigeben. Nur erhält dieser in der UDM Pro einen eigenen Adressbereich, also schon hinter der FW. Quasi wie ein Gast-Lan.
Dieses ist aber nicht in der FW konfiguriert. Ich bekomme zwar die Verbindung von außen, bin aber nicht im Default-Adressbereich und kann nichts machen.
Ich habe nun eine Portweiterleitung in mein Heimnetz eingerichtet.
Wan2
192.168.5.1 (interne WG IP) 51825 auf
192.168.2.0:51825
Kann man dies so einfach machen oder muss da noch etwas an der FW Regeln geändert werden ?
Danke
WireGuard läuft ja. Der Port ist freigeben. Nur erhält dieser in der UDM Pro einen eigenen Adressbereich, also schon hinter der FW. Quasi wie ein Gast-Lan.
Dieses ist aber nicht in der FW konfiguriert. Ich bekomme zwar die Verbindung von außen, bin aber nicht im Default-Adressbereich und kann nichts machen.
Ich habe nun eine Portweiterleitung in mein Heimnetz eingerichtet.
Wan2
192.168.5.1 (interne WG IP) 51825 auf
192.168.2.0:51825
Kann man dies so einfach machen oder muss da noch etwas an der FW Regeln geändert werden ?
Danke
Nur erhält dieser in der UDM Pro einen eigenen Adressbereich, also schon hinter der FW.
Das ist aber normal! Du kannst ja sehen das in einer klassischen WG Konfig das Tunnelnetzwerk immer ein eigenes IP Netzwerk bekommt was durch die WG Konfig bestimmt wird!Mit dem UDP Port an sich hat das nix zu tun oder was meintest du mit dem begriff "Port"?!
Dieses ist aber nicht in der FW konfiguriert.
Das wäre dann in der Tat komisch. In einer korrekten Wireguard Konfig bestimmt immer der der es konfiguriert dieses interne IP Netz. (Auch das lokale natürlich)Logisch, denn das muss ja so sein, denn bei einer "Automatik" besteht die fatale Gefahr das es zu IP Adressdoppelungen kommt die in einem TCP/IP Design bekanntlich nicht erlaubt sind!
Es kann also aus diesem Grunde niemals geheimnisvolle Automatismen dort geben!
Ich habe nun eine Portweiterleitung in mein Heimnetz eingerichtet.
Wenn die UDM direkt im Internet hängt (öffentliche IP an ihrem WAN Port), sprich mit einem nur Modem ist das nicht nur Blödsinn sondern auch gefährlich weil du durch dieses Loch in der Firewall ungeschützen IP Traffic ins lokale LAN lässt. In so einem Design mit dem direkten Terminieren des Internet auf der UDM benötigt man deshalb kein Port Forwarding. Warum auch wenn Wireguard direkt auf der UDM terminiert?!Port Forwarding benötigst du lediglich nur dann, wenn die UDM in einer Router Kaskade betrieben wird. Also mit einem davor kaskadieren NAT Router. Der muss durch seine NAT Firewall logischerweise den Wireguard UDP Traffic auf den WAN Port der UDM passieren lassen.
Einzig nur das erfordert ein Port Forwarding!
