Unifi-VPN mit USG hinter FBF 7490

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von JoeMod2018, 9. Januar 2018.

Schlagworte:
  1. JoeMod2018

    JoeMod2018 Starter

    Registriert seit:
    9. Januar 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hi zusammen,

    ich habe hier ein merkwürdiges Problem beim Versuch, einen Zugang zu meinem Netzwerk via L2TP-VPN aufzubauen.
    Vorab, ich verwende ein Unifi Security Gateway (USG), das mit der Unifi Controller-Software zusammen in der Lage ist, einen VPN-Server darzustellen. Der Unifi Controller läuft als Dienst auf dem Windows Server.
    Die Infrastruktur hier als Diagramm:


    [​IMG]

    Da die Fritz!Box als Router, Firewall, Telefonie- und Fax-Server dient, ist sie natürlich Nr. 1 am DSL-Anschluss. Der einzige belegte Ethernet-Port ist LAN 1, der direkt an den WAN-Port vom USG geht. WLAN ist an der FBF abgeschaltet, das machen bei mir mehrere Unifi UAPs.

    Das USG bekommt seine WAN-seitige IP-Adresse durch die FBF, deren DHCP-Server eingeschaltet ist und Adressen ab 192.168.178.20 erteilt. Ich habe in der FBF-Konfiguration auch eingestellt, dass das USG die Adresse 192.168.178.20 immer erhalten soll (sollte so was wie eine DHCP-Reservation sein). Man kann also ausschließen, dass das USG die IP-Adresse von Zeit zu Zeit beliebig wechselt und deshalb nicht erreichbar wäre. Da der FBF-DHCP-Server auch nie irgendetwas anderes sieht als das USG, gäbe es gar keinen Grund für die Erteilung einer abweichenden IP.
    Auf der LAN-Seite hat das USG die statische IP 192.168.74.2. DHCP übernimmt hier der Windows-Server, der ab 192.168.74.20 verwaltet. Darunter habe ich die statischen IPs für Server, Router, Drucker etc. festgelegt. Das interne LAN ist als 192.168.74.0/24 definiert.

    Nun das Problem: wenn ich mit dem Notebook die eingerichtete VPN-Verbindung teste und dazu direkt eine der lokalen IP-Adressen des USG anspreche (also 192.168.178.20 oder 192.168.74.2), dann klappt die Verbindung sofort. Damit ist eigentlich bewiesen, dass der VPN-Server vom USG an sich funktioniert.
    Wenn ich aber denselben Test über meine öffentliche IP-Adresse mache (egal ob ich dazu das Notebook im bestehenden Netz lasse oder via Mobilfunknetz und Tethering eine "echte" fremde Verbindung nutze), dann kommt beim USG überhaupt nichts an. Ich habe mich dazu mit Putty per SSH auf das USG verbunden und lese dort mit tail -f /var/log/messages die Events mit. Bei den lokalen IPs sieht man hier einige Einträge entstehen, während die VPN-Verbindung aufgebaut wird. Bei Verwendung der öffentlichen IP passsiert einfach gar nichts.

    Also mithilfe der Zahlen im Diagramm:

    * direkte Verbindung (via LAN) von 7 auf 3 funktioniert
    * Internet-Verbindung (via FBF) von 1 auf 3 funktioniert nicht

    Ich gehe davon aus, dass die Fritz!Box die von außen kommende VPN-Verbindungsanfrage kommentarlos verwirft. Es macht dabei keinen Unterschied, ob ich in den Portweiterleitungen die IP-Adresse 192.168.178.20 (also das USG) als Exposed Host festlege oder alle VPN-bezogenen Ports (UDP 500, UDP 1701, UDP 4500 und das ESP-Protokoll) als solche anlege.
    Die FBF hat mal selbst als VPN-Gateway gedient, ich habe aber allen FBF-Benutzern die VPN-Rechte entzogen und alle gespeicherten Zugänge gelöscht. Damit sollte die FBF nicht länger selbst auf Port 500 sitzen und man kann (bei Portfreigabe der einzelnen Ports) auch sehen, dass auf den gewünschten Port 500 auch genau diese Nummer vergeben wird, nicht irgendeine andere, weil 500 nicht frei wäre.
    Ich stecke nun leider fest. Da ich keinen Telnet-Zugang auf die FBF habe und das offizielle Ereignisprotokoll von all dem überhaupt nichts zeigt (die Logs der Firewall kann man ja leider nicht im Fritz!Box Web Interface sehen), weiß ich nicht, wo es klemmt. Via freetz ein Image zu erstellen, das den Telnet-Zugang freigibt, kommt mir halsbrecherisch kompliziert vor, da würde ich tendenziell eher den internen seriellen Port anzapfen (das ist mehr mein Ding). Aber selbst wenn dabei vielleicht herauskommt, warum die FBF Pakete verwirft, ist immer noch die Frage, wie man ihr das "legal" (sprich: via Web Interface) abgewöhnen kann.
    Oder ist dies eine bekannte Inkompatibilität oder ein bekannter Fehler?

    Danke Euch für alle Ideen hierzu!

    Grüße
    Joe
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.576
    Punkte für Erfolge:
    68
    Hi,

    willkommen im Forum.

    Der offensichtliche Unterschied zwischen den beiden Zugriffsszenarien ist, dass einmal vom "Trusted Network" (der externe Zugriff) und das andere Mal vom "Untrusted Network" (der interne Zugriff aus Sicht der USG) auf die USG zugegriffen wird. Verbinde doch mal testweise den Laptop mit der LAN-Segment der FB und versuche den VPN-Aufbau mit der USG. Wenn das nicht funktioniert, dann ist die Firewall der USG für die VPN-Verbindung nicht durchgängig.

    VG
     
  3. JoeMod2018

    JoeMod2018 Starter

    Registriert seit:
    9. Januar 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hab's gerade ausprobiert und dazu ein Notebook direkt am LAN4 der FBF angeschlossen. Also *vor* dem USG. LAN4 ist vollwertig und nicht auf Nur-Gastzugang konfiguriert.
    Der Client bekommt mit diesem Anschluss wie erwartet die IP 192.168.178.21 und kann sowohl 192.168.178.1 (FBF) als auch 192.168.178.20 (USG) pingen und im Browser sehen.
    Und erwartungsgemäß sieht es so aus, dass ich auch in dieser Netzwerkzone nur eine VPN-Verbindung auf die interne Adresse 192.168.178.20 aufbauen kann, mit denselben Anmeldedaten aber nicht "außenherum" mit meiner externen IP, wo die Anfrage dann aus Richtung Internet zur FBF kommt.
    Vielleicht haben wir hier auch ein Missverständnis. Für mich ist das "untrusted" Network ganz klar das Internet, also das, was am WAN-Port der Fritz!Box anliegt und zum WAN-Port des USG weitergeht. Erst nach dessen LAN-Port ist das für mich "trusted".
    Die Fritz!Box müsste den vom Internet kommenden VPN-Verbindungsaufbau an das USG weiterleiten, das in der FBF-Firewall als Exposed Host konfiguriert ist (ich würde die Ports später einschränken, aber erst mal muss es generell funktionieren). Es sieht aber nach wie vor so aus, als würde das USG gar nicht exposed sein, es kriegt überhaupt nichts vom Verbindungsversuch mit.
    Vorsichtshalber habe ich mal bei der FBF den eingebauten https-Fernzugriff abgeschaltet und eine Portweiterleitung nur für die Webseite vom USG (https://192.168.178.20) als externen Port 21443 eingerichtet. Selbst dann geht nix, ich würde dann erwarten, dass ich mit dem Browser vom Handy mit https://212.114.111.123:21443 (die IP-Adresse ist nur ein Beispiel, die tatsächliche lautet anders) auf die Anmeldeseite vom USG komme, auch wenn es dabei vielleicht eine Zertifikatswarnung wegen selbst erstelltem SSL-Zertifikat gibt. Geht aber leider auch überhaupt nicht, auch hier scheint das USG gar keinen Traffic zu sehen. Es versickert alles schon vorher in der FBF.
     
  4. AlterMann

    AlterMann Kenner

    Registriert seit:
    5. Juli 2017
    Beiträge:
    91
    Punkte für Erfolge:
    8
    Hi,

    es mag für Dich das "trusted" Netzwerk sein - aber aus Sicht der USG hängt die FB am WAN Anschluss der USG - und WAN ist böse also "untrusted" :)

    Schöne Grüße

    Der AlteMann
     
  5. JoeMod2018

    JoeMod2018 Starter

    Registriert seit:
    9. Januar 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Ich formuliere es mal anders: am DSL-Anschluss kommt als allererstes (wie so oft) die FBF. Was die nicht durchlässt, kommt auch nicht im restlichen Netzwerk an.
    Ich möchte jetzt eine VPN-Verbindung in mein Netzwerk über das USG machen. Das ist in der Unifi-Software vorgesehen. Es erfordert aber natürlich, dass die Firewall (=FBF), die zwischen dem tatsächlichen WAN und dem WAN-Port des USG sitzt, entsprechende Ports zum USG durchlässt.
    Die FBF weigert sich aber konstant, irgendwas in Richtung USG durchzulassen, selbst wenn das USG als Exposed Host in der FBF-Firewall von allen Regeln ausgenommen wird.
    Wenn ich an die FBF direkt via LAN-Port einen FTP-Server hänge und für den in der FBF eine Portfreigabe einrichte, dann ist dieser FTP-Server von außen über meine öffentliche IP-Adresse zugreifbar. Der https-Fernzugriff auf die FBF-Einstellungsseiten funktioniert über die öffentliche IP ebenfalls. Das USG, das an der FBF direkt am LAN1-Port hängt, nochmal - als Exposed Host! - ist jedoch von außen nicht sichtbar und loggt auch keinerlei Traffic. Scheint völlig isoliert zu sein. Zwischen FBF und USG ist es, als wäre kein Kabel gesteckt. Es ist aber gesteckt, sonst hätte ich im ganzen Netz keinen Internetzugriff, das alles läuft ja über dieselbe Leitung.
     
  6. AlterMann

    AlterMann Kenner

    Registriert seit:
    5. Juli 2017
    Beiträge:
    91
    Punkte für Erfolge:
    8
    Schon klar - aber meine Vermutung ging in eine andere Richtung:
    die FB leitet alles durch, aber die USG nimmt nichts AN weil am WAN Port nur böses Zeug ankommt was niemand im LAN angefragt hat. So von wegen "...Security Gateway" - Sicherheit und so :)

    Ich finde grad nix zum Thema USG und Firewall - hmmmm... irgendwie schräg das Teil...

    Aber was ich gefunden habe:
    https://community.ubnt.com/t5/UniFi...für-WAN-Fritzbox-lt-gt-LAN/m-p/2201336#M73099

    Doppelt hält besser .... probiers mal aus.

    Schöne Grüße

    Der AlteMann
     
  7. JoeMod2018

    JoeMod2018 Starter

    Registriert seit:
    9. Januar 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Auch ein Gedanke, dass das USG gewisse Dinge am WAN Port nicht akzeptiert. Aber wenn doch ein L2TP-VPN-Zugang im Unifi Controller eingerichtet werden kann? Müsste das USG dann nicht zumindest die entsprechenden Ports doch akzeptieren?
    Ich habe dazu noch eine andere Idee. Vielleicht ist gar nicht das USG der VPN-Einwahlknoten, obwohl das an der Stelle im Netzwerk sicher der ideale Ort wäre, sondern der Ubiquiti Controller. Das wäre in meinem Fall der Windows-Server, der aber von der Fritz!Box aus gar nicht zu sehen ist - sie sieht ja nur das USG und ihr eigenes Subnetz 192.168.178.0/24. Deshalb kann man auch Portfreigaben nicht einrichten, die aus dem eigenen Subnetz herauszeigen würden. Ein Routing aus diesem Subnetz ins LAN 192.168.74.0/24 geht so (aus gutem Grund) erst mal nicht und muss wohl mit einer statischen Route hinzugefügt werden?
    Ich probiere mal weiter...
     
  8. JoeMod2018

    JoeMod2018 Starter

    Registriert seit:
    9. Januar 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Das war wohl Unsinn. Alle Anleitungen bzgl. VPN verweisen darauf, dass die L2TP-relevanten Ports explizit an das USG weitergegeben werden müssen, nirgendwoanders hin.
    Offenbar funkt mir der FBF-interne VPN-Dienst dazwischen. Er ist zwar vollkommen unkonfiguriert, aber wenn der die Ports blockiert, ist klar, warum die nicht weitergehen. Mich wundert dann nur, wieso die Ports bei den Portweiterleitungen stehen bleiben, wie ich sie definiert habe. Belegte Ports werden normalerweise automatisch durch Alternativen ersetzt.
    Wahrscheinlich geht es jetzt nur weiter, wenn ich die FBF doch irgendwie "aufmache" für Telnet, um in der internen Konfiguration das Nötige zu tun, was im Web UI offenbar nicht geboten wird.
    Oder verrenne ich mich hier? Ist die FBF vielleicht an dieser Stelle einfach das falsche Gerät?

    Übrigens, natürlich habe ich dem FBF-integrierten VPN auch schon eine Chance gegeben. Leider verreckt dieser Zugang einfach daran, dass man dann noch vor dem USG steht, d.h. man erreicht im Netzwerk nichts und niemanden.
    Es wäre alles ganz easy, wenn ich das USG weg ließe. Aber dann eben auch wieder schön unsicher....
     
  9. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.576
    Punkte für Erfolge:
    68
    Hi,
    was willst du eigentlich genau machen? L2TP benötigt genau einen Port. Und die FB unterstützt L2TP nicht, kann also diesbzgl. nicht "dazwischenfunken". Was du wahrscheinlich machen willst ist "L2TP over IPSec".
    Da bei dir noch nicht mal die Portweiterleitung zum Zugriff auf den Webserver der USG funktioniert, blockiert die FB "intern" nicht nur die IPSec Ports, sondern auch alles Andere:rolleyes:. Dann solltest du einen Reset der FB in Erwägung ziehen.

    Ich kenne Dutzende FBen, die die IPSec Ports an dahinterliegende VPN-Server weiterleiten - ohne jedes Problem. Wenn bei dir die FB das Problem darstellt, dann muss es was sehr Spezifisches sein.
    Nein. Einen Dienst zu konfigurieren und die Firewall anzupassen sind unterschiedliche Dinge. Allerdings sollte selbst bei der Ablehnung der eingehenden IPSec-Verbindung ein entsprechender Eintrag im Log der Firewall erscheinen.

    Für mich gibt es folgende Varianten: FB ist verwurstelt, benötigt einen Reset und eine Neukonfiguration (ohne Restore aus einer alten Konfiguration) oder die USG ist falsch konfiguriert. Theoretisch kann auch die FB falsch konfiguriert sein.

    Das kannst du entweder selbst überprüfen oder uns Screenshots von allen relevanten Konfig-Bildschirmen der USG und der FB einstellen.

    VG
     
  10. Fuxe

    Fuxe Starter

    Registriert seit:
    27. September 2018
    Beiträge:
    1
    Punkte für Erfolge:
    1
    Lieber JoeMod2018,
    hast Du es inzwischen gelöst?
    Ich wäre SEHR an der Lösung interessiert, da ich mit meiner 6490 (am Vodafone-Kabel) selbiges Problem habe (allerdings nicht so kompetent herumprobieren kann wie Du) :)
    Liebe Grüße
    Fuxe