Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense auf Hetzner-Server, Anbindung 2x Unifi als Wireguard-VPN

    Deutsch
    2
    5
    79
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      deylo
      last edited by

      Hallo zusammen,

      nachdem ich schon recht verzweifelt bin, frage ich nun mal hier in der Hoffnung, dass Ihr mir weiterhelfen könnt. Es geht um die Anbindung zweier Unifi-Umgebungen via VPN an einen pfSense-Wireguard-VPN-Server. Der Server ist bei Hetzner gehosted und hat eine feste IP. Die Unifi-Umgebungen sind via Mobilfunk angebunden und haben weder erreichbare IPv4 noch IPv6.

      Die Anbindung an sich funktioniert. Sämtlicher Traffic wird über den VPN-Server geleitet. Das einzige Problem ist jedoch, dass ich nicht ins entfernte Netz komme. "tracert" endet immer bei der IP vom Tunnel.

      Hier einmal der Aufbau mit IP-Adressen:
      FrageForum.jpg

      Und hier die tracerts:
      tracert.jpg

      Ich habe in der Unifi die Firewall-Regeln nach meiner Meinung korrekt gesetzt, für mich sieht es aber so aus, als würde der Traffic gar nicht erst vom Tunnel in das Netz geleitet werden.
      Dazu habe ich zwei Gateways eingerichtet, was ich so in diversen Anleitungen gesehen habe. Ob das so richtig ist, kann ich nicht sagen. Ohne dem geht es aber auch nicht.
      Gateways.jpg

      Und dann noch statische Routen, die über das Gateway gehen:
      statischeRouten.jpg

      Tunnel:
      Tunnel.jpg

      Allowed IPs der Peers (beides Unifi-Clients)
      allowedIPS.jpg

      Ich hoffe der Post ist nicht zu lang, aber damit sollten erstmal viele (hoffentlich hilfreiche) Details enthalten sein.

      Ich bedanke mich im Voraus,
      viele Grüße

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @deylo
        last edited by

        @deylo said in pfSense auf Hetzner-Server, Anbindung 2x Unifi als Wireguard-VPN:

        Hallo zusammen,

        nachdem ich schon recht verzweifelt bin, frage ich nun mal hier in der Hoffnung, dass Ihr mir weiterhelfen könnt. Es geht um die Anbindung zweier Unifi-Umgebungen via VPN an einen pfSense-Wireguard-VPN-Server. Der Server ist bei Hetzner gehosted und hat eine feste IP. Die Unifi-Umgebungen sind via Mobilfunk angebunden und haben weder erreichbare IPv4 noch IPv6.

        Die Anbindung an sich funktioniert. Sämtlicher Traffic wird über den VPN-Server geleitet. Das einzige Problem ist jedoch, dass ich nicht ins entfernte Netz komme. "tracert" endet immer bei der IP vom Tunnel.

        Hier einmal der Aufbau mit IP-Adressen:
        FrageForum.jpg

        Und hier die tracerts:
        tracert.jpg

        Ich habe in der Unifi die Firewall-Regeln nach meiner Meinung korrekt gesetzt, für mich sieht es aber so aus, als würde der Traffic gar nicht erst vom Tunnel in das Netz geleitet werden.

        Vom Tunnel in welches Netz? Dein Tracert geht ja bis zum 10.0.10.1 Endpunkt, also bist du ja über der VPN Strecke drüber?

        Dazu habe ich zwei Gateways eingerichtet, was ich so in diversen Anleitungen gesehen habe. Ob das so richtig ist, kann ich nicht sagen. Ohne dem geht es aber auch nicht.
        Gateways.jpg

        Und dann noch statische Routen, die über das Gateway gehen:
        statischeRouten.jpg

        Tunnel:
        Tunnel.jpg

        Allowed IPs der Peers (beides Unifi-Clients)
        allowedIPS.jpg

        Das kommt mir falsch vor. Ich müsste nochmal nachforschen, weil ich Wireguard selten als Tunnel einsetze - dafür ist mir die Konfig zu verschwommen. Aber soweit wie das aussieht, hast du EINEN WG Endpunkt und darüber ZWEI Peers verbunden? Korrekt?

        Ich weiß nicht wie gut DAS funktioniert, wenn beide Peers am gleichen WG Endpunkt terminieren. Das könnte Routing-mäßig eventuell problematisch sein, bzw. muss dann wahrscheinlich korrekt konfiguriert sein, damit die richtigen Netze zu Peer 1 und zu Peer 2 abbiegen.

        Ich würde hier erstmal mit einem Peer / einer Unifi Umgebung testen und diese eine ans Laufen bekommen und für die zweite dann eher einen zweiten Peer und zweites Interface (wg1/wg2) konfigurieren. Damit kann dann auch der Tunnelendpunkt auf der Sense unabhängig durchgestartet werden und es sind nicht automatisch gleich beide Netze getrennt.

        Cheers

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        D 1 Reply Last reply Reply Quote 0
        • D
          deylo @JeGr
          last edited by

          @JeGr
          Vielen Dank für Dein Kommentar.
          Und ich war der Meinung, dass ein Tunnel mit zwei Peers normal ist. Hoffentlich war das der Fehler. Ich mache mich nachher gleich an die Arbeit und teste es.

          JeGrJ 1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator @deylo
            last edited by JeGr

            @deylo Wie gesagt, ich will gar nicht ausschließen, dass das bei WG nicht auch funktionieren könnte. Ich habe nur bei WG schon zu viel komisches Routing Gedöns gesehen, dass ichs erstmal mit einem Endpunkt bauen und testen würde - vor allem als Anleitung die Doku von Netgate selbst nutzen für Site 2 Site! - und dann versuchen das für den zweiten Peer zu kopieren.

            Bei OVPN bspw. macht das auch Schwierigkeiten, so dass man hier mit den CSOs (overrides) arbeiten muss, damit der VPN Prozess weiß welche Netze er über welchen Client schicken soll, daher ist das gerade mein Ansatz, dass ich das erstmal trennen würde :) Zumal wirs mit einem einzelnen Tunnel zu Hetzner schonmal testweise gebaut hatten - problemlos. Daher würde es mich wundern, wenn zwei nicht auch gehen, aber eben separat.

            Cheers

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            D 1 Reply Last reply Reply Quote 0
            • D
              deylo @JeGr
              last edited by

              @JeGr
              Deine Kommentare helfen denke ich ganz gut weiter. Zumindest habe ich schon was dazugelernt.
              Falls Du OpenVPN meinst, das habe ich auch aufgesetzt (mit 2 Peers auf einem Tunnel), da war es genau das gleiche, ich bin also genau bis zum gleichen Punkt gekommen und nicht weiter (gegenseitiges finden der Peers nicht möglich).

              Ich teste es jetzt Mal mit pfSense und zwei Tunneln.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.