Anleitungs-Update: 23.08.2024
Haftungsausschluss
Ich übernehme keine Haftung für Schäden an euren Systemen!
Erfahrene Administratoren sollten diese Anleitung umsetzen.
Anwendung auf eigene Verantwortung!
¶ Willst du mich Unterstützen?
Wenn dir diese Anleitung geholfen hat oder meine Dokus Untestützen möchtest, freue ich mich auf eine kleine Spende via PayPal.
Würde mich mega freuen, denn solche Dokus sind aufwändig und das Rumprobieren kostet Viel Zeit.
Anschluss Voraussetzungen
Um die Anleitung umsetzen zu können braucht ihr einen Internet Anschluss auf beiden Seiten mit richtiger Öffentlicher IP Adresse, DS-Lite Anschlüsse werden mit dieser Anleitung nicht unterstützt.
Ebenfalls werden DynDNS sowie MyFritz Dienste benötigt. Die meisten DynDNS Dienste (mit Ausnahme von MyFritz Adressen) sind Kostenlos brauchen aber manuelle Reaktivierungen da diese nach 30-90 Tagen in der Regel "Ablaufen".
Basiseinstellung
VPN-Typ: IPSec
Name: Hier ein Beliebiger Name
Pre-Shared-Key: Gemeinsamer Schlüssel für die FritzBox und die UDM
Lokale IP: Hier steht die Öffentliche IP Adresse deines Internet Providers
Remote IP / Host: Die Feste IP, FQDN oder die MyFritz Adresse der Gegenstelle/FritzBox
Netzwerkkonfiguration
VPN Typ: Routenbasiert
Remote Netzwerk(e): Lokales IP Netz der Fritzbox (Default: 192.168.178.0/24)
Erweiterte Einstellung
Erweitert: Manuell
Schlüsselaustausch Version: IKEv1
IKE:
Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 28800
ESP:
Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 28800
Perfect Forward Secrecy (SPF): Angehakt
Verschlüsselung Hinweis
Die hier in dem Artikel gezeigten Verschlüsselungsmethoden sind bereits die höchsten von der FritzBox unterstützten Technologien.
Lokale Authentifizierungs-ID - (Manuell: Haken Weg): <FQDN/DynDNS der UniFi UDM>
Remote-Authentifizierungs-ID- (Manuell: Haken Weg): <FQDN/MyFritz-Adresse der FritzBox>
Route Entfernung: 30
¶ Voraussetzungen / Einschränkungen durch die FirtzBox
.png)
¶ Vorbereitung für der FritzBox:
Man erstellt ne neue Text Datei, Trägt meine Vorlage ein und Lädt diese in der FritzBox unter "Internet" → "Freigaben" → VPN (IPSec) als Config hoch:
Angepasst müssen Folgende werte:
Zeile 5, Zeile 7, Zeile 14, Zeile 16, Zeile 19, Zeile 24, Zeile 31-32, Zeile 37-38 und Zeile 42
Zeile 5: Name der VPN Verbindung der in der FirtzBox angezeigt wird.
Zeile 7: keepalive_ip = "<FQDN/DynDNS der UniFi UDM>"; oder keepalive_ip = <Ohne "" für Feste IP Adresse der UDM>;
Zeile 14: remotehostname = "<FQDN/DynDNS der UniFi UDM>";
Zeile 16: fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
Zeile 19: fqdn = "<FQDN/DynDNS der UniFi UDM>";
Zeile 24: key = "<Gemeinsamer Schluessel zwischen FritzBox und UniFi UDM>";
Zeile 31-32: IP Netz inkl. Subnet der FirtzBox
Zeile 37-38: IP Netz inkl. Subnet der UniFi UDM
Zeile 42: accesslist = "permit ip any <IP Netz der UDM> <Subnet, Beispiel: 255.255.255.0>";
VPN Config FritzBox Quelle erweitern
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "<Verbindungsname>";
always_renew = yes;
keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<FQDN/DynDNS der UniFi UDM>";
localid {
fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
}
remoteid {
fqdn = "<FQDN/DynDNS der UniFi UDM>";
}
mode = phase1_mode_idp;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "<Gemeinsamer Schluessel>";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <IP Netz der FritzBox>;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = <IP Netz der UDM>;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOFConfig für das gleichzeitige Verbinden von 2 Netzwerken (Beispiel: LAN und vLAN gleichzeitig)
Hinweis: Wird nicht unbedingt von allen FritzBoxen unterstützt!
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "<Verbindungsname>";
always_renew = yes;
keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<FQDN/DynDNS der UniFi UDM>";
localid {
fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
}
remoteid {
fqdn = "<FQDN/DynDNS der UniFi UDM>";
}
mode = phase1_mode_idp;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "<Gemeinsamer Schluessel>";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = <IP Netz der UDM>;
mask = 255.255.255.0;
}{
ipaddr = <2tes IP Netz der UDM>;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0", "permit ip any <2tes IP Netz der UDM> 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
¶ Willst du mich Unterstützen?
Wenn dir diese Anleitung geholfen hat oder meine Dokus Untestützen möchtest, freue ich mich auf eine kleine Spende via PayPal.
Würde mich mega freuen, denn solche Dokus sind aufwändig und das Rumprobieren kostet Viel Zeit.
Bekannte Probleme | FAQ:
| Problem | Lösung |
|---|---|
| Verbindung wird nicht aufgebaut | 1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Prüfe die Parameter in der Konfiguration für die FritzBox. 3.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox |
| Ich hab kein PING zur gegenstele | 1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig |
| Das Gegenüber stehende Netz war kurz erreichbar und jetzt nicht mehr | 1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Deaktiviere und Aktiviere die IPSec VPN Konfiguration in der UDM 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig |
| Ich hab die FritzBox und die UDM neu gestartet, aber es geht trotzdem nicht, was kann ich tun? |
1.) Bitte achte da drauf ob du ein DS-Lite Anschluss hast, das erfährst du bei deinem Internet Anbieter. 2.) Prüfe auf mögliche Firewall Fehlkonfigurationen 3.) Ist die Konfiguration auf der FritzBox oder UDM Aktiviert? 4.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig |
| Die Konfig lässt sich nicht in die FritzBox Importieren | 1.) Entferne die komplette Zeile mit keepalive_ip = aus der Konfig und Probiere es erneut 2.) Überprüfe ob du dich nicht ggf. Vertippt hast. 3.) Wechsle mit Notepad++ unter “Bearbeiten” → “Format Zeilenende” → von “Windows (CR+LF)” zu “Unix (LF)” und speichere dies erneut ab. |