- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Digitalisierungs Box Premium und UniFi Security Gateway 4P
01.03.2020 09:01
Hallo Community, wir setzen eine UniFi Security Gateway 4P hinter der Digi-Box. Es läuft alles bis auf den Aufbau der VPN-Verbindung. Ich habe schon viele Einstellungen versucht aber nix hat bisher funktioniert. Ich poste hier einfach mal die Einstellungen die ich gemacht habe bzw. die Fehlermeldungen die ich bekomme. Vielleicht hat ja jemand einen Tipp für mich...
Anhang1 - Fehlermeldung vom Win10 Client
Anhang2 - NAT-Konfiguratio der DigiBox
Anhang3 - Firewall-Regeln der DigiBox
Anhang4 - UniFi Gateway
Anhang5 - UniFi Gateway
Grüße
Markus
01.03.2020 09:45
01.03.2020 10:09
Hallo @DCCADMIN ,
willst du den eingebauten IPSec-Server der DB nutzen?
Wenn nein, schalte ihn aus.
Du solltest schon alle relevanten Dienste an dein UniFi weiterleiten (500, 4500, 1701, ...).
01.03.2020 10:22
Ok, wird das abschalten des IPSEC-Servers der DB hier gemacht ?
01.03.2020 10:33
01.03.2020 10:41
Wenn ich das abschalte passiert aber gar nix mehr. Der VPN-Client steht einfach nur im Verbindungsaufbau ohne Rückmeldung. Und im Log der Digi-Box taucht auch nix mehr auf...
01.03.2020 10:48
Hast du die Weiterleitungen in der DB für die entsprechenden Dienste an die UniFi auch eingerichtet?
01.03.2020 10:56
Die Portweiterleitung sieht jetzt so aus:
Firewall-Einstellungen hab ich ja schon gepostet...
01.03.2020 11:06
Nutzt du l2tp?
Dann solltest du auch den Port 1701 weiterleiten.
Ob du AH auch benötigst, weiß ich nicht.
Du könntest die DB natürlich auch als Exposed Host konfigurieren.
01.03.2020 11:18
Ich hab jetzt alle Ports eingetragen...Exposed Host hab ich auch schon probiert...bringt alles nix...immer wieder die gleiche Fehlermeldung:
Und das Log sieht immer so aus wie in meinem ersten Post...
01.03.2020 11:22
Was heißt, das Log sieht immer noch so aus ...?
Die DB kann Netzwerkverkehr mitschneiden (Wireshark), vielleicht wird man dann schlauer.
01.03.2020 11:29
So sieht das interne Protokol der DB aus...
01.03.2020 11:31
01.03.2020 11:37
Sorry, den hatte ich zwischenzeitlich wieder eingeschaltet...Ist jetzt abgeschaltet, dann hängt der Client ewig im Verbindungsaufbau und bringt dann folgende Meldung:
01.03.2020 11:41
Ich würde jetzt tracen, dann sieht man welche Pakete von deinem Client ankommen und ob die weitergeleitet und beantwortet werden.
01.03.2020 11:44
Ich bin jetzt so nicht der Fachmann...kannst Du mir sagen wie das mache ?
01.03.2020 12:04
Unter Home -> Mehr anzeigen -> Trace findet man die entsprechenden Tracemöglichkeiten.
Bei der Schnittstellenauswahl wählst du die Schnittstelle.
Als erstes wählst du natürlich die WAN-Schnittstelle (z.B. DTAG Internet-Zugang) und startest den Trace.
Verbindungsversuch, nach Fehlermeldung Stopp und mit Wireshark analysieren welche Pakete an der DB ankommen und ob Antworten zurück gesendet werden.
Kommen keine Antworten zurück, würde ich als nächstes die Schnittstelle br0 (ich gehe davon aus, daß die UniFi an einem der gelben Ports angeschlossen ist) wählen, um zu sehen, ob die Pakete zur UniFi gesendet werden.
01.03.2020 13:29
Ich hab das mit dem Trace jetzt mal versucht. Ein Eintrag ist mir halt aufgefallen:
rot = IP der DigiBox
grün = IP des Clienten
01.03.2020 13:38
Wenn du möchtest, sehe ich mir den Netzwerkmitschnitt (pcap-Datei) an.
Dazu die Datei in eine Cloud kopieren und mir den Link dazu als PN senden.
01.03.2020 18:31
Noch eine andere Frage...muß ich eigentlich keine ausgehende Regeln definieren ?
01.03.2020 18:35
Wofür?
01.03.2020 18:49
Ja, es gibt auch ausgehende Regeln für IPSec.
Die einfachste Lösung ist meiner Meinung nach: Eine VPN - Einwahl über den Assistenten anlegen, und dann die IP-Adresse ändern.
Bei mir sieht das so aus:
Bei den eingehenden Regeln die Zieladresse ändern, und bei den ausgehenden die Quelle.
01.03.2020 20:25
Schade, die ausgehende Regel bringt mich auch nicht weiter...
01.03.2020 20:31
aktuelle NAT-Config...
01.03.2020 20:37
Du hast die Zieladressen ja nicht geändert.