Hallo @DCCADMIN ,

willst du den eingebauten IPSec-Server der DB nutzen?

Wenn nein, schalte ihn aus.

Du solltest schon alle relevanten Dienste an dein UniFi weiterleiten (500, 4500, 1701, ...).

Ok, wird das abschalten des IPSEC-Servers der DB hier gemacht ?

@DCCADMIN 

Ja.

Wenn ich das abschalte passiert aber gar nix mehr. Der VPN-Client steht einfach nur im Verbindungsaufbau ohne Rückmeldung. Und im Log der Digi-Box taucht auch nix mehr auf...

@DCCADMIN 

Hast du die Weiterleitungen in der DB für die entsprechenden Dienste an die UniFi auch eingerichtet?

Die Portweiterleitung sieht jetzt so aus:

 Firewall-Einstellungen hab ich ja schon gepostet...

@DCCADMIN 

Nutzt du l2tp?

Dann solltest du auch den Port 1701 weiterleiten.

Ob du AH auch benötigst, weiß ich nicht.

Du könntest die DB natürlich auch als Exposed Host konfigurieren.

Ich hab jetzt alle Ports eingetragen...Exposed Host hab ich auch schon probiert...bringt alles nix...immer wieder die gleiche Fehlermeldung:

 Und das Log sieht immer so aus wie in meinem ersten Post...

@DCCADMIN 

Was heißt, das Log sieht immer noch so aus ...?

Die DB kann Netzwerkverkehr mitschneiden (Wireshark), vielleicht wird man dann schlauer.

 So sieht das interne Protokol der DB aus...

@DCCADMIN 

Ich dachte du hast den internen IPSec-Server der DB deaktiviert?

Sorry, den hatte ich zwischenzeitlich wieder eingeschaltet...Ist jetzt abgeschaltet, dann hängt der Client ewig im Verbindungsaufbau und bringt dann folgende Meldung:

@DCCADMIN 

Ich würde jetzt tracen, dann sieht man welche Pakete von deinem Client ankommen und ob die weitergeleitet und beantwortet werden.

Ich bin jetzt so nicht der Fachmann...kannst Du mir sagen wie das mache ?

@DCCADMIN 

Unter Home -> Mehr anzeigen -> Trace findet man die entsprechenden Tracemöglichkeiten.

Bei der Schnittstellenauswahl wählst du die Schnittstelle.

Als erstes wählst du natürlich die WAN-Schnittstelle (z.B. DTAG Internet-Zugang) und startest den Trace.

Verbindungsversuch, nach Fehlermeldung Stopp und mit Wireshark analysieren welche Pakete an der DB ankommen und ob Antworten zurück gesendet werden.

Kommen keine Antworten zurück, würde ich als nächstes die Schnittstelle br0 (ich gehe davon aus, daß die UniFi an einem der gelben Ports angeschlossen ist) wählen, um zu sehen, ob die Pakete zur UniFi gesendet werden.

Ich hab das  mit dem Trace jetzt mal versucht. Ein Eintrag ist mir halt aufgefallen:

 rot = IP der DigiBox

   grün = IP des Clienten

@DCCADMIN 

Wenn du möchtest, sehe ich mir den Netzwerkmitschnitt (pcap-Datei) an.

Dazu die Datei in eine Cloud kopieren und mir den Link dazu als PN senden.

Noch eine andere Frage...muß ich eigentlich keine ausgehende Regeln definieren ?

@DCCADMIN 

Wofür?

Ja, es gibt auch ausgehende Regeln für IPSec.

Die einfachste Lösung ist meiner Meinung nach: Eine VPN - Einwahl über den Assistenten anlegen, und dann die IP-Adresse ändern.

Bei mir sieht das so aus:

Bei den eingehenden Regeln die Zieladresse ändern, und bei den ausgehenden die Quelle.

Schade, die ausgehende Regel bringt mich auch nicht weiter...

 aktuelle NAT-Config...

Du hast die Zieladressen ja nicht geändert.