Toggle sidebar

Sonstige Router Site-to-Site VPN zwischen Dream Machine Pro und FRITZ!Box

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Hersteller bitte im Thementitel angeben
senderversteller

senderversteller

Benutzer
Registriert
10. Dez. 2015
Beiträge
528
Reaktionspunkte
156
Punkte
69
Hallo zusammen, bei mir sind aktuell mein Haushalt (FRITZ!Box 7590AX) mit den Haushalten meiner Eltern (FRTIZ!Box 5590 Fiber) und meiner Schwiegereltern (FRITZ!Box 7490) über VPN Site-to-Site per IPsec verbunden.

Ich plane mein Netzwerk von FRITZ!Box 7590AX auf UniFi umzustellen. Ich möchte mir eine Dream Machine Pro zulegen, inkl. UniFi Switch und APs. Die Dream Machine wird mittels SFP Modul als GPON Modem direkt am GF Anschluss betrieben werden. Sowohl der Telekom ONT als auch die FRITZ!Box 7590 AX sollen komplett raus fliegen, evtl. dient die FRITZ!Box noch als DECT-Telefon Basis für IP Telefonie hinter der Dream Machine.

Nun muss ich das S2S-VPN zwischen UDM-Pro und den beiden FRITZ!Boxen herstellen.
Hat da jemand Erfahrung mit so einer Konfiguration UDM-Pro <-> VPN(S2S) <-> FRITZ!Box in Hinblick auf Stabilität, Speed, Einschränkungen, etc.? Ich habe ChatGPT mal befragt, und das Ergebnis ist, dass es zwar grundsätzlich geht, aber nicht ganz so smooth wie bisher, da die IPsec Konfiguration auf den FRITZ!Boxen sehr beschränkt ist. Der Tunnel ist nicht so "robust" insbesondere bei Reconnect, hängt oder wird garnicht aufbaut. Grund dafür ist, dass die FRTIZ!Box dazu zwingt alte IPsec Standards (IKEv1) einzusetzen... WireGuard S2S fällt sowieso raus, weil die FB das nicht kann... hört sich nicht ganz so doll an, was die KI ausspuckt, wenn man auf stabile VPN Verbindungen setzt. Aber KI erzählt auch viel Mist.

Würde mich über echte Erfahrungen, falls vorhanden, freuen.
 
Mal ein paar Ideen meinerseits, auch wenn ich keine Fritzbox mehr habe.

1. Bei Youtube mal nach einem Video https://www.youtube.com/@RaspberryPiCloud schauen. Der hatte mal eine OpnSense per Wireguard mit einer Fritzbox S2S "verknüpft.
2. Wireguard sollte doch auf allen 3 FB gehen, oder täusche ich mich da?
3. FB ggf. bei den Schwiegereltern upgraden?
4. Ggf. auf OpenWRT ausweichen, wobei das bei der 7490 auch nicht ganz ohne Risiko ist.

...und das Schwierigste: Es sind die Schwiegereltern 😂. Der Flaschenhals dürfen aber immer die Fritzboxen sein und nicht unbedingt das Unifi Netzwerk. Richte dich aber etwas auf Firewall-Schreib-Arbeit ein, wenn du auf Unifi umstellst. Die Umstellung ist wie vom VW auf Porsche.
senderversteller schrieb:
Ich plane mein Netzwerk von FRITZ!Box 7590AX auf UniFi umzustellen. Ich möchte mir eine Dream Machine Pro zulegen, inkl. UniFi Switch und APs. Die Dream Machine wird mittels SFP Modul als GPON Modem direkt am GF Anschluss betrieben werden. Sowohl der Telekom ONT als auch die FRITZ!Box 7590 AX sollen komplett raus fliegen, evtl. dient die FRITZ!Box noch als DECT-Telefon Basis für IP Telefonie hinter der Dream Machine.
Zum Vergrößern anklicken....
Und vielleicht kurz erläutern, was die Intentionen dazu sind. Ggf. folgen daraus auch Hinweise, auf was du alles bei der Umstellung achten musst, oder hast du schon Erfahrungen mit dem Unifi Netzwerk gesammelt?
 
Zur Klärung wofür die S2S VPN bei Eltern (beide 75+) und Schwiegereltern (65+):
Es geht grundsätzlich um Supportzwecke (z.B. Windows Remotedesktop Verbindung) als auch darum, dass bei meinen Eltern mein Offsite NAS steht, auf dem stündlich, täglich, etc. verschiedene Hyperbackups gefahren werden. Ich könnte jetzt einzelne Client-VPNs zu den Geräten machen und auf Teamviewer, etc. ausweichen - aber das will ich nicht. Das S2S VPN zwischen den FRTIZ!Boxen bisher ist sehr stabil und universell nutzbar und praktisch. Das möchte ich natürlich mit dem Betrieb einer Dream Machine weiter haben.

Die "Oldies" haben mit dem ganzen Kram garnix zu tun, haben auch keine Ahnung davon... auf deren Belange muss ich keine Rücksicht nehmen, außer dass das Internet läuft ;)

Zu den Fragen:
  1. Ich habe schon nach einem passenden Videos gesucht - auch bei Dennis Schröder. So ganz konkret habe ich nichts gefunden... also auch nichts, wo über Performance und Stabilität berichtet wird. Deswegen frage ich hier nach Erfahrungen.
  2. Die FRITZ!Box kann WireGuard, ja... aber nur um Clients vernünftig anzubinden. Für ein echtes S2S kann man bei der FB kein WireGuard einsetzen. Da geht nur IPsec, und (laut KI) in Verbindung mit einer UDM nur IPsec mit IKEv1...
  3. Mit welchem Ziel? - Also die 7490 ist unbestritten in die Jahre gekommen, und wird ggf. durch die freiwerdende 7590AX ersetzt.
  4. OpenWRT - wie meinst du das? Ich würde schon erst versuchen, das mit Board-Mitteln der Router zu lösen... Irgendwelche WireGuard Server mit z.B. Raspi auf der FB-Seite wollte ich vermeiden... denn ich denke, dass der VPN Server auf den Router gehört. Fertig.

Also ich selbst habe noch keine Erfahrung mit UniFi, aber mir schon sehr viele Videos zu dem Thema angesehen und mich eingelesen. Hauptintention:
  • Brauche scheinbar mal wieder ein neues Hobby 🤪
  • Grundsätzlich bessere Kontrolle des eigenen Heimnetzes
  • Verbesserung der WLAN Performance im Haus und Garten durch APs anstatt Mesh-Netzwerk, unterschiedliche WLAN Netze (z.B. für IoT nur 2,4GHz vom Heimnetz getrennt), etc.
  • Netzsegmentierung (VLANs) für Kamera, IoT, Server, Heimnetz, Gästenetz
  • FRTIZ!Box kommt mit zunehmender Anzahl an Clients (> 70) doch oft an die Grenzen... selbst die 7590AX geht manchmal in einen Modus wo sie gefühlt "überlastet" ist und ich nicht weiß weshalb das so ist. Gibt ja keine Logs darüber... oft hilft nur Hard Reset (Neustart) oder warten bis es sich wieder beruhig hat. Spätestens wenn der Junior von oben brüllt "Man das Internet laggt!!!" weiß ich, es ist wieder so weit... dann reagiert die GUI der FB extrem langsam.

Ich habe schon verstanden, dass ich mich auf allerlei Arbeit einlasse, bis alles wieder so läuft wie ich das brauche. Vor allem Firewall und Netzsegmentierung, das muss alles korrekt gemacht werden, damit es gut und richtig läuft. Die FRITZ!Box nimmt einem viel Arbeit ab, aber lässt auch wenig zu. Aber ich bin für Hinweise natürlich dankbar.

Mir geht es grundsätzlich hier aber erstmal darum, wie das S2S-VPN läuft und mit welchen Einschränkungen ich leben muss. Das klang halt etwas ernüchternd, was die KI ausspuckt, deswegen habe ich hier nach Erfahrungen gefragt.
 
Zuletzt bearbeitet:
senderversteller schrieb:
Ich könnte jetzt einzelne Client-VPNs zu den Geräten machen und auf Teamviewer, etc. ausweichen - aber das will ich nicht.
Zum Vergrößern anklicken....
Ist dein gutes Recht. Wenn du auf das Offsite NAS und die Geräte nur für Supportzwecke zugreifst, werfe ich jetzt mal Tailscale in den Raum.

Vielleicht ist das auch eine Option und ggf. weniger aufwändig, wie sich mit S2S Verbindungen herumzuschlagen und die Verbindungen sind dann auch nicht abhängig von der Performance der Fritzboxen. 😉

Ich betreue auch ein NAS von einem Ehepaar ohne technische Ambitionen. Auf dem NAS ist Tailscale installiert und funktioniert wunderbar. Die Tailscale Clients können automatische starten und sind auch auf das Tailscale Netzwerk begrenzt. Also auch eine Art "VPN".
 
Bin auf diesen Wiki-Eintrag im UniFi Forum gestoßen. Hört sich nicht so schlecht an. Hilft nix, als es auszuprobieren.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten