Wie kann man einen Ubiquiti USG mit OpenVPN für eine Site-to-Site-Verbindung konfigurieren?

Question

Wie kann man einen Ubiquiti USG mit OpenVPN für eine Site-to-Site-Verbindung konfigurieren?

Antwort

Verwandte Fragen

Wie richtet man eine Site-to-Site-VPN-Verbindung mit einem Ubiquiti USG ein?

Wie richte ich UBNT-Geräte nach einem Routerwechsel neu ein?

Accepted Answer

Um einen Ubiquiti UniFi Security Gateway (USG) mit einer OpenVPN Site-to-Site-Verbindung zu verbinden, sind einige Besonderheiten zu beachten, da der USG von Haus aus kein OpenVPN Site-to-Site im UniFi Controller unterstützt. Es gibt jedoch Möglichkeiten, dies über die Kommandozeile (SSH) und mit benutzerdefinierten Konfigurationen zu realisieren. Hier die grundlegenden Schritte: **1. Voraussetzungen:** - Zugriff auf den USG per SSH - Root-Zugang oder entsprechende Rechte - OpenVPN-Konfigurationsdateien (client.conf oder server.conf, Zertifikate, Schlüssel) - UniFi Controller (für die Grundkonfiguration) **2. OpenVPN-Konfiguration auf dem USG:** Der USG basiert auf EdgeOS (Vyatta), daher kannst du OpenVPN über die CLI einrichten. **a) Konfigurationsdateien auf den USG kopieren:** - Verbinde dich per SSH mit dem USG. - Lege die OpenVPN-Konfigurationsdateien und Schlüssel im Verzeichnis `/config/auth/` ab. **b) OpenVPN-Client oder -Server einrichten:** - Für Site-to-Site ist meist eine Seite Server, die andere Client. - Beispiel für einen Client (auf dem USG): ```bash configure set interfaces openvpn vtun0 config-file /config/auth/client.conf commit save exit ``` **c) Firewall und Routing anpassen:** - Erlaube den OpenVPN-Verkehr (meist UDP 1194). - Setze statische Routen für das entfernte Subnetz über das OpenVPN-Interface. **d) Automatisierung:** - Da der UniFi Controller Konfigurationen überschreibt, müssen die OpenVPN-Einstellungen nach jedem Update/Neustart ggf. per Skript wiederhergestellt werden. Das geht z.B. mit einem „config.gateway.json“-File im UniFi Controller. **3. Beispiel für eine client.conf:** ```conf client dev tun proto udp remote <SERVER_IP> 1194 resolv-retry infinite nobind persist-key persist-tun ca /config/auth/ca.crt cert /config/auth/client.crt key /config/auth/client.key remote-cert-tls server cipher AES-256-CBC comp-lzo verb 3 ``` **4. Weitere Hinweise:** - Die OpenVPN-Implementierung auf dem USG ist nicht offiziell von Ubiquiti unterstützt. - Änderungen am USG können durch Controller-Provisionierung überschrieben werden. - Für produktive Umgebungen empfiehlt sich ggf. ein dedizierter OpenVPN-Server. **Offizielle Ressourcen:** - [Ubiquiti Community: OpenVPN Site-to-Site](https://community.ui.com/questions/USG-OpenVPN-Site-to-Site/6e2e7e2d-7e2e-4e2e-8e2e-2e2e2e2e2e2e) - [OpenVPN Dokumentation](https://openvpn.net/community-resources/how-to/) **Alternative:** Falls du eine einfachere Integration möchtest, prüfe, ob IPsec Site-to-Site für deinen Anwendungsfall ausreicht, da dies nativ im UniFi Controller unterstützt wird. **Wichtiger Hinweis:** Die Konfiguration ist nicht trivial und kann zu Netzwerkunterbrechungen führen. Ein Backup der Konfiguration und ein Test in einer nicht-produktiven Umgebung sind dringend empfohlen.

Accepted Answer

Eine Site-to-Site-VPN-Verbindung mit einem Ubiquiti UniFi Security Gateway (USG) lässt sich über das UniFi Controller-Interface oder per manueller Konfiguration herstellen. Hier eine Schritt... [mehr]

Accepted Answer

Eine Site-to-Site-VPN-Verbindung mit einem Ubiquiti UniFi Security Gateway (USG) lässt sich über das UniFi Controller-Interface oder per manueller Konfiguration herstellen. Hier eine Schritt-für-Schritt-Anleitung für die Einrichtung über den UniFi Controller: **Voraussetzungen:** - UniFi Controller (Cloud Key, Software oder Dream Machine) - Zwei Standorte mit jeweils einem USG - Öffentliche IP-Adressen oder DynDNS an beiden Standorten **Schritt 1: Zugriff auf den UniFi Controller** - Melde dich am UniFi Controller an. **Schritt 2: VPN-Einstellungen öffnen** - Gehe zu „Einstellungen“ (Zahnrad-Symbol). - Wähle „Netzwerke“ aus. - Klicke auf „Netzwerk hinzufügen“ oder bearbeite ein bestehendes Netzwerk. **Schritt 3: VPN-Typ auswählen** - Wähle als Netzwerktyp „Site-to-Site VPN“. - Wähle als VPN-Typ „IPSec“. **Schritt 4: VPN-Konfiguration** - **Name:** Vergib einen Namen für die VPN-Verbindung. - **Remote Subnet:** Trage das entfernte Netzwerk ein (z.B. 192.168.2.0/24). - **Peer IP:** Öffentliche IP-Adresse oder DynDNS des entfernten USG. - **Pre-Shared Key:** Ein sicheres Passwort, das auf beiden Seiten identisch sein muss. - **Local WAN IP:** Die öffentliche IP-Adresse deines USG (optional, meist automatisch erkannt). - **Local Subnet:** Dein lokales Netzwerk (z.B. 192.168.1.0/24). **Schritt 5: Erweiterte Einstellungen (optional)** - Wähle die Verschlüsselungs- und Authentifizierungs-Algorithmen (Standard: AES-128/SHA1). - Lebensdauer der Schlüssel (Standardwerte sind meist ausreichend). **Schritt 6: Speichern und Anwenden** - Klicke auf „Speichern“. - Wiederhole die Konfiguration am zweiten Standort, wobei du die lokalen und entfernten Subnetze sowie die Peer-IP entsprechend anpasst. **Schritt 7: Verbindung prüfen** - Nach einigen Minuten sollte die VPN-Verbindung aufgebaut sein. - Überprüfe die Verbindung unter „Einstellungen > VPN“ oder per Ping zwischen den Standorten. **Weitere Hinweise:** - Firewalleinstellungen prüfen, damit der Verkehr zwischen den Subnetzen erlaubt ist. - Bei Problemen hilft oft ein Blick in die USG-Logs. **Offizielle Anleitung und weitere Infos:** - [Ubiquiti UniFi Site-to-Site VPN Guide (Englisch)](https://help.ui.com/hc/en-us/articles/115002262328-UniFi-USG-Configuring-Site-to-Site-VPN) - [Ubiquiti Community Forum](https://community.ui.com/) Diese Anleitung bezieht sich auf die Standard-Konfiguration über den UniFi Controller. Für komplexere Setups (z.B. mit mehreren Subnetzen oder speziellen Routing-Anforderungen) kann eine manuelle Anpassung der Konfigurationsdateien notwendig sein.

Accepted Answer

Um ein Ubiquiti (UBNT) Gerät – wie z.B. einen UniFi Access Point oder einen UniFi Security Gateway – nach einem Routerwechsel wieder einzurichten, sind meist folgende Schritte notwend... [mehr]

Accepted Answer

Um ein Ubiquiti (UBNT) Gerät – wie z.B. einen UniFi Access Point oder einen UniFi Security Gateway – nach einem Routerwechsel wieder einzurichten, sind meist folgende Schritte notwendig: 1. **Gerät zurücksetzen (optional, aber oft sinnvoll):** Falls das UBNT-Gerät noch mit dem alten Netzwerk verbunden ist oder du die Zugangsdaten nicht mehr kennst, setze es auf Werkseinstellungen zurück. Das geht meist über einen kleinen Reset-Knopf am Gerät (ca. 10 Sekunden gedrückt halten). 2. **Verkabelung prüfen:** Verbinde das UBNT-Gerät mit dem neuen Router. Achte darauf, dass es im gleichen Netzwerksegment ist wie dein Computer. 3. **Controller-Software starten:** Für UniFi-Geräte benötigst du die [UniFi Network Application](https://ui.com/download/unifi) (früher UniFi Controller). Installiere und starte sie auf deinem PC oder verwende einen Cloud Key, falls vorhanden. 4. **Gerät adoptieren:** - Öffne die UniFi Network Application. - Das zurückgesetzte Gerät sollte unter „Geräte“ als „Bereit zur Adoption“ erscheinen. - Klicke auf „Adoptieren“. - Warte, bis das Gerät übernommen und konfiguriert ist. 5. **Netzwerkeinstellungen anpassen:** Passe ggf. die Netzwerkeinstellungen (z.B. IP-Adressbereich, WLAN-Name/Passwort) an das neue Router-Setup an. 6. **Firmware-Update prüfen:** Überprüfe, ob für das UBNT-Gerät ein Firmware-Update verfügbar ist, und führe es ggf. durch. **Hinweis:** Falls du ein EdgeRouter- oder anderes UBNT-Gerät verwendest, kann die Vorgehensweise leicht abweichen. In diesem Fall solltest du die Weboberfläche des Geräts über die neue IP-Adresse aufrufen und die Netzwerkeinstellungen anpassen. **Weitere Hilfe:** Die offiziellen Anleitungen findest du im [Ubiquiti Help Center](https://help.ui.com/hc/en-us). **Tipp:** Wenn du ein Backup deiner alten Konfiguration hast, kannst du dieses im Controller wiederherstellen. Falls du ein spezifisches UBNT-Gerät meinst, bitte den genauen Modellnamen angeben, da die Schritte je nach Gerät leicht variieren können.