VPN zwischen FritzBox und Ubiquiti UDM Pro (Dream Machine)

Anleitungs-Update: 31.03.2024

Haftungsausschluss

Ich übernehme keine Haftung für Schäden an euren Systemen!
Erfahrene Administratoren sollten diese Anleitung umsetzen.
Anwendung auf eigene Verantwortung!

Willst du mich Unterstützen?

Wenn dir diese Anleitung geholfen hat oder meine Dokus Untestützen möchtest, freue ich mich auf eine kleine Spende via PayPal.
Würde mich mega freuen, denn solche Dokus sind aufwändig und das Rumprobieren kostet Viel Zeit.

Anschluss Voraussetzungen

Um die Anleitung umsetzen zu können braucht ihr einen Internet Anschluss auf beiden Seiten mit richtiger Öffentlicher IP Adresse, DS-Lite Anschlüsse werden mit dieser Anleitung nicht unterstützt.
Ebenfalls werden DynDNS sowie MyFritz Dienste benötigt. Die meisten DynDNS Dienste (mit Ausnahme von MyFritz Adressen) sind Kostenlos brauchen aber manuelle Reaktivierungen da diese nach 30-90 Tagen in der Regel "Ablaufen".

Basiseinstellung

VPN-Typ: IPSec
Name: Hier ein Beliebiger Name
Pre-Shared-Key: Gemeinsamer Schlüssel für die FritzBox und die UDM
Lokale IP: Hier steht die Öffentliche IP Adresse deines Internet Providers
Remote IP / Host: Die Feste IP, FQDN oder die MyFritz Adresse der Gegenstelle/FritzBox

Netzwerkkonfiguration

VPN Typ: Routenbasiert
Remote Netzwerk(e): Lokales IP Netz der Fritzbox (Default: 192.168.178.0/24)

Erweiterte Einstellung

Erweitert: Manuell
Schlüsselaustausch Version: IKEv1
IKE:

Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 3600

ESP:

Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 3600
Perfect Forward Secrecy (SPF): Angehakt

Verschlüsselung Hinweis

Die hier in dem Artikel gezeigten Verschlüsselungsmethoden sind bereits die höchsten von der FritzBox unterstützten Technologien.

Lokale Authentifizierungs-ID - (Manuell: Haken Weg): <FQDN/DynDNS der UniFi UDM>
Remote-Authentifizierungs-ID- (Manuell: Haken Weg): <FQDN/MyFritz-Adresse der FritzBox>
Maximale Übertragungseinheit: Automatisch

Voraussetzungen / Einschränkungen durch die FirtzBox


Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3331_FRITZ-Box-mit-einem-Firmen-VPN-IPSec-verbinden/

Vorbereitung für der FritzBox:

Man erstellt ne neue Text Datei, Trägt meine Vorlage ein und Lädt diese in der FritzBox unter "Internet" → "Freigaben" → VPN (IPSec) als Config hoch:
Angepasst müssen Folgende werte:
Zeile 5, Zeile 7, Zeile 14, Zeile 16, Zeile 19, Zeile 24, Zeile 31-32, Zeile 37-38 und Zeile 42
Zeile 5: Name der VPN Verbindung der in der FirtzBox angezeigt wird.
Zeile 7: keepalive_ip = "<FQDN/DynDNS der UniFi UDM>"; oder keepalive_ip = <Ohne "" für Feste IP Adresse der UDM>;
Zeile 14: remotehostname = "<FQDN/DynDNS der UniFi UDM>";
Zeile 16: fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
Zeile 19: fqdn = "<FQDN/DynDNS der UniFi UDM>";
Zeile 24: key = "<Gemeinsamer Schluessel zwischen FritzBox und UniFi UDM>";
Zeile 31-32: IP Netz inkl. Subnet der FirtzBox
Zeile 37-38: IP Netz inkl. Subnet der UniFi UDM
Zeile 42: accesslist = "permit ip any <IP Netz der UDM> <Subnet, Beispiel: 255.255.255.0>";

VPN Config FritzBox

vpncfg {
	connections {
		enabled = yes;
		conn_type = conntype_lan;
		name = "<Verbindungsname>";
		always_renew = yes;
		keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
		reject_not_encrypted = no;
		dont_filter_netbios = yes;
		localip = 0.0.0.0;
		local_virtualip = 0.0.0.0;
		remoteip = 0.0.0.0;
		remote_virtualip = 0.0.0.0;
		remotehostname = "<FQDN/DynDNS der UniFi UDM>";
	localid {
		fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
	}
	remoteid {
		fqdn = "<FQDN/DynDNS der UniFi UDM>";
	}
		mode = phase1_mode_idp;
		phase1ss = "dh15/aes/sha";
		keytype = connkeytype_pre_shared;
		key = "<Gemeinsamer Schluessel>";
		cert_do_server_auth = no;
		use_nat_t = yes;
		use_xauth = no;
		use_cfgmode = no;
		phase2localid {
			ipnet {
				ipaddr = <IP Netz der FritzBox>;
				mask = 255.255.255.0;
			}
		}
		phase2remoteid {
			ipnet {
				ipaddr = <IP Netz der UDM>;
				mask = 255.255.255.0;
			}
		}
		phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
		accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0";
		}
		ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
		"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Willst du mich Unterstützen?

Wenn dir diese Anleitung geholfen hat oder meine Dokus Untestützen möchtest, freue ich mich auf eine kleine Spende via PayPal.
Würde mich mega freuen, denn solche Dokus sind aufwändig und das Rumprobieren kostet Viel Zeit.

Bekannte Probleme:

Problem	Lösung
Verbindung wird nicht aufgebaut	1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Prüfe die Parameter in der Konfiguration für die FritzBox. 3.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox
Ich hab kein PING	1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox
Das Gegenüber stehende Netz war kurz erreichbar und jetzt nicht mehr	1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Deaktiviere und Aktiviere die IPSec VPN Konfiguration in der UDM 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File
Ich hab die FritzBox und die UDM neu gestartet, aber es geht trotzdem nicht, was kann ich tun?	1.) Bitte achte da drauf ob du ein DS-Lite Anschluss hast, das erfährst du bei deinem Internet Anbieter. 2.) Prüfe auf mögliche Firewall Fehlkonfigurationen 3.) Ist die Konfiguration auf der FritzBox oder UDM Aktiviert?
Die Konfig lässt sich nicht in die FritzBox Importieren	1.) Entferne die komplette Zeile mit keepalive_ip = aus der Konfig und Probiere es erneut 2.) Überprüfe ob du dich nicht ggf. Vertippt hast.