Wireguard VPN zwischen Unifi UDM Pro und Windows Server?

Hallo zusammen,

ich habe ein etwas komplexeres Anliegen zum Thema Wireguard bei welchem ich nicht mehr so ganz weiter komme...

Rahmenbedingungen:

Unifi UDM-Pro mit diversen VLANs

-- nicht von extern Erreichbar

-- keine feste IP Adresse

-- Anbindung über wechselnde Provider

Windows Server (gehostet im Rechenzentrum)

-- feste IP Adresse

-- Erreichbar von außerhalb

-- kein Router vorgeschalten auf welchem die Verbindung eingerichtet werden könnte

Funktionalität:

Auf dem Windows Server soll ein Wireguard Server gehostet werden. Von der DreamMaschine soll eine Client Verbindung zu diesem aufgebaut werden.

Auf dem Windows Server laufen local diverse andere Anwendungen welche von einem Gerät im VLAN der DreamMaschine erreichbar sein soll.

Diese Verbindung muss bidirektional möglich sein (Windows Server -> Endgerät im VLAN; Endgerät im VLAN -> Windows Server). Der Zugriff vom Windows Server auf das Endgerät im VLAN soll auf bestimmte Ports beschränkt sein.

Die anderen VLANs und Geräte im Netzwerk der UDM dürfen nicht über den Tunnel erreichbar sein. Ebenfalls soll kein generelles Routing des gesamten Traffics über den Tunnel erfolgen.

Wie kann das ganze nach diesen Vorstellungen und Wünschen in der UDM konfiguriert werden?

Wie muss die config Datei vom WireGuard Server (Windows Server) und vom Client (UDM) aussehen?

1 Antwort

Thomasg

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Server

25.02.2025, 16:47

an sich ist dein Ansatz richtig, auf dem Windows Server einen wireguard server laufen lassen und dich von der UDM dahin verbinden. Was dann über diese Verbindung läuft und erlaubt ist, konfigurierst du dann entsprechend in der UDM.

Wie eine Wireguard Verbindung konfiguriert wird, dafür gibt es massig Howtos im Netz. Gibt es sogar eine Anleitung von Ubiquiti: https://help.ui.com/hc/en-us/articles/16357883221015-UniFi-Gateway-WireGuard-VPN-Client

Wenn du solch ein Gerät vernünftig konfigurieren und einrichten willst, wirst du etwas mehr eigeninitiative zeigen müssen.

Wie du das Routing etc. auf dem Windows Server konfigurierst, kann ich dir nicht sagen. Aber warum hast du einen Windows Server öffentlich erreichbar? Windows Server sind nicht dafür gedacht, und wenn man das schon macht, dann sollte man sehr sehr genau wissen, was man tut und wie man das absichert.

Woher ich das weiß:Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

Ähnliche Beiträge

VLAN Routing?

Hallo!
Ich setzte gerade ein Netzwerk auf und habe einige VLANs z.b.

192.168.10.1 -> Netzwerktechnik
192.168.20.1 -> Computer
192.168.30.1 -> Sicheres Netzwerk
...

Das Netzwerk ist mit Ubiquit aufgesetzt, also eine UDM Pro, dahinter eine US Pro Max 16 PoE und vor den Arbeitsplätzen noch 8 Port Pro Max PoE. Auf der UDM Pro, US Pro Max, sind alle als Natives Vlan Netzwerktechnik und VLAN Tagging für alle erlaubt. Auf der UDM Pro ist auf Port 1, ein Router auf 192.168.30.254. Der Router muss von speziellen IP Adressen erreicht werden können, also Statische Routen die über diesen Router, der hier als Client ist, aufgelöst werden. Das Problem ist jedoch, dass ich von meinen Computern im VLAN 20 auch, auf diese Adresse, bzw. Router, zugreifen müssen. Also als Beispiel: 192.168.20.23 (Arbeitsplatzrechner) -> 192.168.30.254 (Router im 30 VLAN).

Das funktioniert aber nicht, ich hab bereits die Firewall geändert um das zuzulassen jedoch hilft das alles nichts.

Ich bitte um Hilfe, vielen Dank!

...zum Beitrag

VPN aktiv aber keine Internetverbindung?

Hallo zusammen,

ich habe ein problem mit Wireguard...

ich habe bei mehreren clients nun erfolgreich eine VPN verbindung über WG aufbauen können, jedoch funktioniert dies bei einem nun nicht. Konfigurationsdatei kann man im bild sehen.

Bei allen anderen clients hat alles reibungslos funktioniert, bei dem einen client jedoch komme ich nicht weiter.

Das problem beim aktivieren ist, das ich keine internetverbindung nach "erfolgreichem" aktivieren habe. Internetverbindung wird mir angezeigt jedoch habe ich keine.

Kann mir jemand helfen, bzw kann mir jemand eine Lösung vorschlagen.

Vielen Dank im Voraus

Beste Grüße

...zum Beitrag

WireGuard kann keinen Verbindung zum DNS Server aufbauen?

Wollte bei einem Freund auf dem Laptop zu meinem Heimnetzwerk mit WireGuard einen VPN-Tunnel aufbauen, bekam von WireGuard die Fehlermeldung das es nicht ging(gab keinen Fehlercode) im Protokoll stand das WireGuard sich nicht mit einem oder mehreren DNS Servern verbinden kann. Die Konfigdatei ist in Ordnung, hab sie bei einem anderen Freund getestet.

...zum Beitrag

VPN-Tunnel im VPN-Tunnel. Wo ist der Exit-Point?

Wenn ich im unterwegs bin, baue ich über meinen Reise-Router eine Wireguard-Verbindung zu meinem Heimnetz auf.

Wenn ich nun ein Laptop zu dem Reiserouter verbinde, ist der Laptop ergo in meinem Heimnetz.

Was aber passiert, wenn ich nun von meinem Laptop aus eine Wireguard-Verbindung zu z. B. Nord-VPN aufbaue?
Ist dann meine Exitpoint ins Internet mein Heimnetz oder der Nord-VPN-Server.

Nach meinem Verständnis müsste es der Nord-VPN Server sein. Liege ich da richtig?

...zum Beitrag

wie einzelne ports weiterleiten zu vpn server?

ich habe jetzt auf einem vserver einen wireguard server in docker aufgesetzt der auch so funktioniert wie er soll, jetzt habe ich noch einen zweiten server dessen ports nicht öffentlich sein sollen, sondern nur bestimmte ports über den wireguard server erreichbar sein sollen, wie erreiche ich das am besten?

...zum Beitrag

WireGuard Server auf Windows?

Hallo, ich wollte mal fragen, ob es eine Möglichkeit gibt, WireGuard als Server auf einem Windows System kaufen zu lassen. Es gibt zwar viele Tutorials für Linux aber geht das auch für Windows? Habe den Client von der offiziellen Seite bereits installiert.

Mit freundlichen Grüßen

...zum Beitrag

PFSense - Routing mit WireGuard?

Guten Tag,

ich habe einen Hetzner-Server mit PFSense und Proxmox. Alles schön und gut, läuft soweit. Jetzt möchte ich einen Server mit WireGuard anbinden. Die WireGuard-Verbindung steht, allerdings time ich aus, wenn ich eine Verbindung aufbauen möchte. Es lief einmal kurz, allerdings nach dem 2. Peer nicht mehr. Ich vermute, dass es am Routing liegt, allerdings habe ich davon keine Ahnung. Das Server-Netz hinter der PFSense hat das Subnet 10.10.1.0/24 und das Wireguard-Netz das Subnet 10.30.1.0/24. Welche Gateways/Routen muss ich an der PFSense anlegen, damit ich auf das Server-Netz hinter der PF zugreifen kann über WireGuard?

Danke für jede Hilfe!
LG

...zum Beitrag

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zum Beitrag

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zum Beitrag

VPN einrichten mit 2 Routern hintereinander?

Hallo alle Zusammen,

ich habe hinter meiner Fritzbox 6690 meinen Asus ROG Rapture GT-AXE16000 Router verbunden.

Alle meine Geräte wie Webserver oder PC sind am Asus Router angeschlossen. Ich möchte nun einen WireGuard VPN einrichten womit ich im Mobilen Netz von mein Handy oder Laptop von außen auf mein lokales Netzwerk vom Asus Router zugreifen kann.

Als Public Adresse würde ich gern die MyFRITZ!-Adresse nutzen.

Ich kann zwar an der Fritzbox einen Wireguard VPN einrichten welcher auch funktioniert, aber mit diesen kann ich nicht auf die Lokalen Adressen vom Asus Router zugreifen, da sie nicht dem Schema 192.168.178.0 sondern 192.168.50.0 entsprechen.

Hier einmal ne Übersicht von meinen Netzwerk:

Im Asus Router kann man auch einen Wireguard VPN einrichten. Scheint aber nicht zu funktionieren, da wenn ich mich mit dem VPN verbinde die Internet Verbindung vom Gerät welches sich mit dem VPN verbindet weg ist. Außerdem weiß ich nicht welche IP ich als Tunnel IPv4 and / or IPv6 Address nutzen soll.

Vielleicht kennt sich jemand etwas besser aus und kann mir ein Tipp geben.
Ich vergebe auch Daumen und Hilfreichste Antwort :)

...zum Beitrag

OPNSense OpenVPN | CA CRT und KEY Dateien erstellen... wie?

Moin Moin,

ich muss für meine Arbeit einen OpenVPN Server erstellen auf den sich dann Geräte der Marke Teltonika und InsysIcom verbinden. (Mobilfunkrouter)

Ziel ist es am ende mit Port-Weiterleitungen, die WebUIs der angeschlossenen Geräte zu erreichen.

Einen Wireguard Tunnel mit dieser Funktion habe ich schon realisiert.

(Tunnel-IP des Gerätes):(Eingestellter Port) --> Erreicht bestimmtes Gerät in dem Netzwerk des Routers.

Das ganze soll jetzt nur mit OpenVPN umgesetzt werden, da leider nicht alle Geräte die Wireguard funktion unterstützen vorallem diese InsysIcom nicht.

Jetzt ist dann nur die Frage wie ich das hinbekomme das ich von dem Server für jeden Client folgende Dateien erhalte:

CA.crt

Clientname.crt

.Key

Danke im vorraus

...zum Beitrag

VPN auf WAN Fritz Box?

Ich habe eine Haupt-Fritzbox mit dem Netz 192.168.2.0/24 und eine zweite Fritzbox, die über WAN angebunden ist und das Netz 192.168.178.0/24 verwaltet. Die zweite Fritzbox bekommt im Hauptnetz die IP 192.168.2.197. Geräte im 178er Netz können auf das 2er Netz zugreifen, aber nicht andersherum. Statische Routen auf der Fritzbox funktionieren nicht, weil sie als unzulässig abgelehnt werden, und WireGuard-VPN hilft auch nicht. Wie kann ich es einrichten, dass Clients aus dem Hauptnetz auf Server im 178er Netz zugreifen können?

...zum Beitrag

Subnetting in proxmox?

Hey, ich habe folgendes Problem: Ich habe mir einen proxmox Server aufgesetzt. Mein Router (Fritz Box) vergibt den Adressbereich 192.168.178.20 bis 192.168.178.200. Um auf den Server bzw. dessen Web gui sicher zugreifen zu können war die Überlegung, das ich den Server selbst, bzw. einen Wireguard Container auf proxmox in ein eigenes Subnet verschiebe. Ich scheitere momentan daran, das subnet anständig aufzusetzen, da mein Router das entweder nicht unterstützt oder ich zu blöd bin alles richtig zu konfigurieren. Mein nächster Gedanke war dann, in proxmox ein Vlan zu erstellen und an die Linux Bridge anzuschließen. Die Bridge hat

diesen CIDR: 192.168.178.100/24

und dieses Gateway: 192.168.178.1

der Bridge Port ist: enp3s0 Vlan aware ist auch eingeschaltet.

Das Vlan ist folgendermaßen konfiguriert:

Vlan Tag: 10

Vlan raw device: enp3s0

ipv4/CIDR: 192.168.100.0/24

Die Netzwerkschnittstelle in der Wireguard Node ist folgendermaßen aufgesetzt:

bridge: vmbr0, vlan tag: 10, firewall: off, ipv4 static: ipv4/CIDR: 192.168.100.0/24, Gateway ipv4: 192.168.178.100

192.168.178.100 ist ausserdem die Server IP. Ich bekomme kein Internet in der Node momentan. Da das eines meiner ersten Networking Projekte ist kenne ich mich diesbezüglich leider nicht besonders gut aus bzw. bin am lernen. Ich will wenns geht auch keinen extra Router kaufen müssen. Wireguard über Routerfreigabe aufzusetzen war kein Problem, allerdings hätte ich, wie gesagt, den Server gerne nur aus dem VPN Subnet erreichbar.

...zum Beitrag

Kann ich einen Fernzugriff auf meinen Windows PC über Anydesk mithilfe eines VPN Tunnels absichern?

Kann ich hierfür Wireguard verwenden?

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen