Nach langem hin und her hat auch in UniFi – Wireguard – nach und nach Einzug gefunden. WireGuard kann nun als „Server“ und als „Client“ benutzt werden. Wie immer geht UniFi seinen eigenen Weg und macht so einiges anders als was wir von anderen gewohnt sind.

Ubiquiti Networks UniFi Cloud Key Gen2 Plus Server zur Netzwerküberwachung Gigabit Ethernet
Ubiquiti Networks UniFi Cloud Key Gen2 Plus Server zur Netzwerküberwachung Gigabit Ethernet
System_Ram_Type: Unknown; Hochwertige Material; Langlebig
341,35 EUR

Technische Umsetzung vom Site-to-Site VPN

Ihr benötigt natürlich ein Gateway was von außen (vom Internet) erreichbar ist. Bestenfalls eine öffentliche IPv4 Adresse, da UniFi noch immer mit IPv6 Probleme hat. Dieses Gateway ist dann auch der Einwahlknoten für andere in deinem Konstrukt.

Besonderheit bei VPN Server: Für jeden eingetragenen Client beim Server, muss in den Einstellungen jedes einzelne Netz händisch eingetragen werden. Ein 0.0.0.0/0 ist nicht möglich.

Alle weiteren Knoten können sich dann über diesen einwählen und die entsprechenden Netze erreichen. Also „VPN Client“ wird hier gewählt.

Besonderheit bei VPN Client: In der Wireguard Konfiguration wird bei „AllowedIPs=0.0.0.0/0“ automatisch gesetzt. Damit darf jeglicher Traffic über diese VPN-Verbindung fließen. Heißt aber nicht das dass Routing damit erledigt ist, das muss noch seperat erledigt werden.

Somit ergibt sich ein zentraler Punkt zum einwählen allen Clients und weiteren UniFi Sites.


Anleitung: Einrichtung Site-to-Site WireGuard VPN

Benötigte Zeit: 10 Minuten

Folgendes beschreibt die Einrichtung eines WireGuard Site-to-Site Tunnels bei UniFi. Alle weiteren Informationen kann dem Video entnommen werden.

  1. WireGuard VPN Server erstellen

    Auf dem UniFi Gateway welcher die IP-Adresse hat welche öffentlich erreichbar ist, erstellt Ihr einen VPN-Server. Es gibt hier sonst nichts besonderes zu beachten.
    WICHTIG: Hier trägt man auch die einzelnen Clients ein und dort muss dann auch in den Clienteinstellungen der Menüpunkt „Additional Routes“ gepflegt werden. Hier kommen die Netze rein, welche über diese Verbindung kommunzieren dürfen.

  2. WireGuard VPN Clients erstellen

    Auf der Clientseite wird nichts spezielles in diesen Einstellungen benötigt. Einfach die IP vom WireGuard Server, Client-IP und Public Key eintragen fertig. Bei „AllowedIPs“ wird ohnehin automatisch 0.0.0.0/0 im Backend eingetragen.

  3. Firewall freigeben

    Früher musste man die Firewall selber freigeben, heute passiert das automatisch. Trotzdem überprüft bitte ob auf Server Seite „Allow WireGuard“ eingetragen ist.

  4. Statisches Routing setzen

    Jetzt kannst du das Routing für die gegenüberliegenden Netze der Sites im Menüpunkt Routing hinterlegen. Als „Next Hop“ gibst du die WireGuard IP-Adresse der anderen Site an, wo das Netz sich befindet welches du erreichen willst. Distance kannst ruhig auf 1 setzen.
    WICHTIG: Du musst das auf beiden Seiten machen, da sonst die Daten-Pakete Ihren Rückweg nicht finden.

Bestseller Nr. 1
Ubiquiti UniFi U7 Pro Max - Drahtloser Zugangspunkt Tri-Band - Wi-Fi 7 (802.11be) - MIMO - VLAN - PoE - Weiß
Ubiquiti UniFi U7 Pro Max – Drahtloser Zugangspunkt Tri-Band – Wi-Fi 7 (802.11be) – MIMO – VLAN – PoE – Weiß
Profitieren Sie von 4×4 MIMO-Antennen mit einer Gesamtverstärkung von 6dBi.; Der Access Point wird inklusive Decken- und Wandmontagekit geliefert.
280,28 EUR Amazon Prime