Toon posts:

UniFi, Teltonika & Wireguard hoofdpijn

Pagina: 1
Acties:

Vraag

woensdag 7 februari 2024 20:49

Acties:
  • 0 Henk 'm!
  • yannickudb
  • Registratie: Januari 2010
  • Laatst online: 16-09 07:45

yannickudb

Topicstarter
Ik zit met een probleem, de situatie is als volgt:

UniFi gateway thuis (192.168.1.1/24)
Externe locatie met een RUT241 van Teltonika (10.20.30.1/24)
Wireguard verbinding , UniFi is server,(192.168.3.1) RUT is de client(192.168.3.7)

Wat ik wil bereiken:
Uiteindelijk wil ik vanaf huis, of vanaf een ander device in de WG tunnel devices in het lan netwerk van de RUT kunnen benaderen.

Wat is het probleem?

Ik krijg het niet voor elkaar om op welke manier dan ook verbinding te maken vanuit het 192.168.1.1 netwerk naar ofwel de RUT, ofwel net netwerk daarachter.

Iets meer info, wat werkt wèl, en wat werkt níet.
Om te beginnen bij de basis, pingen vanaf een client in het UniFi netwerk naar de RUT lever stevast een timeout op.
Pingen direct vanuit de UniFi gateway via commandline geeft wel response. De tunnel zelf werkt dus gewoon.
Pingen vanaf de RUT naar de UniFi Wireguard interface werkt (192.168.3.1), maar naar het Lan IP van de Unifi (192.168.1.1) niet.

Op basis hiervan ga ik er vanuit dat de routing ergens fout gaat, máár:
Als ik nu op mijn telefoon een WG aanmaak en verbind met de UniFi, kan ik gewoon vanaf mijn laptop mijn telefoon pingen en vanaf mijn telefoon ieder willekeurig device in het UniFi netwerk benaderen. Dat suggereert dus dar de routing op zich prima werkt zoals het zou moeten.

Ik heb me suf gezocht, alles al 100x opnieuw ingesteld, configuraties uitgewisseld tussen devices, noem maar op. Maar iedere keer zodra ik de RUT probeer te pingen loop ik tegen hetzelfde probleem aan. Uiteraard kan ik de devices achter de RUT ook niet bereiken, maar eerst maar eens de router zelf dan komt daarna het achterliggende netwerk wel.

Heeft iemand nog énig idee waar ik het moet zoeken? Ik vermoed dat ik ergens iets anders moet instellen, dat er op een of andere manier toch "duidelijk" is dat de RUT een router is en geen 'domme' client, en dat dat iets doet met de routering. Maar ik snap gewoon niet dat ik vanaf de UniFi het wireguard IP van de RUT kan pingen, maar vanaf een willekeurige client van de UniFi de RUT niet kan pingen (maar dus alle andere WG clients wel....)

Alle reacties

donderdag 8 februari 2024 13:13

Acties:
  • +1 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Is er wel een route naar het Teltonika netwerk?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

donderdag 8 februari 2024 17:54

Acties:
  • 0 Henk 'm!
  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 12:54

shure-fan

Hoe is je teltonika aangesloten aan internet? Via een simcard? Dan zit je waarschijnlijk achter cgnat,

Je moet dan je teltonika als client laten verbinden naar je usg

Hoe staat je tunnel netwerk ingesteld?

Voip enthousiastelling, Liever een kabel dan wifi

donderdag 8 februari 2024 19:59

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Niet online

jadjong

yannickudb schreef op woensdag 7 februari 2024 @ 20:49:
Ik zit met een probleem, de situatie is als volgt:

UniFi gateway thuis (192.168.1.1/24)
Externe locatie met een RUT241 van Teltonika (10.20.30.1/24)
Wireguard verbinding , UniFi is server,(192.168.3.1) RUT is de client(192.168.3.7)

Wat ik wil bereiken:
Uiteindelijk wil ik vanaf huis, of vanaf een ander device in de WG tunnel devices in het lan netwerk van de RUT kunnen benaderen.

Wat is het probleem?

Ik krijg het niet voor elkaar om op welke manier dan ook verbinding te maken vanuit het 192.168.1.1 netwerk naar ofwel de RUT, ofwel net netwerk daarachter.

Iets meer info, wat werkt wèl, en wat werkt níet.
Om te beginnen bij de basis, pingen vanaf een client in het UniFi netwerk naar de RUT lever stevast een timeout op.
Pingen direct vanuit de UniFi gateway via commandline geeft wel response. De tunnel zelf werkt dus gewoon.
Pingen vanaf de RUT naar de UniFi Wireguard interface werkt (192.168.3.1), maar naar het Lan IP van de Unifi (192.168.1.1) niet.
De Teltonika kent 192.168.1.x niet, die kent alleen 192.168.3.x. Geen idee hoe Wireguard werkt in Unifi, kan je daar een route meegeven aan een client? Dan even 192.168.1.x invoeren. Anders op de RUT een static route invoeren naar 192.168.1.x via 192.168.3.1

[ Voor 3% gewijzigd door jadjong op 08-02-2024 20:00 ]

vrijdag 9 februari 2024 08:34

Acties:
  • 0 Henk 'm!
  • TomEngelen
  • Registratie: September 2013
  • Laatst online: 21-07 13:27

TomEngelen

Mag ik vragen waarom je niet een IPsec tunnel bouwt tussen de 2? Dit lijkt me voor jouw wens de makkelijkste oplossing.
Ik zie dat die Rut deze optie ook ondersteund

zaterdag 10 februari 2024 08:21

Acties:
  • 0 Henk 'm!
  • yannickudb
  • Registratie: Januari 2010
  • Laatst online: 16-09 07:45

yannickudb

Topicstarter
shure-fan schreef op donderdag 8 februari 2024 @ 17:54:
Hoe is je teltonika aangesloten aan internet? Via een simcard? Dan zit je waarschijnlijk achter cgnat,

Je moet dan je teltonika als client laten verbinden naar je usg

Hoe staat je tunnel netwerk ingesteld?
Teltonika zit inderdaad via een SIM op 4g, maar connect wel degelijk als client richting de UniFi server. De tunnel komt ook wel online, maar ik krijg de routing niet werkend.

zaterdag 10 februari 2024 08:24

Acties:
  • 0 Henk 'm!
  • yannickudb
  • Registratie: Januari 2010
  • Laatst online: 16-09 07:45

yannickudb

Topicstarter
Frogmen schreef op donderdag 8 februari 2024 @ 13:13:
Is er wel een route naar het Teltonika netwerk?
Er is routing ingesteld op de wireguard tunnel. Dat werkt met alle andere clients prima, maar om een of andere reden met de Teltonika niet. Die kan ik al niet pingen op z'n wireguard IP vanaf andere clients uit de wireguard.
Het vreemde is dat de ping naar de teltonika wèl lukt als ik SSH in de UniFi, de tunnel werkt dus, maar routing gaat mis. Ik snap alleen niet waarom, de routing is op de hele tunnel van toepassing en werkt bij alle andere clients in de tunnel goed.

zaterdag 10 februari 2024 09:03

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 17:31

lier

MikroTik nerd

Voor de goede orde: Wireguard kent alleen peers, geen client en/of server.

Hoe is de Teltonika ingesteld? Hoe is überhaupt alles ingesteld? Met name de allowed ip's?
TomEngelen schreef op vrijdag 9 februari 2024 @ 08:34:
Mag ik vragen waarom je niet een IPsec tunnel bouwt tussen de 2?
Wat maakt het gebruik van een ander protocol in jouw ogen "makkelijker"?

[ Voor 51% gewijzigd door lier op 10-02-2024 09:05 ]

Eerst het probleem, dan de oplossing

zaterdag 10 februari 2024 09:07

Acties:
  • 0 Henk 'm!
  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 10:21

c-nan

Wat bij mij helpt bij dit soort problemen is een tekening met hoe alles aan elkaar verbonden is met bijbehorende subnets. Geeft een beter en sneller inzicht dan een verhaal. Heb je zoiets?

EU DNS: 86.54.11.100

zaterdag 10 februari 2024 10:00

Acties:
  • 0 Henk 'm!
  • TomEngelen
  • Registratie: September 2013
  • Laatst online: 21-07 13:27

TomEngelen

lier schreef op zaterdag 10 februari 2024 @ 09:03:
Wat maakt het gebruik van een ander protocol in jouw ogen "makkelijker"?
Wanneer je 2 netwerken aan elkaar wil knopen vind ik persoonlijk een ipsec tunnel eenvoudiger werken. Ook omdat je dan niet telkens als client opnieuw hoeft te verbinden.

Wellicht eerder een persoonlijke voorkeur

zaterdag 10 februari 2024 18:45

Acties:
  • 0 Henk 'm!
  • yannickudb
  • Registratie: Januari 2010
  • Laatst online: 16-09 07:45

yannickudb

Topicstarter
c-nan schreef op zaterdag 10 februari 2024 @ 09:07:
Wat bij mij helpt bij dit soort problemen is een tekening met hoe alles aan elkaar verbonden is met bijbehorende subnets. Geeft een beter en sneller inzicht dan een verhaal. Heb je zoiets?
Dat maakt het inderdaad wel wat makkelijker te begrijpen denk ik. Hierbij dus even snel een tekening.

Wat ik uiteindelijk wil bereiken:
Vanaf Client 1 en of 2 de RUT en uiteindelijk de daarachter hangende Client(s) X kunnen bereiken.

Wat werkt nu wel en niet:
Ik kan NIET het WG adres (192.168.3.7) pingen vanaf Android tel, Laptop WG, Client 1 of Client 2.
Ik kan NIET de Client X bereiken vanaf welk ander device dan ook (uitgezonderd de RUT)

Ik kan WEL:
Pingen onderling tussen alles in de WG uitgezonderd de RUT.
Vreemd genoeg kan ik ook wél pingen vanaf de SSH console van de UniFi naar de RUT wireguard IP.

Het niet kunnen bereiken van de RUT vanaf ieder ander device dan de UniFi is het probleem. Routing rules in de UniFi lijken me oke, omdat alle andere pings onderling wel werken.


Afbeeldingslocatie: https://tweakers.net/i/GwUz4bgidcb2SU6nkqlFLoBVJf4=/800x/filters:strip_exif()/f/image/2H8LYaVBcUaGlO9uw4nYnPYG.png?f=fotoalbum_large

zaterdag 10 februari 2024 18:46

Acties:
  • 0 Henk 'm!
  • yannickudb
  • Registratie: Januari 2010
  • Laatst online: 16-09 07:45

yannickudb

Topicstarter
TomEngelen schreef op zaterdag 10 februari 2024 @ 10:00:
[...]


Wanneer je 2 netwerken aan elkaar wil knopen vind ik persoonlijk een ipsec tunnel eenvoudiger werken. Ook omdat je dan niet telkens als client opnieuw hoeft te verbinden.

Wellicht eerder een persoonlijke voorkeur
Dat kan. Ik heb in dit geval gekozen voor wireguard, ook met het oog op andere devices die in de toekomst mogelijk in het netwerk gaan komen.

zaterdag 10 februari 2024 19:07

Acties:
  • 0 Henk 'm!
  • ufear
  • Registratie: December 2002
  • Laatst online: 18-09 12:09

ufear

Vraag 1: wil je NAT'en of routen
Vraag 1.1: Als je wil routen; wil je dan altijd over de wireguard tunnel van je Unifi gateway routen, of wireguard draaien op de clients
Vraag 2: welke instel-mogelijkheden heb je aan beide kanten instellen (static routes, en firewall/NAT)

Scenario 1: Routen via de controller en je kans alles instellen
- Op de "UniFi gateway" maak je een statische route naar 10.20.30.1/24 via 192.168.3.1
- Op de "UniFi gateway" maak je een firewall rule aan die forwards toelaat naar 10.20.30.1/24 (en eventueel 192.168.3.7 - not sure of dat nodig is)
- Op de RUT stel je in firewall in dat alle traffic vanaf 192.168.3.1 toegelaten wordt (INPUT zou genoeg moeten zijn)
- Nu zou Client 1 al naar 10.20.30.1 moeten mogen pingen als hij de UniFi als gateway heeft en verder geen extra routes
- Als je wil dat de client naar 192.168.3.7 kan pingen, dan maak je de statische route naar 192.168.3.1/24 via 192.168.3.1 aan en de forward rule daar naartoe
- In dat geval client 1 192.168.3.7 moeten kunnen pingen.

Zoveel situaties en variabelen, zoveel vragen, maar check eerst of bovenstaande werkt. Als je aan de UniFi kant of de RUT-kant geen complete controle hebt over de firewall en/of routes dan zijn er wellicht nog steeds opties, maar is e.e.a. weer wat lastiger.

zaterdag 10 februari 2024 20:16

Acties:
  • 0 Henk 'm!
  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 10:21

c-nan

De default gateway van Client 1 en Client 2 is neem ik aan 192.168.1.1.
Op de 192.168.1.1 moet je een static route maken (10.20.30.0/24 via 192.168.3.7).
Dit zorgt er voor dat al het verkeer met als destination 10.20.30.0/24 wat op de Unifi aankomt, wordt doorgezet naar RUT.
Nu heb je alleen de terug weg nog niet, dus maak je op de RUT ook een static route aan, namelijk: 192.168.1.0/24 via 192.168.3.1. Dit zorgt er voor dat al het verkeer met destination 192.168.1.0/24 wat op de RUT aankomt wordt doorgezet naar je Unifi.

EU DNS: 86.54.11.100

zaterdag 10 februari 2024 20:28

Acties:
  • 0 Henk 'm!
  • Tralapo
  • Registratie: Januari 2008
  • Niet online

Tralapo

Heb je geprobeerd forwarding open te zetten in de RUT firewall? Dit wil nog wel eens helpen.

zondag 11 februari 2024 17:45

Acties:
  • 0 Henk 'm!
  • yannickudb
  • Registratie: Januari 2010
  • Laatst online: 16-09 07:45

yannickudb

Topicstarter
Ik snap wat jullie allemaal zeggen met routing rules, maar even een stap terug.
Mijn probleem ligt al een stuk eerder volgens mij.
Ik kan namelijk van bijvoorbeeld client 1 en de client android telefoon niet de 192.168.3.7 pingen. Het lijkt dus alsof die down is.
Ik kan wél met die clients pingen naar 192.168.3.4 en 192.168.3.2. De tunnel lijkt dus te werken, maar ergens gaat de afhandeling verkeerd.

De eerste verdachte is dan de tunnel tussen RUT en UniFi, maar nu komt het, als ik SSH in de UniFi kan ik wél 192.168.3.7 pingen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq