Die Einrichtung eines Remote-Zugriffs über VPN auf einem EdgeRouter X ermöglicht sichere Verbindungen zu Ihrem Heim- oder Büro-Netzwerk – selbst bei dynamischen IP-Adressen. Mit dem L2TP/IPsec-Protokoll steht eine zuverlässige Lösung zur Verfügung, die sowohl Benutzerfreundlichkeit als auch robuste Sicherheit bietet.
Warum L2TP/IPsec auf dem EdgeRouter X nutzen?
L2TP/IPsec kombiniert die Layer-2-Tunneling-Funktionalität (L2TP) mit der Verschlüsselung von IPsec, um eine stabile und sichere VPN-Verbindung herzustellen. Im Gegensatz zu einfachen PPTP-Lösungen bietet dieses Protokoll eine stärkere Absicherung durch integrierte Verschlüsselung und Authentifizierung. Besonders für Nutzer des EdgeRouter X (ER-X) ist die Einrichtung unkompliziert, da Ubiquiti das Protokoll direkt in die EdgeOS-Firmware integriert hat.
Ein weiterer Vorteil: Durch die Kombination mit einer dynamischen DNS-Lösung (DDNS) – etwa über AWS Lambda und Route 53 – lässt sich das VPN auch bei wechselnden öffentlichen IP-Adressen zuverlässig nutzen. Dies ist besonders für Nutzer mit wechselnden Internetverbindungen praktisch.
Grundlegende VPN-Konfiguration auf dem EdgeRouter X
Die Einrichtung erfolgt über die CLI (Command Line Interface) des EdgeRouter X. Zunächst sollten Sie sicherstellen, dass die Firmware auf dem aktuellen Stand ist. Für diese Anleitung wurde die Version 3.0.1 getestet und genutzt.
Gehen Sie wie folgt vor:
- Melden Sie sich über SSH oder die Weboberfläche am EdgeRouter X an.
- Aktivieren Sie den Konfigurationsmodus mit:
configure- Konfigurieren Sie die IPsec-Einstellungen für das VPN:
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn ipsec auto-firewall-nat-exclude enableDiese Befehle aktivieren IPsec auf der WAN-Schnittstelle eth0 und ermöglichen die Weiterleitung von NAT-Traversal-Paketen, was für die Verbindung über das Internet essenziell ist.
L2TP-Einstellungen und IPsec-Verschlüsselung
Der nächste Schritt besteht in der Konfiguration des L2TP-Tunnels und der IPsec-Verschlüsselung. Hier definieren Sie auch den Adressbereich für VPN-Clients sowie die Authentifizierungsmethoden:
set vpn l2tp remote-access dhcp-interface eth0
set vpn l2tp remote-access client-ip-pool start 192.168.1.100
set vpn l2tp remote-access client-ip-pool stop 192.168.1.200
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret IHR_GEHEIMES_PASSWORT
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600- Lokale Authentifizierung für Clients:
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username IHR_BENUTZERNAME password IHR_PASSWORT- MTU und DNS-Einstellungen:
set vpn l2tp remote-access mtu 1280
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access dns-servers server-2 8.8.8.8Vergessen Sie nicht, die Änderungen zu speichern und zu bestätigen:
commit
saveDNS-Weiterleitung für VPN-Clients
Damit VPN-Clients die DNS-Einstellungen des EdgeRouter X nutzen können, muss die DNS-Weiterleitung aktiviert werden:
set service dns forwarding listen-on loFirewall-Regeln für sichere VPN-Verbindungen
Ohne angepasste Firewall-Regeln kann der EdgeRouter X eingehende VPN-Anfragen blockieren. Öffnen Sie die Firewall-Einstellungen über die Weboberfläche und navigieren Sie zu den Firewall Policies für die WAN_LOCAL-Schnittstelle. Fügen Sie folgende Regeln hinzu:
- Regel für L2TP/IPsec (UDP-Ports 500, 1701, 4500):
- Beschreibung:
L2TP-Verkehr zulassen - Aktion:
Accept - Protokoll:
UDP - Ziel-Ports:
500,1701,4500
- Regel für IPsec (ESP-Protokoll):
- Beschreibung:
ESP-Pakete zulassen - Aktion:
Accept - Protokoll:
esp
Platzieren Sie diese Regeln direkt über der Drop invalid state-Regel, um sicherzustellen, dass sie vor dem Verwerfen ungültiger Pakete angewendet werden.
VPN-Client auf Windows 11 einrichten
Nach der Server-Konfiguration folgt die Einrichtung des Clients auf einem Windows-11-Rechner. Gehen Sie wie folgt vor:
- Öffnen Sie die Einstellungen → Netzwerk und Internet → VPN.
- Klicken Sie auf VPN hinzufügen.
- Wählen Sie als VPN-Typ
L2TP/IPsec mit vorinstalliertem Schlüsselaus. - Geben Sie die folgenden Daten ein:
- Verbindungsname: Beliebiger Name (z. B. "EdgeRouter X VPN")
- Servername oder -adresse: Ihre DDNS-Domain (z. B.
mein-netzwerk.ddns.net) - Vorinstallierter Schlüssel: Das in der Router-Konfiguration festgelegte
IHR_GEHEIMES_PASSWORT - Benutzername:
IHR_BENUTZERNAME - Kennwort:
IHR_PASSWORT
- Klicken Sie auf Erweiterte Optionen und wählen Sie Weitere VPN-Eigenschaften bearbeiten.
- Navigieren Sie zum Sicherheits-Tab und wählen Sie Diese Protokolle zulassen sowie Microsoft CHAP Version 2 (MS-CHAP v2).
- Im Netzwerk-Tab stellen Sie sicher, dass IPv4 aktiviert ist.
Speichern Sie die Verbindung und testen Sie die Verbindung. Bei Erfolg sollte eine IP-Adresse aus dem Bereich 192.168.1.100–200 zugewiesen werden.
Fehlerbehebung und Tipps
Sollte die Verbindung nicht funktionieren, überprüfen Sie folgende Punkte:
- IP-Adressbereiche: Stellen Sie sicher, dass der Client-IP-Pool nicht mit anderen Netzwerken kollidiert.
- Firewall-Regeln: IPsec nutzt UDP-Ports 500, 1701 und 4500 – diese müssen freigegeben sein.
- Verschlüsselungseinstellungen: Verwenden Sie einen starken vorinstallierten Schlüssel (mindestens 20 Zeichen).
- DDNS-Aktualisierung: Falls Sie eine dynamische IP nutzen, stellen Sie sicher, dass die DDNS-Aktualisierung regelmäßig erfolgt.
Mit dieser Einrichtung steht Ihnen ein zuverlässiger und sicherer Remote-Zugriff auf Ihr EdgeRouter-X-Netzwerk zur Verfügung – ideal für Homeoffice, Fernwartung oder den Zugriff auf lokale Ressourcen unterwegs.
Die Integration mit dynamischen DNS-Lösungen macht das VPN besonders flexibel, während die Firewall-Regeln und IPsec-Verschlüsselung für maximale Sicherheit sorgen. Wer den Aufwand einer manuellen Konfiguration scheut, findet in Ubiquiti-Dokumentationen und Community-Ressourcen weitere Unterstützung.
KI-Zusammenfassung
EdgeRouter X üzerinde L2TP/IPsec VPN kurulum rehberi. Adım adım ayarlar, firewall kuralları ve Windows 11 VPN istemci ayarlarıyla ilgili detaylı bilgiler.
