- Problem: Viele IoT/OT-Geräte, Server und Legacy-Systeme unterstützen keine Agenten (z. B. Cloudflare WARP), oder Cloudflare Magic WAN wird zum Ramp-Up von Lokationen verwendet.
- Lösung: IPSec-Tunnels von UniFi Gateways zu Cloudflare via Magic WAN, um HTTP/HTTPS-Traffic zentral zu inspizieren und zu filtern – ohne Agent auf dem Endgerät.
- Mehrwert: Einheitliche SSE-Sicherheitskontrollen (Web-Filter, Threat-Protection, DLP, CASB), konsistentes Egress-IP-Handling, einfacher Rollout und hohe Verfügbarkeit via CLoudflare .
Architektur in 60 Sekunden
- UniFi-Gateway (Hier HA-Cluster) baut einen IPSec-Tunnel zu der Anycast-IP von Cloudflare auf und verbindet sich damit automatisch zum nächstgelegenen DC. Der Fallback wird durch Anycast automatisch von Cloudflare übernommen.
- Policy-Based Routing (PBR) auf der Ubiquiti leitet definierten Traffic (z. B. IoT-VLANs → Web) in den Tunnel (also als transparenter Proxy), interne Ziele (RFC1918) und Cloudflare WARP-Traffic wird gebypasst.
- Cloudflare SSE inspiziert/verarbeitet den Traffic gemäss der Policies.
- Je nach Resilienz-und Performance-Ansprüchen lassen sich beliebig viele Tunnel über beliebige ISPs an Cloudflare anbinden.
Voraussetzungen (Checkliste)
1. Cloudflare Konfiguration
- Unter Networking > Magic WAN > Configuration > Tunnels einen neuen IPSec Tunnel erstellen
- Die Tunnel-Konfiguration kann hier nachgesehen werden.
- Anschliessend unter Networking > Magic WAN > Configuration > Routes eine statische Route anlegen und den gewünschten Traffic auswählen (Quelle).
2. Ubiquiti Konfiguration: VPN
- Ubiquiti Network → Settings → VPN → Site-to-Site VPN → Create New.
- VPN Type: IPSec, VPN Method: Route-Based.
- Remote IP/Hostname: Cloudflare Anycast IP eintragen (162.159.75.138).
- Key Exchange: IKEv2
- AES-256 / SHA256, DH-Gruppe 20, PFS aktiv, SA-Lifetime IKE 86400s / ESP 28800s
- Tunnel IP: /31 gemäß UniFi-Maske (Standardvorgabe im Screenshot).
- Remote Networks: leer lassen.
- Local Authentication ID: Den Wert aus dem Cloudflare Dashboard übernehmen (FQDN ID).
- Route Distance (Metrik): kleinerer Wert = bevorzugt (z. B. 30 für Primär).
4. Ubiquiti Konfiguration: Policy Based Routes (PBRs)
- Bypass Cloudflare WARP-IPs.
- ANY → Tunnel für die vordefinierten Quell-VLANs/Netze (IoT/OT/Server).
- Danach prüfen, ob der Tunnel „Online“ ist.
- UniFi kann PBR-Regeln (noch) nicht umsortieren. Legt sie in der richtigen Reihenfolge spezifisch → allgemein an und baut Platzhalter Regeln für verschiedene Use Cases, die ggf. später nachgeführt werden sollen.
- Für Ausschlüsse müssen Ausnahme- und ANY-Regel die selbe Source haben
- In der Ausnahme kann optional der Kill Switch aktiviert werden (was dazu führt, dass Traffic geblockt wird, wenn der VPN nicht erreichbar ist)
Verifikation & Betrieb
- Egress-IP in Cloudflare prüfen (Log).
- SSE-Policies testen (URL-Filter, DLP, Upload-Kontrollen, SSL-Inspection).
- Monitoring: Tunnel-Status, Latenz zu den DC, MTU/MSS-Clamp (bei Fragmentierung).
- Schlüsselhygiene: PSK regelmäßig rotieren, Admin-Zugriffe auditieren.
Best Practices aus Projekten
- VLAN-basiert onboarden: dedizierte IoT/OT-VLANs per PBR in den Tunnel – minimiert Blast-Radius.
- „Nur Web“ sauber trennen: Interne Dienste (z. B. OT-HMIs) nicht ins Internet tunneln; RFC1918-Bypass hilft.
- Change-Fenster einplanen: Bei SSL-Inspection oder DLP kann es App-Seiteneffekte geben; mit Pilotgruppe starten.
- Dokumentation pflegen: PBR-Ausnahmen, weitergeleiteten VLANs, Notfall-Rollback.
Fazit
Mit IPSec Ubiquiti → Cloudflare lassen sich nicht agent-fähige IoT/OT-Assets und Server einfach, skalierbar und kosteneffizient an moderne SSE-Kontrollen anbinden – ohne Eingriffe am Endgerät. Die Kombination aus zwei DC-Tunneln, sauberem PBR und konsequenter Policy-Prüfung liefert schnell messbaren Sicherheitsgewinn – genau dort, wo Agenten nicht hinpassen.
