Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Вопрос про VPN Site-to-Site (используем удалённые интернет-шлюзы)., wifiman
 
#1
24.01.2025 10:04:00
Привет всем! Надеюсь, кто-нибудь сможет помочь мне с вопросом по VPN. У меня два UDM Pro, я хочу соединить площадку 1 с площадкой 2. Я хочу, чтобы ПК на площадке 1 подключался, скажем, к VLAN 30. VLAN 30 входит в состав VPN-соединения между площадками. Когда клиенты на площадке 1 подключаются к VLAN 30 на площадке 1, они будут использовать интернет-шлюз площадки 2. Я использовал unifiAI для создания системной конфигурации, но, похоже, не сработало. Я улучшил запросы, и просто хотел бы начать обсуждение о том, как лучше всего решить эту задачу?
 
 
 
#2
11.02.2025 08:25:00
Ну вот, всё настроил и работает. Конфигурация, основанная на маршрутах, выше работает, но мне помог дистрибьютор, и у меня на площадке 1 VPN и политика маршрутизации One работают вместе, чтобы всё заработало.
 
 
 
#3
10.02.2025 11:25:00
Для справки, вот мои настройки. Чтобы настроить VPN IPSec на основе маршрутов между двумя устройствами UDM Pro, нам потребуется выполнить несколько шагов, чтобы соответствовать следующим требованиям:

Сайт 1:
VLAN 100, 200, 30
Подсеть VLAN 30: 192.168.31.0/24 (Диапазон DHCP: 192.168.31.100 - 192.168.31.200)
Сайт 2:
VLAN 30
Подсеть VLAN 30: 192.168.32.0/24 (Диапазон DHCP: 192.168.32.100 - 192.168.32.200)

Цель:

Когда устройства подключены к VLAN 30 на Сайте 1, их интернет-трафик будет проходить через VPN-туннель и выходить через интернет-шлюз Сайта 2.

Ниже приведены подробные инструкции, разделенные на этапы.

Этап 1: Настройка VLAN на обоих сайтах

Перед созданием VPN убедитесь, что VLAN настроены правильно на обоих устройствах UDM Pro.

Сайт 1 (UDM Pro):

Войдите в контроллер UniFi Сайта 1.
Перейдите в Настройки → Сети → Создать новую сеть.
Создайте новую сеть для VLAN 30:
Название: Site1-VLAN30
Идентификатор VLAN: 30
Подсеть: 192.168.31.0/24
Диапазон DHCP: 192.168.31.100 - 192.168.31.200
Создайте любые дополнительные сети для VLAN 100 и VLAN 200 таким же образом, если это необходимо (необязательно для VPN).

Сайт 2 (UDM Pro):

Войдите в контроллер UniFi Сайта 2.
Перейдите в Настройки → Сети → Создать новую сеть.
Создайте новую сеть для VLAN 30:
Название: Site2-VLAN30
Идентификатор VLAN: 30
Подсеть: 192.168.32.0/24
Диапазон DHCP: 192.168.32.100 - 192.168.32.200
Создайте любые дополнительные сети, если это необходимо (необязательно для VPN).

Этап 2: Настройка VPN IPSec типа "сайт-в-сайт" на обоих устройствах UDM Pro

Теперь мы настроим VPN IPSec на основе маршрутов. Начнем с Сайта 1.

На Сайте 1 (UDM Pro):

Войдите в контроллер UniFi на Сайте 1.
Перейдите в Настройки → VPN → Создать новый VPN.
Выберите VPN типа "сайт-в-сайт".
Выберите IPSec в качестве типа VPN.
Настройте настройки VPN:
Название: Site1-to-Site2
Тип VPN: IPSec
Удаленный шлюз: Введите общедоступный IP-адрес Сайта 2.
Удаленная подсеть: 192.168.32.0/24 (сеть на Сайте 2).
Локальная подсеть: Оставьте значение по умолчанию, поскольку локальная сеть Сайта 1 уже настроена для VLAN 30.
Метод аутентификации: Предварительный общий ключ
Предварительный общий ключ: Выберите безопасный ключ для обоих сайтов (например, mysecurekey123).
Сохраните конфигурацию.

На Сайте 2 (UDM Pro):

Войдите в контроллер UniFi на Сайте 2.
Перейдите в Настройки → VPN → Создать новый VPN.
Выберите VPN типа "сайт-в-сайт".
Выберите IPSec в качестве типа VPN.
Настройте настройки VPN:
Название: Site2-to-Site1
Тип VPN: IPSec
Удаленный шлюз: Введите общедоступный IP-адрес Сайта 1.
Удаленная подсеть: 192.168.31.0/24 (сеть на Сайте 1).
Локальная подсеть: Оставьте значение по умолчанию, поскольку локальная сеть Сайта 2 уже настроена для VLAN 30.
Метод аутентификации: Предварительный общий ключ
Предварительный общий ключ: Используйте тот же безопасный ключ, что и на Сайте 1 (mysecurekey123).
Сохраните конфигурацию.

Этап 3: Настройка маршрутизации для трафика типа "сайт-в-сайт"

На Сайте 1 (UDM Pro):

Войдите в контроллер UniFi.
Перейдите в Настройки → Маршрутизация и межсетевой экран → Статические маршруты.
Создайте новый маршрут:
Назначение: 192.168.32.0/24 (удаленная подсеть на Сайте 2).
Следующий шлюз: VPN-туннель (это гарантирует, что трафик, предназначенный для Сайта 2, будет проходить через VPN-туннель).
Интерфейс: VPN-туннель.
Сохраните конфигурацию.

На Сайте 2 (UDM Pro):

Войдите в контроллер UniFi на Сайте 2.
Перейдите в Настройки → Маршрутизация и межсетевой экран → Статические маршруты.
Создайте новый маршрут:
Назначение: 192.168.31.0/24 (удаленная подсеть на Сайте 1).
Следующий шлюз: VPN-туннель.
Интерфейс: VPN-туннель.
Сохраните конфигурацию.

Этап 4: Настройка правил межсетевого экрана для трафика VPN

Для обоих сайтов необходимо убедиться, что правила межсетевого экрана позволяют трафику проходить через VPN.

На Сайте 1 (UDM Pro):

Войдите в контроллер UniFi.
Перейдите в Настройки → Межсетевой экран и безопасность → Создать новое правило.
Создайте правило для разрешения входящего и исходящего трафика VPN:
Название: Разрешить трафик VPN для Сайта 2
Действие: Разрешить
Направление: ВХОД LAN
Источник: 192.168.31.0/24 (локальная сеть на Сайте 1)
Назначение: 192.168.32.0/24 (удаленная сеть на Сайте 2)
Создайте еще одно правило для разрешения VLAN 30 Сайта 1 для использования VPN для исходящего доступа в Интернет:
Название: Разрешить доступ в Интернет через VPN
Действие: Разрешить
Направление: ИСХОД LAN
Источник: 192.168.31.0/24
Назначение: 0.0.0.0/0 (любое назначение, т.е. интернет-трафик).
Сохраните и примените правила.

На Сайте 2 (UDM Pro):

Войдите в контроллер UniFi.
Перейдите в Настройки → Межсетевой экран и безопасность → Создать новое правило.
Создайте правило для разрешения входящего и исходящего трафика VPN:
Название: Разрешить трафик VPN для Сайта 1
Действие: Разрешить
Направление: ВХОД LAN
Источник: 192.168.32.0/24 (локальная сеть на Сайте 2)
Назначение: 192.168.31.0/24 (удаленная сеть на Сайте 1)
Создайте правило для исходящего доступа в Интернет:
Название: Разрешить интернет-трафик
Действие: Разрешить
Направление: ИСХОД LAN
Источник: 192.168.32.0/24
Назначение: 0.0.0.0/0 (интернет-трафик).
Сохраните и примените правила.

При такой конфигурации, когда я пингую 192.168.32.1 (локальный шлюз Сайта 2), я получаю ответ с Сайта 2 с сообщением «хост не найден».
 
 
 
Страницы: 1
Читают тему (гостей: 1)