Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
USG с прошивкой, отличной от USG — IPsec (Site-to-Site), UniFi Network
 
#1
12.11.2015 20:59:00
Привет! Я работаю в компании, которая предоставляет IT-услуги, в основном для малого и среднего бизнеса, и мы рассматриваем возможность использовать USG в качестве основного фаервола для небольших филиалов и так далее. Сейчас у нас Cisco ASA5505, но, хотя они и делают действительно надежные устройства, цена кажется слишком высокой за тот уровень производительности, который они дают. К тому же, USG гораздо проще настраивать, особенно когда не нужно много разных правил и политик.

Наш главный вопрос — IPSec-маршрутизация site-to-site, так как многие наши клиенты зависят от таких туннелей для принтеров, Active Directory и удаленного DFS-хранилища. Я знаю, что можно настроить site-to-site туннели на USG через config.gateway.json, положив его в папку "$UniFi_Base/data/sites/$site_id/", и в тестах это работает стабильно. Но для обычных сотрудников из 1-й и 2-й линии поддержки, у которых нет доступа к порталу UniFi, разбираться с такими туннелями очень сложно.

Так что вот главный вопрос на миллион: планируется ли в ближайшем будущем добавить в GUI поддержку туннелирования USG с не-USG фаерволами с минимумом алгоритмов 3DES/MD5, а лучше AES/SHA? При этом обязательно должно поддерживаться туннелирование нескольких подсетей в одной туннельной группе — я так понимаю, это уже возможно? Если этот вопрос решится, и мы увидим хорошую стабильность и удобство управления, мы, скорее всего, уйдем от Cisco для «обычных» клиентов и перейдем на USG. А если так, то речь идет как минимум о 150+ устройствах USG в год.

С наилучшими пожеланиями, Конни
 
 
 
#2
14.02.2018 14:13:00
Только что попробовал в первый раз — и буквально за 3 минуты всё настроил и запустил. Сторона AWS: нужно выбрать статическую маршрутизацию в AWS, не забудьте добавить подсети в файрвол сервера (если он включён) и в группы безопасности на самих серверах. Проверьте ACL, если они у вас настроены, и убедитесь, что нужный маршрут есть в таблицах маршрутизации. Ещё нужно добавить локальные подсети в VPN-подключении внутри AWS.

Сторона USG: выберите IPSec VPN, введите удалённые подсети с Peer IP, Local WAN IP и Preshared Key. В профиле IPSec выберите customized. Обычно AWS предлагает конфигурацию IKEv1, AES-128, SHA1 с DH Group 2 и включённым PFS. Убедитесь, что на USG тоже включён PFS, а динамическая маршрутизация отключена.

Если нужна помощь — смело пишите jon@sados.com.
 
 
 
#3
08.03.2017 02:46:00
Кто-нибудь смог настроить USG с Azure? И при этом без использования SSH или какого-то бета-прошивки?
 
 
 
#4
08.03.2017 02:39:00
@SiepeAdmin

Тебе пришлось настраивать какие-то статические маршруты или правила фаервола, чтобы все заработало? Компания, которая предоставляет нам DMS-решения и использует AWS, прислала мне конфигурацию VPN-соединения с настройкой двух IPSec-туннелей. Что бы я ни делал, заставить это работать не получается... На TZ400 SonicOS я смог настроить, но пришлось создать по два отдельных маршрута (по одному на каждый туннель), а ещё адресные группы и правила доступа в фаерволе. Спасибо!
 
 
 
#5
01.03.2017 17:28:00
Отдельное спасибо @austinitguy за помощь прошлой ночью, благодаря которой я смог настроить и внедрить USG. К сожалению, VPN site-to-site между USG и Watchguard XTM330 в домашнем офисе так и не заработал. Прикладываю скриншоты конфигурации VPN на обоих устройствах в надежде, что кто-то подскажет, в чём может быть проблема.
 
 
 
#6
01.03.2017 00:02:00
@austinitguy

Ты сможешь помочь мне сегодня вечером? Я выхожу поужинать, но скоро вернусь и был бы очень признателен за помощь!
 
 
 
#7
28.02.2017 07:07:00
Не пытайтесь передавать данные на Cloud Key через VPN. Просто настройте правило файрвола на Watchguard, чтобы разрешить трафик на порт 8080 с WAN-адреса вашего USG на внутренний IP-адрес вашего Cloud Key. Это значительно упрощает задачу. У меня есть опыт работы с обоими устройствами, так что могу помочь, если нужно. Мои контакты у вас есть.
 
 
 
#8
28.02.2017 06:54:00
Это единственный USG в моей сети. Я пытаюсь настроить связь этого USG с Watchguard в головном офисе. До этого все офисы использовали фаерволы Watchguard. Мне удалось создать site-to-site VPN, но она не работает... Похоже, сегодня на этом всё — завтра буду снова разбираться.
 
 
 
#9
28.02.2017 06:50:00
Если возникнут проблемы, скорее всего, они связаны с VPN. Это не самое лучшее решение, но можно попробовать настроить переадресацию порта для трафика Cloud Key на порт 8080 на удалённом USG, чтобы USG, который вы настраиваете, мог общаться с Cloud Key без VPN-туннеля.
 
 
 
#10
28.02.2017 06:40:00
Понятно. Твой cloud key находится в удалённой сети, и тебе нужно сначала настроить его локально, а потом направить на cloud key через VPN. Я этого не делал. Думаю, парень прав. Придётся подключиться к нему по ssh и указать IP-адрес контроллера, как только VPN заработает. Могу только предположить, что Cloud Key примет конфигурацию, когда USG будет принят. Когда я разбирался с проблемой VPN, мне сказали использовать контроллер на базе AWS для этого, но я так и не пошёл этим путём.
 
 
 
#11
28.02.2017 06:26:00
@austinitguy

Вот что я сделал:  
1) Скачал UniFi на свой ноутбук  
2) Подключился к LAN-порту USG  
3) Принял и настроил USG  
4) Заменил Watchguard на недавно настроенный USG  

Как теперь добавить этот USG к сайту офиса через UniFi Cloud?
 
 
 
#12
28.02.2017 06:07:00
Предварительно настроить это в тестовом окружении — именно то, что вам нужно сделать, и именно это описано в моих инструкциях.
 
 
 
#13
28.02.2017 06:06:00
Вам не нужно ехать куда-то, чтобы настроить USG. Если у вас есть запасной коммутатор или даже если вы можете временно отключить рабочий коммутатор, вы можете создать свою локальную сеть 192.168.1.x, где можно сделать начальную настройку устройства. Прочитайте ещё раз инструкции, которые я вам давал. Я делал это много раз, и это действительно работает. И для настройки этих устройств не обязательно иметь интернет-соединение.
 
 
 
#14
28.02.2017 05:58:00
Понимаю... Серьёзно, зачем делать РОУТЕР, для настройки которого нужен интернет? Какова официальная позиция UBNT по этому поводу? Как с таким вообще справиться? Наверное, можно настроить его заранее в тестовом окружении...
 
 
 
#15
28.02.2017 05:57:00
@austinitguy

Это для меня слишком радикальное решение, так как я сейчас в офисе с подсетью 192.168.3.1/24, а домашний офис (192.168.1.1/24) находится в 300 милях от меня. Я не вернусь туда ещё несколько дней, и даже если бы я настроил всё так, как вы предлагаете, по возвращении пришлось бы снова ехать в офис с подсетью 192.168.3.1/24, потому что никто на месте не сможет поменять оборудование. Мне нужно настроить этот USG прямо в офисе, где я сейчас нахожусь. Кто-нибудь может помочь с такой ситуацией? @Deleted Account?
 
 
 
#16
28.02.2017 05:49:00
@breakaway

Я полагаю, в этой ситуации основная проблема в том, что USG и фаервол для нашего домашнего офиса будут иметь один и тот же IP-адрес. Раньше я успешно использовал эту команду для AP, но в данном случае она, кажется, не подходит для этого сценария.
 
 
 
#17
28.02.2017 05:47:00
IP-адрес по умолчанию для внутреннего LAN-интерфейса на USG — 192.168.1.1 с включённым DHCP-сервером для сети 192.168.1.0/24 или 192.168.1.0 с маской 255.255.255.0. Возьмите небольшой коммутатор для первоначальной настройки. Подключите Cloud Key и LAN-порт USG к этому коммутатору вместе с устройством для конфигурации, но больше ничего к коммутатору не подключайте. Cloud Key получит адрес из диапазона 192.168.1.x от USG, как и ваше устройство для настройки. Используйте Advanced IP Scanner или приложение Ubiquiti Discovery, которое работает как расширение Google Chrome, чтобы определить IP-адрес Cloud Key. После этого вы сможете зайти в веб-интерфейс Cloud Key и настроить USG для вашей рабочей сети. Как только всё будет преднастроено, вы можете заменить USG на Watchguard и обновить прошивки USG и Cloud Key, если это потребуется.
 
 
 
#18
28.02.2017 05:40:00
Тогда всё не так просто. Нужно подключиться по SSH и ввести несколько команд. Я не уверен, какие именно команды для USG, но для точек доступа UBNT это следующие: сначала подключаемся по SSH, затем вводим mca-cli. Это переводит вас в режим конфигурации. Потом вводим команду set-inform http://ip-of-controller:8080/inform. Можно использовать не только IP-адрес, но и имя хоста. Как только я ввожу эту команду, моё устройство сразу появляется в контроллере.

В качестве альтернативы можно добавить DNS-запись для «unifi.yourdomain.local», указывающую на ваш cloud key — тогда устройство автоматически подключится без необходимости делать всё вышеописанное.

P.S. Всё это проверено и работает с точками доступа. Насчёт других устройств, которые требуют контроллера (например, USG), не уверен, что тоже сработает.
 
 
 
#19
28.02.2017 05:36:00
Я использую Cloud Key. Однако пытаюсь добавить USG в подсеть 192.168.3.1/24, а Cloud Key находится в подсети 192.168.1.1/24. Cloud Key вообще не видит USG.
 
 
 
#20
28.02.2017 05:33:00
Я использовал только Cloud Keys для настройки, но предполагаю, что требования для UniFi похожи. Нужно будет установить контроллер UniFi в той же сети, что и сеть по умолчанию для не сконфигурированного USG, а после его добавления вы сможете без особых проблем сменить IP-адрес USG, а потом вернуть IP контроллера UniFi обратно на вашу внутреннюю сеть.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)