Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Помощь по настройке USG L2TP VPN, UniFi Network
 
#1
18.05.2015 21:32:00
Пользуюсь Edgerouter lite с VPN уже некоторое время и очень ими доволен. Всё просто и понятно. Поскольку вижу, что вы используете USG, решил тоже попробовать их. Столкнулся с несколькими проблемами. Чтобы настроить L2TP VPN, нужно зайти по SSH, как на ERL. Это без проблем, с этим разобрался. Потом надо задать правила файрвола, чтобы всё работало. Вот тут и возникла загвоздка. В GUI, как на ERL, нельзя внести эти изменения. Поэтому предполагаю, что нужно делать всё по SSH. Может, кто подскажет нужные команды для SSH, чтобы внести эти правки? Вторая проблема — как только делаю provision, он удаляет мои настройки VPN. Управляю через AWS. Знаю, что нужно импортировать JOS-файл в AWS, но в этом моменте немного запутался. Есть идеи?
 
 
 
#2
04.02.2017 20:31:00
Это потому, что WAN на USG — это ethernet 2. У меня была такая же проблема, я изменил правило фаервола на ethernet 2 вместо 0 (edge router), и сразу всё заработало.
 
 
 
#3
30.12.2016 20:28:00
Отключение динамической маршрутизации решило мои проблемы. [ред.] @ кто-то из Ubiquiti. Интересно, почему в UniFi контроллере нет опции для L2TP/IPSec при настройке VPN для удалённого пользователя. Ведь PPTP — это устаревший способ организации виртуальных частных сетей. Добавить такую функцию в программное обеспечение UniFi контроллера, думаю, не так уж сложно.
 
 
 
#4
30.12.2016 20:25:00
@candlescience, отключение динамической маршрутизации решило мои проблемы.
 
 
 
#5
30.12.2016 19:45:00
@lweijl

Если ты на Linux или Mac, можешь ввести netstat -rn, очистить вывод и выложить его?

@Zerstorer

Можешь выложить всю свою конфигурацию?

@kashif-ali

Не мог бы ты тоже выложить свою конфигурацию? Спасибо!
 
 
 
#6
26.12.2016 10:52:00
Привет, @jon_gus, ты уже нашёл решение этой проблемы? У меня сейчас такая же беда, и никак не могу с ней справиться.
 
 
 
#7
11.11.2016 16:58:00
Пробую еще раз, у меня есть следующее:

{
"firewall": {
"name": {
"WAN_LOCAL": {
"rule": {
"50": {
"action": "accept",
"description": "Разрешить L2TP",
"destination": {
"port": "500,1701,4500"
},
"protocol": "udp"
},
"51": {
"action": "accept",
"description": "Разрешить ESP",
"protocol": "esp"
}
}
}
}
},
"vpn": {
"ipsec": {
"auto-firewall-nat-exclude": "disable",
"ipsec-interfaces": {
"interface": [
"eth0"
]
},
"nat-networks": {
"allowed-network": {
"0.0.0.0/0": "''"
}
},
"nat-traversal": "enable"
},
"l2tp": {
"remote-access": {
"authentication": {
"local-users": {
"username": {
"uname": {
"password": "secret"
}
}
},
"mode": "local"
},
"client-ip-pool": {
"start": "10.45.48.200",
"stop": "10.45.48.210"
},
"dhcp-interface": "eth0",
"dns-servers": {
"server-1": "10.45.48.42",
"server-2": "8.8.8.8"
},
"ipsec-settings": {
"authentication": {
"mode": "pre-shared-secret",
"pre-shared-secret": "supersecret"
},
"ike-lifetime": "3600"
},
"mtu": "1492"
}
}
}
}

И, кажется, у меня не получается заставить DNS работать. Ничего не разрешается по имени ни снаружи, ни внутри. Единственное, к чему могу подключиться — это по внутренним IP-адресам.
 
 
 
#8
25.10.2016 04:07:00
Спасибо! Так как MacOS Sierra не поддерживает PPTP, это будет очень полезно. Сейчас тестирую на своей домашней сети, где на WAN настроен DHCP, но что мне нужно изменить, чтобы это заработало на клиентском USG с фиксированным WAN IP?
 
 
 
#9
25.10.2016 01:14:00
У меня не получается заставить работать опцию с DNS-сервером. Я не могу подключиться к ресурсам с доменом .local, но если подключаться по их IP-адресу через VPN, всё работает. Может, я что-то упускаю в настройках, чтобы это заработало?
 
 
 
#10
12.10.2016 18:01:00
Спасибо за ссылку. Я тоже предпочитаю OpenVPN, так как использую его на своем pfSense. Попробую это. Kash
 
 
 
#11
12.10.2016 17:41:00
Мне тоже не удалось заставить это работать, следуя инструкциям отсюда. В итоге я установил OpenVPN на другой сервер, пока они не добавят VPN в графический интерфейс. Кто-то недавно выкладывал инструкции по ссылке ниже, но я пока не успел их опробовать. https://community.ui.com/questions/ce26860f-c0f1-4158-aa27-f8a68a09b4de
 
 
 
#12
12.10.2016 08:12:00
Привет, я только что получил свой новый AC-PRO, POE-коммутатор и USG. Наконец-то всё настроил, и сейчас всё работает. Однако я пытался настроить VPN для пользователя по этой теме, но при сохранении всё упало. Может, кто-то сможет скинуть рабочую конфигурацию и просто указать, какие параметры нужно менять — например, мой публичный IP, выбранный DHCP-адрес сети, имя пользователя, пароль, общий секрет. У меня стоит последняя стабильная версия контроллера, а прошивки всех устройств обновлены по состоянию на 11 октября. Спасибо, Kash.
 
 
 
#13
05.10.2016 08:03:00
@Zerstorer

К сожалению, у меня до сих пор не получается это настроить, всё ещё жду, пока кто-нибудь из ubnt поможет нам разобраться. Ты можешь зайти по ssh на usg и выполнить команду: tail -f /var/log/messages Что там выводится?  
Спасибо,  
Neso
 
 
 
#14
05.10.2016 00:35:00
У тебя получилось это запустить на новой версии 5.2.9 Cloud Key? У меня, к сожалению, нет. Постоянно попадаю в цикл настройки после того, как сбрасываю JSON-файл через WinSCP в папку по умолчанию на Cloud Key. Похоже, с последнего обновления что-то точно изменилось. Файл я дважды проверял на валидность JSON, но это не помогло.
 
 
 
#15
03.10.2016 13:25:00
@protean

Так статический WAN IP для обоих USG решил проблему? У меня настроен автоматический site-to-site VPN между USG, и я добавил l2tp json на один из USG, но подключиться не получается, в логах вроде бы говорится, что site-to-site IPsec «мешает»... P.S. У меня на обоих USG статические IP, но сейчас они назначаются через DHCP, чтобы было понятно.  
С уважением, Роман
 
 
 
#16
26.09.2016 23:29:00
Могу подтвердить, что изменённый json-файл решает проблему с пропавшим статическим IP-адресом, который раньше удалялся:  
{  
   "interfaces": {  
       "ethernet": {  
           "eth0": {  
               "address": [
                   "xxx.xx.92.26/30"  
               ]  
           }  
       }  
   },  

   "system": {  
       "name-server": [
           "8.8.8.8"  
       ]  
   },  

   "vpn": {  
       "ipsec": { ... здесь продолжается моя конфигурация VPN ... У меня также есть рабочий json-файл для L2TP/IPSec, который работает отлично.
 
 
 
#17
26.09.2016 23:08:00
Планируется ли добавить функцию VPN в интерфейс контроллера?
 
 
 
#18
25.08.2016 16:37:00
У меня такая же проблема с точечно-точной VPN-связью: когда обрабатывается config.gateway.json, он стирает информацию о статическом IP. Я решил добавить IP-данные прямо в JSON-файл. Я ЕЩЁ не проверял это (приходится ждать, пока бизнес закроется), но, возможно, это поможет вам с ориентирами. Вот часть файла перед моей настройкой VPN (xxx.xxx — мой IP, замаскированный):  
{  
 "interfaces": {  
   "ethernet": {  
     "eth0": {  
       "address": [
         "xxx.xxx.92.26/30"  
       ]  
     }  
   }  
 },  
 "system": {  
   "name-server": [
     "8.8.8.8",  
     "8.8.4.4"  
   ]  
 },  
 "vpn": {  
   "ipsec": { ... здесь продолжается моя настройка VPN ...
 
 
 
#19
14.07.2016 15:22:00
Вот файл конфигурации. Обратите внимание, что я убрал правила фаервола — их больше нет в этом файле, я удалил их после обновления контроллера до версии 5.1.1 (бета), потому что правила фаервола теперь можно настраивать прямо там. В качестве части устранения неполадок я добавил их через графический интерфейс, чтобы убедиться, что они настроены правильно. Это моя рабочая конфигурация, в идеале я бы хотел, чтобы пул адресов был установлен на 192.168.13.xxx

{
 "vpn": {
   "ipsec": {
     "auto-firewall-nat-exclude": "disable",
     "ipsec-interfaces": {
       "interface": ["eth0"]
     },
     "nat-networks": {
       "allowed-network": {
         "0.0.0.0/0": "''"
       }
     },
     "nat-traversal": "enable"
   },
   "l2tp": {
     "remote-access": {
       "authentication": {
         "local-users": {
           "username": {
             "UserName": {
               "password": "password"
             }
           }
         },
         "mode": "local"
       },
       "client-ip-pool": {
         "start": "192.168.11.128",
         "stop": "192.168.11.132"
       },
       "dhcp-interface": "eth0",
       "dns-servers": {
         "server-1": "192.168.11.20",
         "server-2": "192.168.11.1"
       },
       "ipsec-settings": {
         "authentication": {
           "mode": "pre-shared-secret",
           "pre-shared-secret": "Secret"
         },
         "ike-lifetime": "3600"
       },
       "mtu": "1492"
     }
   }
 }
}
 
 
 
#20
14.07.2016 13:45:00
@Zipporobotics, не мог бы ты скопировать и вставить свой файл config.gateway.json? Пожалуйста, убери из него имена пользователей, пароли и PSK. Возможно, там есть какие-то подсказки.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)