Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
USG — VPN между сайтами, статический/динамический IP, UniFi Network
 
#1
09.01.2015 20:47:00
Я хочу настроить VPN типа site-to-site между двумя физическими локациями. Локация А имеет статический IP и там размещена ВМ с Unifi Controller. Локация B — с динамическим IP, который, судя по всему, меняется примерно 4-6 раз в год. В Локации B не предлагают статический IP без перехода на более дорогой интернет-пакет. Если я настрою USG для Локации B и укажу в inform-URL мой публичный IP с номером порта, а человек на месте подключит USG в Локации B, когда его доставят, то будет ли работать site-to-site VPN? Я предполагаю, что публичный IP USG в Локации B будет передаваться контроллеру в Локации А, и контроллер сможет настроить VPN-соединение. Или для этого обеим локациям нужен статический IP?
 
 
 
#2
24.10.2017 17:19:00
Спасибо за ответ... Я только пытаюсь в этом разобраться. Не знал, что можно направить только что обнаруженное устройство на удалённый контроллер. Следующий вопрос: разве нет облачного контроллера от Ubiquiti, чтобы не заморачиваться с пробросом портов на роутере? Мне кажется, должно быть можно создать учётную запись Ubiquiti, к которой устройства будут подключаться, и управлять ими через веб-портал. В общем, я справлюсь... Завтра придёт второй USG, я просто подключу его к резервному провайдеру на обоих объектах, чтобы ничего не сломать, и буду экспериментировать, пока не настрою всё как надо. Спасибо ещё раз.
 
 
 
#3
24.10.2017 06:40:00
Нет. Контроллер — это программа, загруженная и работающая на ПК/сервере/Cloudkey (на ваш выбор). Когда она запущена, вы создаёте отдельные сайты, заходя в правый верхний угол и создавая Site A, Site B и Site C.

Во-первых, чтобы это работало, вам, конечно, нужно открыть некоторые порты на вашем локальном роутере и направить их на локальный IP-адрес вашего ПК/сервера/Cloudkey. Подробнее об этом процессе можно почитать здесь: https://help.ubnt.com/hc/en-us/articles/204909754-UniFi-Device-Adoption-Methods-for-Remote-UniFi-Controllers

Когда устройства появятся в вашем локальном контроллере, убедитесь, что выбрали сайт, к которому хотите их привязать, затем нажмите кнопку Adopt в интерфейсе и снова выполните команду set-inform.

Если эти сайты уже запущены, вы можете экспортировать сайт из локального контроллера и импортировать его как НОВЫЙ сайт в вашем едином контроллере.
 
 
 
#4
23.10.2017 21:20:00
Позвольте уточнить по последнему вопросу, теперь, когда у меня немного больше информации... Я пытался понять, как один контроллер может управлять несколькими локациями. Не мог разобраться, как мой Mac в точке 1 сможет видеть или управлять USG в точке 2. Похоже, что решением является cloudkey. Я бы поставил USG в каждой локации вместе с cloudkey, и ключи в каждой точке будут синхронизироваться с контроллером в облаке. Я правильно понимаю ситуацию?
 
 
 
#5
23.10.2017 19:15:00
Класс... Так что же такое контроллер? Это что-то из оборудования или просто мой аккаунт Ubiquiti, к которому через софт привязаны оба устройства? Сейчас у меня дома только оборудование Unifi, и я хочу настроить три VPN-туннеля на рабочие локации. Если я настрою контроллер и добавлю туда оборудование, это значит, что оно синхронизируется с моим аккаунтом Ubiquiti в интернете? Если да, то им точно нужно лучше раскручивать эту фишку — это просто отпад!
 
 
 
#6
23.10.2017 18:04:00
Это старая тема, так что кое-что изменилось, но вот:  
#2 — да, именно так это и работает, но оба USG должны быть подключены к одному контроллеру как отдельные сайты. То есть, можно настроить Сайт №1 в Нью-Йорке, а Сайт №2 — удалённо, в Нью-Джерси. Тогда данные и настройки будут храниться отдельно для каждого сайта. Поскольку оба связываются с одним контроллером, при использовании Auto, если у Сайта №2 динамический WAN IP и он меняется, контроллер это заметит и обновит конфигурацию Сайта №1, чтобы она совпадала. Чтобы всё это работало, оба сайта должны обмениваться данными с контроллером через интернет или с помощью FQDN. Если вы используете IP-адрес удалённо, контроллер на другой стороне не сможет узнать, где теперь находится новый IP контроллера.  
#3 — именно Auto VPN занимается этим. Site-to-site IPSEC — это ручная настройка.
 
 
 
#7
23.10.2017 16:30:00
Постойте... Подождите-ка... Я правильно понимаю? В этом посте, по сути, говорится, что если в настройках стоит WAN переключение, и USG переключается на резервный WAN, то он автоматически связывается с другим USG и говорит ему изменить IP-адрес назначения без необходимости использования DNS-сервиса?

#2: В посте говорится, что при смене WAN IP USG автоматически информирует «контроллер» об этом, и другой USG меняет целевой WAN IP для VPN. Значит ли это, что «контроллер» — это другой USG, или мне нужно запустить контроллерское ПО на обеих сторонах, или тут как раз и вступает в игру облачный ключ?

#3: Мне все еще надо выбирать site-to-site VPN или лучше использовать «автоматический» выбор VPN, как упоминалось в этой ветке?

Я уже голову сломал, пытаясь разобраться, как решить именно эту проблему, потому что, похоже, USG не поддерживают FQDN в качестве конечных точек при создании site-to-site VPN, хотя я могу указать в конфиге USG свой dynDNS-хост, и он прекрасно с ним общается. Я просто в восторге, если, хоть и необычно, USG могут автоматически обмениваться информацией о смене WAN IP между собой без необходимости DNS-сервиса, как это обычно делают другие роутеры.
 
 
 
#8
04.06.2016 03:12:00
У меня та же проблема с двойным NAT. Это не работает. Речь про IPsec (когда выбираешь "auto" site-to-site и указываешь другой USG)... по-моему... Я много раз видел в этом форуме, что «IPsec через двойной NAT не работает — надо использовать OpenVPN»... Но после некоторых поисков в интернете я наткнулся на вот что: теоретический обход — это «nat transversal» («NAT-T»), когда пакеты Ipsec ESP (протокол 50) упаковываются в UDP-пакеты на порту 4500. Так что в теории нужно на граничном устройстве пробросить на USG (приватный IP для WAN USG) следующие порты: udp 4500, udp 500, esp (протокол 50).

Всё, что я читал, говорит, что оба устройства должны поддерживать NAT-T, чтобы перевод сработал. Я пробовал — без результата, обратился в поддержку UBNT, жду ответа. Также сегодня писал об этом в форумах — пока без удачи.

Ещё я нашёл информацию, что «стандартный» Ipsec-over-UDP использует порт 10000 (https://supportforums.cisco.com/document/64281/how-does-nat-t-work-ipsec)... но не уверен, связано ли это с моей проблемой, ещё не пробовал.

Просто загуглите «ipsec over double nat», и вы найдёте много всего на эту тему.

Так почему бы просто не использовать OpenVPN и не закончить с этим?

Как я писал в более ранней теме сегодня утром, OpenVPN ломает USG — и локальный, и удалённый USG уходят в загрузочный цикл. Обходных путей не нашёл.

В общем и целом, вот к чему я пришёл и что сейчас считаю фактами:  
1) Конфигурация usg site-to-site с «auto» НЕ работает, если ты находишься за двойным NAT с одним устройством (хотя, может, я просто что-то делаю не так — я новичок и у меня только гугл в помощь!).  
2) OpenVPN через GUI/контроллер ломает USG с обеих сторон.  
3) Сейчас никак не получается запустить site-to-site на USG, жду поддержки.

Извини, бро, удачи тебе пока.
 
 
 
#9
03.06.2016 19:27:00
Обычно отвечать в старой теме — не самая лучшая идея... но я ищу решение именно этой проблемы уже полгода... После смены IP от провайдера VPN падает, и единственный способ вернуть VPN — удалить его и создать заново, всё через webif... В остальном всё работает отлично... только эта МЕЛОЧЬ... с одной стороны фиксированный IP, не приватный :-) с другой — динамический, dyndns включён и обновления работают... может, деталь: статический IP находится за NAT-маршрутизатором провайдера, который выдаёт через DHCP публичный IP, я этот фиксированный IP прописал в статическом режиме в WAN-конфиге USG напрямую... динамическая сторона подключена через PPPoE напрямую к модему... Уважаемые сотрудники Ubnt... это определённо не работает... неважна конфигурация стороны с «статическим IP»... «когда USG на площадке B меняет WAN-IP, контроллер уведомляет USG на площадке A и обновляет конфигурацию VPN-туннеля» — у меня это не работает... Идеи есть? В чём может быть проблема? Для меня это уже скорее «особенность», что VPN-соединения не всегда остаются активными... но время придёт, когда это перестанет быть приятной особенностью для вас.
 
 
 
#10
06.04.2016 14:44:00
Сейчас у меня проблема с настройкой site-to-site VPN. В главном офисе на WAN-интерфейсе USG стоит IP-адрес от роутера провайдера, так что там всё в порядке. На втором объекте USG получает LAN-адрес от роутера провайдера (иначе только переходить на более дорогой тариф). Все порты проброшены на этот адрес — от роутера провайдера к USG. После настройки site-to-site VPN через GUI удалённые сети недоступны. Похоже, что туннель не поднимается из-за того, что на WAN-интерфейсе второго USG стоит LAN-адрес. Оба USG подключены к одному и тому же контроллеру. Есть идеи, как это исправить?
 
 
 
Страницы: 1
Читают тему (гостей: 1)