Настройка USG с IPVanish OpenVPN

Настройка USG с IPVanish OpenVPN, UniFi Network

tairatcliff

Guest

19.12.2016 13:36:00

Я изучал статьи и следовал разным гайдам, но никак не могу заставить мой UniFi USG работать с VPN от IPVanish. Это вроде бы обычная настройка OpenVPN, и другие раньше вроде получали всё в рабочем состоянии. Но в основном у них были EdgeMax или похожие устройства, и там частенько встречается настройка через UI. Лучший гайд, который я нашёл, — https://www.cyberbrian.net/2014/10/12/full-network-anonymous-vpn-wubiquiti-edgemax-router/, и я почти дословно его повторил, но, по-моему, у меня проблемы с SNAT-конфигурацией через CLI.

Вот пошагово, что я сделал:

Скопировал конфигурационные файлы IPVanish и сертификат в /config/openvpn/ipvanish.ovpn
Создал файл pass.txt в /config/auth/pass.txt

Вот детали конфигурации OpenVPN:

client
dev-type tun
proto tcp
remote nyc-a37.ipvanish.com 443
resolv-retry infinite
nobind
persist-key
persist-tun
persist-remote-ip
ca /config/openvpn/ca.ipvanish.com.crt
verify-x509-name nyc-a37.ipvanish.com name
auth-user-pass /config/auth/pass.txt
comp-lzo
verb 3
auth SHA256
cipher AES-256-CBC
keysize 256

Подключился по SSH к USG и ввёл:

configure
set interfaces openvpn vtun0 config-file /config/openvpn/ipvanish.ovpn
commit
save
set service nat rule 6005 description "MASQ corporate_network to VPN"
set service nat rule 6005 outbound-interface vtun0
set service nat rule 6005 type masquerade
set service nat rule 6005 protocol all
set service nat rule 6005 source group network-group corporate_network
commit
save
exit
show log tail

После этого я смотрю логи, и всё, что получаю — ошибки «resolve». Очевидно, интернет-соединения нет.

Dec 20 00:06:05 UbiquityUniFiUSG openvpn[13950]: RESOLVE: Cannot resolve host address: nyc-a37.ipvanish.com: Temporary failure in name resolution
Dec 20 00:06:15 UbiquityUniFiUSG openvpn[13950]: TCP: connect to [AF_INET]216.151.180.36:443 failed, will try again in 5 seconds: Connection timed out

Может, я что-то делаю не так? На что ещё можно обратить внимание при поиске решения?

Спасибо.

jsrobinson

Guest

14.08.2017 11:35:00

@carlospaulino1

Ты пытаешься сделать это на USG или на EdgeRouter? У меня были проблемы с производительностью при использовании modify table на USG, так что ER-lite, скорее всего, будет лучше для этого. В общем, я скачал .OVPN файлы от NordVPN и заменил строку pull route на route-noexec. Потом нужно создать правило firewall modify route, вроде такого:

root@ubnt# show firewall modify SOURCE_ROUTE
rule 20 {
action modify
description "трафик из GNO идёт через VPN"
destination {
}
modify {
table 1
}
source {
address X.X.X.X/X <IP твоего VLAN>
}
}

[edit]

И таблицу маршрутизации, например такую:

root@ubnt# show protocols
static {
table 1 {
interface-route 0.0.0.0/0 {
next-hop-interface vtun1 {
distance 20
}
}
interface-route 0.0.0.0/1 {
next-hop-interface vtun1 {
distance 10
}
}
}
}

[edit]

И в конце добавь правило Modify в свой firewall. Вот этот гайд даёт много деталей по настройке source routing: https://help.ubnt.com/hc/en-us/articles/204952274-EdgeRouter-Policy-based-routing-source-address-based-

carlospaulino1 Guest	#3 10.08.2017 23:48:00 @jsrobinson Как тебе удалось это сделать? Я хочу, чтобы весь трафик из одного VLAN выходил через VPN, но никак не могу понять, как это настроить.

jsrobinson Guest	#4 09.08.2017 16:00:00 У меня похожая настройка с NordVPN на edgerouter: один VLAN идет через NordVPN, а другие — через обычный шлюз провайдера. Мне пришлось добавить route-nopull в OVPN-файл.

jbsharpeii Guest	#5 09.08.2017 15:51:00 Мне тоже интересно, потому что от этого зависит, куплю ли я USG или другой роутер с DDRWT.

Rockett0 Guest	#6 02.07.2017 14:14:00 Тоже хочу это настроить.

slider1578 Guest	#7 20.06.2017 00:56:00 Ты собирался это решить? Я тоже пытаюсь сделать то же самое.

ogsroot Guest	#8 19.01.2017 02:18:00 Я тут немного заинтересовался. У меня есть IPvanish, и я хочу направить весь трафик в одном или двух моих VLAN через их VPN.

Читают тему (гостей: 1)