UniFi Security Gateway — VPN Amazon AWS?

UniFi Security Gateway — VPN Amazon AWS?, UniFi Network

daMiBu Guest	#1 24.04.2015 12:57:00 Кто-нибудь знает, можно ли создать VPN с UniFi Security Gateway на Amazon AWS VPC (Virtual Private Cloud)? Я хочу купить несколько таких устройств, но нужно знать, можно ли с их помощью создавать VPN для AWS. Спасибо!

TipsyKraken Guest	#2 29.11.2017 21:15:00 Нет. Мы отказались от Unifi для маршрутизации на границе сети и выбрали Fortinet.

ageorgop Guest	#3 29.11.2017 19:34:00 Ты так и не разобрался с этим? Я сейчас в похожей ситуации. Не понимаю, почему это не работает.

TipsyKraken Guest	#4 17.06.2017 23:24:00 Я отправлю заявку в службу поддержки Ubiquiti по поводу невозможности работы из USH. Это базовое действие при устранении неполадок с VPN-туннелями.

TipsyKraken Guest	#5 17.06.2017 23:22:00 Если вы используете динамическую маршрутизацию, объявления BGP от AWS и вашего USG будут обрабатывать маршрутизацию.

Radhika

Guest

16.06.2017 20:27:00

@gamccorkle

Извиняюсь, небольшая поправка к предыдущему сообщению. Я только что проверил: когда подключаюсь по SSH к USG, не могу пинговать ресурсы AWS, но с CloudKey и других компьютеров в подсети это получается. Зато с инстансов AWS я без проблем могу пинговать USG назад.

Radhika

Guest

16.06.2017 20:16:00

USG>AWS, AWS>USG — я могу пинговать, подключаться по ssh и rdp к ресурсам в обе стороны без проблем (то есть ко всем ресурсам между on-prem подсетями и aws vpc подсетями). Не совсем понял, что ты имеешь в виду под USG>USG. Единственное, с чем я сталкивался — после настройки VPN и поднятия туннелей нужно добавить маршрут в таблицу маршрутизации (route table) в твоём Amazon VPC (192.168.x.x/x), чтобы он указывал на VPN-подключение (vgw-xxx). И обязательно проверь, чтобы security groups и Network ACLs для ресурсов в AWS были настроены правильно и пропускали icmp и ssh пакеты.

TipsyKraken Guest	#8 16.06.2017 19:51:00 Ты можешь пропинговать AWS endpoints с USG через SSH? Моя проблема в том, что ни от USG к другому USG, ни от USG к AWS, ни от AWS к USG пинги не идут. Трафик с устройств в размещённых подсетях при этом общается без проблем.

Radhika Guest	#9 16.06.2017 00:31:00 Я скопировал файл конфигурации у @kd7mlg и изменил значения согласно настройкам AWS для Vyatta, и всё работает: я могу пинговать, подключаться по SSH и RDP в обе стороны.

waterforditu Guest	#10 31.10.2016 23:36:00 set protocols bgp 65432 network 10.1.1.0/24 будет распространять ваши сети в AWS, однако у меня не получается настроить маршрутизацию с моего USG Pro 4 к VPC...

jcandalino

Guest

#11

20.07.2016 23:09:00

Кто-нибудь вообще заставил динамическую маршрутизацию работать? У меня туннели в AWS настроены, я могу пинговать свою сеть из AWS, но в обратную сторону — нет. В консоли VPC я даже не вижу, чтобы мои внутренние маршруты распространялись. У меня вообще не было таких проблем с серией edgemax.

TipsyKraken Guest	#12 22.12.2015 22:55:00 kd7mlg, ты уверен, что используешь это на Ubiquiti Unifi USG? У меня стоит версия 4.2.11.4796630, и интерфейс VTI вообще не распознаётся через команду SET INTERFACES в SSH-меню. Tunnel есть, а VTI — нет.

TipsyKraken

Guest

#13

05.01.2016 16:30:00

В приложении шаблон, который я сделал для статической маршрутизации.
1) Замените теги «( AWS Info blah blah )» на соответствующие значения из вашего скрипта настройки AWS, который можно скачать с контроллера AWS.
2) Затем загрузите этот файл в контроллер под нужным сайтом. Сохраните файл под именем «config.gateway.json».
3) Запустите перепрошивку USG, включив или выключив что-нибудь на вашем USG.

По пункту №3: у меня всегда есть сеть /29 с названием «DUMMY», которую я использую, чтобы включать или выключать DHCP и тем самым заставлять контроллер перепрошивать USG.

jon_gus Guest	#14 04.01.2016 17:33:00 Вам нужно зарегистрироваться в BETA-программе в вашем аккаунте UBNT https://account.ubnt.com/manage/settings/beta, после чего вы увидите отдельный раздел форума под названием UniFi_BETA https://community.ui.com/tags/404. С уважением.

corruptmem Guest	#15 04.01.2016 17:28:00 Откуда ты взял эту бета‑прошивку?

TipsyKraken

Guest

#16

23.12.2015 13:39:00

Снова прав. Я могу пропинговать все устройства с моей рабочей станции в локальной сети, но не с самого USG. Хотелось бы, чтобы UBNT исправили это в бетах как баг. Думаю, проблема в IP-адресе источника, из-за которого пинг с USG не проходит. В мире Juniper команда выглядит как «ping x.x.x.x from #interface», где #interface — BGROUP/ETH0 и так далее. Для меня первый шаг в диагностике туннелей — всегда проверить роутер. Собираюсь удалить все свои кастомные настройки через CLI и попробую переписать все изменения в JSON-файл скриптом. Буду держать пальцы скрещенными...

kd7mlg

Guest

#17

23.12.2015 03:21:00

Интересно. Интересно, не пропустил ли я этого, ведь у меня тоже есть VPN-туннели UniFi site-to-site (я использую облегчённый config.gateway.json с только тем, что Контроллер не настраивает, и получил этот фрагмент с помощью «diff» и небольшого редактирования).

У меня тоже такая же проблема: с самого USG нельзя запинговать удалённые ipsec-эндпоинты, но с любого устройства на локальной стороне VPN я могу пинговать (или как-то иначе взаимодействовать) с любым удалённым сайтом. Я дальше не копал, потому что обычно не подключаюсь по SSH к USG, чтобы «копаться» на удалённых сайтах.

К тому же, я довольно новичок в CLI. Есть несколько вещей, которые я понял, потыкался и почитал, но до этого дошёл только благодаря «autoconfig»-скрипту, сгенерированному AWS консолью (и немного терпения).

TipsyKraken

Guest

#18

23.12.2015 01:38:00

Хорошие новости, вы были правы! 😀 Я обновился до бета-версии прошивки, и команды VTI там есть. Однако мне не удалось заставить работать JSON-файл с моими значениями. USG постоянно перезагружался, поэтому я пробежался по CLI и нашёл ошибку. Не было IPSEC-INTERFACES. Я выполнил следующие команды, и наконец всё успешно применилось и сохранилось:

vpn {
ipsec {
ipsec-interfaces {
interface vti1
interface vti2
}

После этого туннели поднялись, и я смог пропинговать удалённые интерфейсы AWS-туннелей.
Теперь я могу пинговать свой USG с других AWS-узлов, но не могу пинговать обратно с USG в AWS.
Пробовал просмотреть всю конфигурацию, но не могу понять, в каком разделе мне нужно обновить настройки, чтобы добавить необходимые подсети в группы или правила для разрешения трафика. Можете подсказать, куда копать?

kd7mlg Guest	#19 22.12.2015 23:39:00 Положительно. Однако у меня установлена бета-прошивка (v4.3.7).

kd7mlg Guest	#20 19.12.2015 16:04:00 Наконец-то удалось настроить, воспользовавшись подсказками с других источников (если настроить динамическую маршрутизацию через BGP, можно даже скачать конфигурационный скрипт vyatta). Вот нужная часть моего config.gateway.json, чтобы сделать это «всегда включённым»: { "interfaces": { "vti": { "vti1": { "address": [ "(Customer Gateway Inside IP address for tunnel 1)" ], "description": "VPC tunnel 1", "mtu": "1436" }, "vti2": { "address": [ "(Customer Gateway inside IP address for tunnel 2)" ], "description": "VPC tunnel 2", "mtu": "1436" } } }, "protocols": { "bgp": { "65000": { "neighbor": { "(Virtual Private Gateway IP address for tunnel 1)": { "remote-as": "7224", "soft-reconfiguration": { "inbound": "''" }, "timers": { "holdtime": "30", "keepalive": "30" } }, "(Virtual Private Gateway IP address for tunnel 2)": { "remote-as": "7224", "soft-reconfiguration": { "inbound": "''" }, "timers": { "holdtime": "30", "keepalive": "30" } } }, "network": { "0.0.0.0/0": "''" } } } }, "vpn": { "ipsec": { "esp-group": { "AWS": { "compression": "disable", "lifetime": "3600", "mode": "tunnel", "pfs": "enable", "proposal": { "1": { "encryption": "aes128", "hash": "sha1" } } } }, "ike-group": { "AWS": { "dead-peer-detection": { "action": "restart", "interval": "15", "timeout": "30" }, "key-exchange": "ikev1", "lifetime": "28800", "proposal": { "1": { "dh-group": "2", "encryption": "aes128", "hash": "sha1" } } } }, "site-to-site": { "peer": { "(Virtual Private Gateway outside IP address tunnel 1)": { "authentication": { "mode": "pre-shared-secret", "pre-shared-secret": "(tunnel 1 secret)" }, "connection-type": "initiate", "description": "VPC tunnel 1", "ike-group": "AWS", "local-address": "(your outside IP address)", "vti": { "bind": "vti1", "esp-group": "AWS" } }, "(Virtual Private Gateway outside IP address tunnel 2)": { "authentication": { "mode": "pre-shared-secret", "pre-shared-secret": "(tunnel 2 secret)" }, "connection-type": "initiate", "description": "VPC tunnel 2", "ike-group": "AWS", "local-address": "(your outside IP address)", "vti": { "bind": "vti2", "esp-group": "AWS" } } } } } } }

Читают тему (гостей: 1)