Site to Site VPN на двух USG устройств, UniFi Network
doc2485
Guest
11.04.2017 20:23:00
Всем привет! Есть пара вопросов по настройке и запуску site-to-site VPN для клиента. У них будут по два новых USG на каждой сети в роли роутеров. На каждой локации будет cloud key, и оба устройства будут управляться через облако на . Обе сети имеют динамический WAN IP от Spectrum через модемы в режиме моста (старый Time Warner).
1) Можно ли использовать для обеих сетей диапазон 192.168.1.1? Или одной из них обязательно нужно сменить на 192.168.2.1? 2) Будет ли всё работать с динамическими WAN IP, или для этого на каждой локации нужен статический WAN IP?
Любая помощь и информация будут очень полезны! Спасибо! Doc
PerryJL
Guest
31.08.2018 15:04:00
Для этого DNS не требуется, и два USG не нужны, хотя в некоторых случаях это может быть удобнее. Hamachi — это сторонний VPN-сервис, он не нужен для создания site-to-site VPN. USG поддерживают разные VPN-технологии с разными функциями и возможностями. В итоге всё зависит от того, чего вы пытаетесь достичь.
Pjteam6
Guest
31.08.2018 14:39:00
Чтобы я правильно понял, мне нужно настроить полностью квалифицированный домен, чтобы связать эти две штуки, или можно использовать что-то вроде Hamachi? И вообще, нужно ли мне два USG? Спасибо, PJ
jgreil
Guest
04.04.2019 07:50:00
Доброе утро, Leo! Я использовал тот же шаблон и у меня всё заработало. Единственное отличие между твоей и моей конфигурацией в том, что ты убрал eth3 из ipsec-interfaces в конфиге сайта B: "ipsec-interfaces": { "interface": ["eth2", "eth3"] } Я не менял имена групп ESP и IKE, но думаю, в этом нет проблемы. Возможно, один из твоих USG находится за NAT? В таком случае нужно прописать его WAN-адрес (у меня это 10.0.0.1) в поле local-address в конфиге соответствующего сайта.
lbreggi
Guest
12.03.2019 19:55:00
К сожалению, нет
anibalin
Guest
09.03.2019 09:54:00
Привет, Лео, у тебя получилось это запустить? Я в такой же ситуации.
Pjteam6
Guest
31.08.2018 18:30:00
Спасибо, я создал пост
mcbsys
Guest
31.08.2018 18:01:00
Цель site-to-site VPN — обеспечить защищённую связь между компьютерами в двух разных локациях. Нужно ли компьютеру A на станции 1 напрямую связываться с компьютером B на станции 2? Если нет — то VPN вам не нужен.
Если вы добавите UniFi AP на станции 2, теоретически можно настроить их так, чтобы они использовали контроллер на станции 1, но это довольно сложная задача (нужно настроить проброс портов, динамический DNS для станции 1, открыть firewall на Raspberry Pi). Проще будет просто поставить ещё один Pi на станции 2, ведь использование контроллера локально — это настройка по умолчанию. При этом с главной панели unifi.ubnt.com вы всё равно сможете управлять обоими контроллерами.
Если же вам действительно нужен VPN — например, чтобы делиться графиками работ или журналами по обслуживанию оборудования между станциями, — тогда использование двух USG — неплохое решение. Это можно делать как с одним, так и с двумя контроллерами. Единственная дополнительная задача — заставить ваши роутеры Verizon позволить USG быть главным роутером.
Тема уходит немного от VPN. Лучше создать новую тему, подробно описать свои потребности и получить общие рекомендации по дальнейшим шагам.
Pjteam6
Guest
31.08.2018 15:09:00
Итак, в основном я настроил беспроводную сеть на нашей станции 1: 4 точки доступа и маленький Raspberry Pi с контроллером. Все это подключено к стандартному роутеру Verizon, который у нас установлен в станции. Офицеры хотят, чтобы я настроил такую же систему на второй станции. Я никогда полностью не занимался сетями, просто пытаюсь разобраться. Допустим, у меня есть 2 USG, как их связать вместе, чтобы система работала синхронно под одним контроллером?
PerryJL
Guest
31.08.2018 12:41:00
site-to-site обычно означает географически удалённые друг от друга локации, которым нужна широкомасштабная сеть (WAN) для связи. В данном случае WAN — это Интернет с использованием VPN-соединения для объединения этих локаций, обычно чтобы Сайт A и Сайт B могли обмениваться ресурсами (почтой, файлами, серверами приложений и т.д.).
Pjteam6
Guest
31.08.2018 05:05:00
Привет, ребята, просто хотел уточнить, потому что немного запутался. Когда все говорят «site to site», это подразумевает одну и ту же локацию или я могу сделать это, например, на двух разных пожарных станциях?
PerryJL
Guest
19.08.2018 00:36:00
@mbello
Спасибо за это руководство по настройке USG в режиме клиента. Благодаря ему мне удалось успешно подключиться к серверу OpenVPNAS, но вот в чём загвоздка — он не поддерживает TLS 1.2 или 1.1. Это не самое лучшее, и я пока не уверен, связано ли это с ограничениями USG или с настройками сертификата где-то ещё, что мне нужно будет проверить. Искренне, Perry
8gpokpo
Guest
24.05.2018 07:44:00
Сейчас у меня похожие проблемы с необходимостью вручную настроить site-to-site IPsec VPN между двумя USG, оба с динамическими IP-адресами. Когда же можно ожидать, что GUI сможет работать с FQDN для WAN IP? Всё это происходит в Китае, так что сплошные головные боли и потеря времени — не представляю, как деать отладку и запускать всё, постоянно прибегая к редактированию JSON.
michealford1
Guest
14.03.2018 01:36:00
Связано, но с одной стороны используется случайный IP-адрес: у меня есть USG 4P, который управляет «Site A» с фиксированным IP WLAN и облачным ключом, на котором запущен контроллер в нашем главном офисе. У меня также есть USG 3P, который работает на «Site B», и он использует тот же контроллер, что и «Site A» (я сделал set-inform 3P на IP WLAN Site A, а потом настроил переадресацию портов на облачный ключ). «Site B» будет использоваться как мобильный офис для тура, так что я редко, а может, и вообще никогда не буду знать IP WLAN адреса площадки, на которой мы находимся.
Я вижу оба USG и точки доступа на них через контроллер, могу управлять оборудованием UNIFI на обоих сайтах без проблем и вижу подключённых клиентов на обоих сайтах. НО, я не получаю никакой другой информации между сайтами — даже пинговать устройства между ними не могу.
Что думаете? Что-то упускаю?
Честно говоря, я только на экране играю профессионала в IT — на самом деле я работаю в некоммерческой сфере...
mbello
Guest
27.02.2018 20:35:00
@traub
Вот ссылка: Я хорошо знаком с OpenVPN, а с L2TP — не очень, поэтому для меня это было намного проще. Файл openvpn.conf в посте — это стандартный openvpn.conf, ничего специфического для USG/UBNT. Если вы не знакомы с OpenVPN, рекомендую настраивать его с опцией «topology subnet». Ниже дам конфигурацию, которую я использую и которая работает.
Вам нужно заранее подготовить сертификаты/CA/PKI, а также нужно будет найти папку ccd по пути /config/user-data/openvpn/ccd. В Интернете много статей, где это описано (Ubuntu поставляется с удобным скриптом easy-rsa, который сделает всю работу на машине x86, а потом, возможно, вы просто отправите это на «центральный» USG).
Сервер: local 0.0.0.0 multihome dev tun proto udp port 1194 fast-io comp-lzo yes push "comp-lzo yes"
ca /config/user-data/openvpn/ca.crt cert /config/user-data/openvpn/server.crt key /config/user-data/openvpn/server.key # Этот файл должен храниться в секрете dh /config/user-data/openvpn/dh2048.pem tls-auth /config/user-data/openvpn/ta.key 0 # Этот файл тоже секретный cipher AES-256-CBC
topology subnet server 10.0.8.0 255.255.255.0 max-clients 15
# Обратите внимание, что подсети ниже совпадают с JSON-файлом в секции remote_site_vpn_network route 10.5.0.0 255.255.0.0 route 10.6.0.0 255.255.0.0 # Добавляйте сколько угодно маршрутов, чтобы сервер знал, куда направлять трафик для вашего VPN-соединения status /var/log/openvpn-status.log log-append /var/log/openvpn.log
mute 20
Файл ccd на сервере для «remoteusg1» (/config/user-data/openvpn/ccd/remoteusg1): #10.0.8.40 будет IP, назначенным клиенту «remoteusg1» ifconfig-push 10.0.8.40 255.255.255.0
# 10.5.0.0/16 — это подсеть за шлюзом «remoteusg1» # Эта команда сообщает внутреннему маршрутизатору OpenVPN на сервере, # куда направлять пакеты, связанные с этим peer. Но при этом всё равно нужны route-команды в .conf файле сервера. Если есть iroute, но нет route на сервере — не заработает. iroute 10.5.0.0 255.255.0.0
# Прокидываем локальные подсети, доступные через VPN-шлюз «remoteusg1» (добавляет эти маршруты на удалённый USG) push "route 10.0.7.0 255.255.255.0" push "route 10.0.5.0 255.255.255.0"
Файл клиента для «remoteusg1» (/config/user-data/openvpn/openvpn.conf): client dev tun proto udp remote 1194 # замените на URL вашего сервера remote 1194 # тут так же resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun mute-replay-warnings
ca /config/user-data/openvpn/ca.crt cert /config/user-data/openvpn/remoteusg1.crt key /config/user-data/openvpn/remoteusg1.key
ns-cert-type server
tls-auth /config/user-data/openvpn/ta.key 1
cipher AES-256-CBC comp-lzo verb 3 mute 20
Это должно помочь вам запустить всё.
traub
Guest
27.02.2018 17:13:00
@mbello
можешь скинуть ссылку на настройки твоего OpenVPN? Я так и не нашёл
traub
Guest
27.02.2018 17:07:00
Профи используют мульти-WAN (резервирование)
mbello
Guest
27.02.2018 16:30:00
@traub
Я посмотрел, что ты пытаешься сделать, и оказалось намного проще и быстрее просто использовать openvpn между конечными точками. У меня где-то в этом форуме есть пост, где я делился конфигом openvpn и объяснял, как я это настроил. Просто убедись, что на каком-либо из USG нет multi wan.
traub
Guest
27.02.2018 15:24:00
@UBNT-jaffe Есть какие-нибудь идеи?
traub
Guest
26.02.2018 14:48:00
@UBNT-jaffe
Сейчас ситуация очень раздражает, особенно наших клиентов — всё нестабильно. Иногда после смены IP туннель больше не устанавливается. Перезапуск VPN не помогает. Нужно полностью перезагружать устройство . Это же не решение! Иногда появляется такая ошибка:
Feb 26 15:38:06 07[IKE] <peer-hostb.me-tunnel-0|1> удаление IKE_SA peer-hostb.me-tunnel-0[1] между 80.147.85.YYYY[hosta.no-ip.org]...84.145.230.XXX[hostb.me] Feb 26 15:38:06 07[IKE] <peer-hostb.me-tunnel-0|2> IKE_SA peer-hostb.me-tunnel-0[2] установлено между 80.147.85.YYYY[hosta.no-ip.org]...84.145.230.XXX[hostb.me] Feb 26 15:38:06 07[KNL] <peer-hostb.me-tunnel-0|2> невозможно установить исходный маршрут для 192.168.110.1 Feb 26 15:38:06 07[IKE] <peer-hostb.me-tunnel-0|2> CHILD_SA peer-hostb.me-tunnel-0{2} установлено с SPIs cb50460c_i cc646b01_o и TS 192.168.110.0/24 === 192.168.120.0/24 Feb 26 15:38:06 01[IKE] <peer-hostb.me-tunnel-0|1> IKE_SA удалено Feb 26 15:38:06 01[KNL] <peer-hostb.me-tunnel-0|1> невозможно установить исходный маршрут для 192.168.110.1
Feb 26 17:33:07 11[KNL] создаётся задача приобретения для политики 192.168.110.140/32[tcp/5001] === 192.168.120.120/32[tcp/58180] с reqid {1} Feb 26 17:33:07 12[IKE] <peer-hostb.dnsfor.me-tunnel-0|1> инициация IKE_SA peer-hostb.dnsfor.me-tunnel-0[1] на 84.145.230.XXX Feb 26 17:33:07 13[IKE] <2> 84.145.230.XXX инициирует IKE_SA Feb 26 17:33:50 10[IKE] <3> 84.145.230.XXX инициирует IKE_SA admin@RouterAulendorf:~$ show vpn ipsec sa (unnamed): #3, CONNECTING, IKEv2, 27fbe95745f4bc72:e1475ead10a0f1bf local '%any' @ 80.147.85.YYYY remote '%any' @ 84.145.230.XXX AES_CBC-128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 пассивно: IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE peer-hostb.dnsfor.me-tunnel-0: #1, CONNECTING, IKEv2, 1c8680bf418174de:0000000000000000 local '%any' @ 80.147.85.YYYY remote '%any' @ 84.145.230.XXX активно: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE
Или VPN туннель пишет «connecting», но так и не подключается. А когда эта проблема есть, не можем подключиться и через L2TP-туннели с Windows или iOS. У нас стоит последняя прошивка (4.4.18.5052172). С уважением.
