Как настроить VPN между AWS и USG Pro?

Как настроить VPN между AWS и USG Pro?, UniFi Network

Guest

19.07.2016 14:16:00

Несколько дней назад мы купили совершенно новый USG Pro с единственной целью — настроить статический VPN между AWS и нашим офисом. Прошло уже пару дней, а я все ещё мучаюсь с настройкой этого VPN. Вот подробности:
office_subnet: 192.168.0.0/16 — с 192.168.1.1 в роли USG
aws_subnet: 172.16.0.0/12

Мы создали статический VPN на AWS, который выдал нам два IP и общий конфигурационный файл, описывающий настройки IPSec-туннеля. Отмечу, что я не настраивал статические маршруты для этого VPN, потому что не был уверен, нужно ли туда что-то добавлять (должна ли это быть подсеть AWS или офисная подсеть?).

Я уже добавил Site-to-site VPN, но ничего не происходит. Этот новый VPN отмечен как активный, но в логах нет никаких признаков, что он действительно включён, и список сетей в интерфейсе по-прежнему его не показывает.

Я знаю, что изменения в конфигурации применяются к USG, потому что настроил пересылку всех логов на контроллер — и там видно, что настройки были применены. Но при этом нет ни предупреждений, ни ошибок, ни каких-то признаков того, что VPN действительно работает.

Electrum Guest	#2 17.01.2017 08:49:00 Привет, 42! Сообщи, пожалуйста, удалось ли настроить VPN?

bbeach Guest	#3 07.09.2020 10:49:00 Я написал блог-пост о том, как настроить высокодоступный, резервный VPN к AWS с возможностью использования BGP. http://blog.brianbeach.com/posts/2020-09-06-unifi-usg-aws-vpn/

chedes

Guest

03.06.2019 06:51:00

Всем привет! Мой IPsec работает отлично, туннель тоже активен. Но у меня два провайдера, и я хочу настроить ещё один туннель с автоматическим переключением между ними при сбое. Мы перепробовали все возможные варианты, но пока безуспешно. Если кто-то может помочь, буду очень признателен. Дайте знать, если нужны дополнительные детали.

0t1FSS Guest	#5 31.07.2018 20:22:00 Можно ли считать безопасным предположение, что часть с customer gateway на стороне AWS должна иметь статический IP у меня? Я пытаюсь настроить VPN-соединение с интернет-подключения, у которого нет статического IP.

sigi_

Guest

24.10.2017 16:39:00

Вопрос в том, какой удалённый IP вы пингУете. Тот, к которому можно подключиться только через успешное VPN/ipsec соединение? Тогда у меня нет идей, почему он не отображается зелёным. В противном случае: нужно пинговать машину внутри вашего VPC.

mellis1

Guest

24.10.2017 14:11:00

Я пропустил это с первой попытки,

И теперь, когда я выполняю команду «show vpn ipsec sa» в shell, получаю следующее,

Я могу пропинговать удалённый IP, но всё равно показывается отсутствие трафика VPN, и оба маршрута в AWS отображаются как неработающие. Нужно ли что-то менять в настройках фаерволов?

sigi_

Guest

23.10.2017 13:43:00

Сначала создайте трафик, иначе туннель не будет активен и не станет активным. Только потом AWS покажет, что туннель поднят. Если я правильно помню, следующие команды CLI на вашем USG должны что-то показать: show vpn ipsec sa ipsec status

mellis1

Guest

23.10.2017 13:29:00

Мне нужен site-to-site VPN, чтобы я мог аутентифицироваться на офисных ПК с помощью Simple AD, запущенного на WorkSpaces. У меня UniFi Security Gateway 4P, версия 4.3.60.5012144.

Создаю «Customer Gateways» в AWS,
Создаю «Virtual Private Gateways» в AWS,
Создаю «VPN Connection» в AWS,
«Static Routes» в AWS,
Информация о WorkSpaces Directories,
«Ваши VPC» в AWS,
Сводка по «Subnets» в AWS,
Таблица маршрутов «Subnets» в AWS,
Сетевые ACL «Subnets» в AWS,
Маршруты таблиц маршрутизации AWS,
Ассоциации подсетей таблиц маршрутизации AWS,
Пропагация маршрутов таблиц маршрутизации AWS,

Настройка обмена ключами VPN:
- версия IKE: IKEv1
- метод аутентификации: Pre-Shared Key
- предварительно общий ключ: ***
- алгоритм аутентификации: sha1
- алгоритм шифрования: aes-128-cbc
- время жизни: 28800 секунд
- режим согласования Фазы 1: main
- Диффи-Хеллман: группа 2
- протокол: esp
- алгоритм аутентификации: hmac-sha1-96
- алгоритм шифрования: aes-128-cbc
- время жизни: 3600 секунд
- режим: туннель
- Perfect Forward Secrecy: Diffie-Hellman группа 2

Внешние IP-адреса:
- Customer Gateway: *.*.*.111
- Virtual Private Gateway: *.*.*.202

Внутренние IP-адреса:
- Customer Gateway: 169.254.14.106/30
- Virtual Private Gateway: 169.254.14.105/30
- следующий хоп: 169.254.14.105

Конфигурация сетей Unifi 5.5.24,
Редактирование маршрута Unifi,

Как проверить, что туннели работают? Появится ли статус в «AWS VPN Connections», когда туннели поднимутся? Я пробовал команду «show vpn ipsec sa» в secure shell — ошибки нет, но и вывода тоже, просто переходит на следующую строку.

sigi_

Guest

#10

03.09.2017 15:34:00

Пару слов от меня (использую USG 4P):

- WAN-IP — это (если у вас перед USG стоит fritzbox/роутер) внутренний IP-адрес вашего USG, а не ваш статический IP.
- Нужно пробросить UDP-трафик на порт 500 на ваш USG (если перед USG есть fritzbox/роутер).
- Туннель поднимается только при создании трафика.
- В AWS указан Group 2.
- Для каждого IP-адреса свой Pre-Shared Key.
- Команды на CLI USG, которые мне показались полезными: show vpn ipsec sa, ipsec status.
- Веб-интерфейс до сих пор не показывает туннель в красном или оранжевом кружке.

Работает только через UI :-)

, отладка ужасная :-(

gspvitsupport

Guest

#11

20.07.2017 20:10:00

Во время начальной настройки на стороне AWS обязательно выбирайте статическую маршрутизацию, как показано ниже.

Настройте VPN-соединение на USG, как показано ниже, при этом убедитесь, что в разделе дополнительных настроек динамическая маршрутизация отключена.

После настройки VPN создайте статический маршрут для сети на AWS, как показано ниже.

После всех этих шагов вы должны иметь возможность зайти по ssh на USG и с помощью команды "show vpn ipsec sa" проверить, поднят ли туннель. Новая секция VPN на панели управления в контроллере версии 5.5.19 у меня почему-то не работает, хотя туннель поднят и трафик идет. Не знаю почему.

И не забывайте про таблицы маршрутизации, security groups и network ACLs на стороне Amazon. Все EC2-инстансы, к которым вы хотите получить доступ, должны иметь security groups, разрешающие доступ с подсетей USG, таблицы маршрутизации в VPC должны содержать записи для подсетей USG и быть привязаны к нужным подсетям AWS, к которым вы пытаетесь подключиться через VPN. Если network ACLs оставлены по умолчанию на VPC — проблем быть не должно. Если меняли их — это уже ваша ответственность :-P

redhorseadmin Guest	#12 20.07.2017 19:45:00 Можешь прислать скриншоты? У меня проблемы с настройкой Site-Site VPP.

gspvitsupport

Guest

#13

28.06.2017 21:02:00

Просто хотел добавить, что если настроить VPN как статическую маршрутизацию, как вы бы сделали для Cisco ASA, то всю конфигурацию можно полностью выполнить прямо в контроллере на USG/USG Pro. Я только что сделал это, и оказалось очень просто. Просто вставляешь общий ключ, указываешь удалённые подсети, остаётся всё по умолчанию, и создаёшь статические маршруты в UniFi. Всё сразу заработало, при условии, что у вас правильно настроено всё в AWS (таблицы маршрутизации, группы безопасности, сетевые ACL и так далее). Скоро, наверное, напишу подробный пошаговый пост в блоге об этом.

acreem

Guest

#14

06.04.2017 19:14:00

Ответа от контроллера пока нет, но я нашёл полезные вещи. Конфигурирую по образу Vyatta base. https://www.fir3net.com/Routers/Brocade/how-to-create-a-site-to-site-vpn-between-aws-and-a-vyatta-vrouter.html Сделал настройку постоянной на USG-Pro4 https://help.ubnt.com/hc/en-us/articles/205202590-UniFi-USG-Site-to-Site-VPN-between-USG-and-EdgeRouter

dimiters Guest	#15 08.03.2017 22:16:00 Есть ли какие-то новости по теме? Можно ли это как-то настроить через интерфейс контроллера?

Electrum Guest	#16 17.01.2017 09:55:00 Большое спасибо за отзыв. Я только что нашёл ещё этот пост, он тоже может помочь. С уважением, Dave.

42 Guest	#17 17.01.2017 09:42:00 С веб-интерфейса у вас это не получится настроить, но мне удалось запустить всё, используя этот блог-пост: https://medium.com/@silasthomas/aws-vpc-ipsec-site-to-site-vpn-using-a-ubiquiti-edgemax-edgerouter-with-bgp-routing-37abafb950f3#.lqfhgkgf6

Читают тему (гостей: 1)