Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
OpenVPN между офисами, UniFi Network
 
#1
10.10.2017 07:28:00
Привет, ubiquitans! У меня вопрос по поводу site-to-site VPN-туннеля, который я пытаюсь настроить на двух USG. Уже неделю с этим возюсь, и никак не получается заставить его работать. Надеюсь, кто-то здесь сможет направить меня в правильное русло 😀  

— Моя цель —  
Хочу использовать OpenVPN для создания site-to-site туннеля, чтобы иметь доступ к удалённой подсети с каждой из локаций.  

— Ситуация —  
Unifi контроллер — cloud key, управляет обеими площадками и находится на SITE B.  

— SITE A —  
USG за NAT-ом модема/роутера  
Публичный IP = 192.168.1.100 (vpn1.[mydomain].eu указывает на модем. Переадресация портов не настроена)
Локальная подсеть = 10.10.1.0/24  
Локальный IP = 10.10.1.1  

— SITE B —  
USG подключён напрямую через модем  
Публичный IP = vpn2.[mydomain].eu
Локальная подсеть = 10.10.2.0/24  
Локальный IP = 10.10.2.1  

— Текущая настройка —  
SITE A USG  
SITE B USG  

— Проблема и вопросы —  
Мой туннель не поднимается. Нужно ли, чтобы обе стороны были без NAT? Или необходимо настроить переадресацию порта 1321? Обычно я работаю с OpenVPN в режиме сервер-клиент, и при этом NAT или публичный IP нужен только на стороне сервера.  

Remote и Local address — это виртуальные адреса VPN-туннеля? Или это IP USG в их реальных локальных сетях? (У меня в случае SITE_A — 10.10.1.1 и SITE_B — 10.10.2.1)  

Надеюсь, вы сможете помочь. Меня пока радует управляемость этого решения, но никак не могу заставить туннель работать.  

С уважением,  
Jordy
 
 
 
#2
11.03.2019 12:35:00
Павло, ты справился с этим? У меня такая же ситуация, и ничего не работает. Пинг не проходит.
 
 
 
#3
13.03.2018 15:25:00
Привет! У меня похожая конфигурация, но у меня просто никак не получается заставить это работать.

Контроллер: Cloud Key на площадке A, управляющий всеми устройствами на обеих площадках.

Площадка A: USG за NAT-модемом/роутером  
- WAN IP роутера — фиксированный IP, доступен по [hostname1].ddns.net
- Локальный IP роутера — 192.168.0.1  
- WAN IP USG — 192.168.0.2 (статический, все порты проброшены с роутера на USG)  
- Локальный IP USG — 192.168.1.1  
- Локальная подсеть USG — 192.168.1.0/24

Площадка B: USG за NAT-модемом/роутером  
- WAN IP роутера — динамический IP, доступен по [hostname2].ddns.net
- Локальный IP роутера — 192.168.0.1  
- WAN IP USG — 192.168.0.2 (статический, все порты проброшены с роутера на USG)  
- Локальный IP USG — 192.168.11.1  
- Локальная подсеть USG — 192.168.11.0/24

Модемы и роутеры менять не могу, и настроить их в режим моста или passthrough тоже не могу.

Настройка похожа на ту, что у techroo. На обоих USG в фаерволе открыл порт WAN Local 1321 для UDP и TCP. Но с таким настроем, когда пытаюсь пинговать unifi-устройства с удаленной площадки — ответа нет.

Есть идеи, как это можно заставить работать?

Спасибо, Паоло
 
 
 
#4
08.02.2018 08:03:00
Привет, ребята! Удалось ли вам настроить туннель OpenVPN? В моём случае связь между двумя пирами работает, но через совершенно случайный промежуток времени (3 часа, 6 часов, 1 день или 2,5 дня) соединение обрывается без видимой причины. Я выяснил, что на одном конце интерфейс просто исчезает из VTUN... Вчера я писал и публиковал это, ищу помощь. С уважением.
 
 
 
#5
15.01.2018 22:11:00
У меня настроен OpenVPN с pfSense сервером, пришлось немного повозиться, но, похоже, USG сейчас по умолчанию использует BF-CBC как шифр. В принципе, его можно поменять через CLI, но я этого не пробовал. Я сменил шифр на стороне сервера, и подключение сразу заработало.
 
 
 
#6
22.12.2017 02:37:00
Хм, интересно, что я упускаю. Не мог бы ты выложить скриншоты конфигурации каждого сайта? И ещё, приходилось ли настраивать маршруты вручную?
 
 
 
#7
21.12.2017 23:49:00
Я настроил это с помощью ipsec через графический интерфейс всего за минуту. Один USG за NAT. Так что у вас должно тоже получиться.
 
 
 
#8
21.12.2017 03:08:00
После целого дня попыток настроить site-to-site между двумя USG с надёжным DDNS-сервисом и OpenVPN или ручным IPSEC, я уже почти сдаюсь с этими USG и просто перейду на PFSense.
 
 
 
Страницы: 1
Читают тему (гостей: 1)