USG VPN: вопросы по настройке

USG VPN: вопросы по настройке, UniFi Network

aka_ptt

Guest

02.03.2017 02:45:00

Мне нужен простой VPN для удалённого входа в админскую LAN (то есть в стандартную LAN с VLAN 1). Нужно, чтобы я мог управлять не-Unifi устройствами. В моём предыдущем роутере я мог просто настроить VPN без необходимости возиться с radius-сервером (а это настоящая головная боль, если нужен доступ всего для одного пользователя). Ручное редактирование linux-файлов для совершенно незнакомого «freeradius» сервера на cloud key — тоже не подарок, учитывая, что требования-то минимальные. В общем, заметил ещё одну проблему. Мой старый VPN позволял выбрать произвольный диапазон IP-адресов внутри любого VLAN, лишь бы он не пересекался с DHCP-диапазоном этого VLAN. А вот USG, похоже, требует абсолютно отдельный диапазон адресов, который не пересекается ни с какими уже существующими IP. Как же тогда получить доступ к моим локальным сетям? Нужно ли прописывать статический маршрут? Или как это сделать? Чтобы конкретнее: стандартная сеть с VLAN = 1 имеет адрес 192.168.4.1/24. Именно к этой VLAN я хочу подключаться и получать IP из этого же диапазона. Ещё, может, кто-то уже пробовал использовать freeradius-сервер на cloud key и может подсказать, что нужно сделать минимум, чтобы freeradius всегда запускался как демон и какую минимальную конфигурацию прописать, чтобы один пользователь мог залогиниться через VPN?

systembind

Guest

04.09.2017 18:27:00

Привет, MJames_201, ты абсолютно прав насчёт подсетей. Я не осознавал, что даже если весь трафик идёт через VPN, трафик к локальной сети всё равно будет иметь приоритет над трафиком к удалённой сети, если они в одной подсети. Конечно, это полностью логично, но у меня, честно говоря, мало опыта работы с VPN, и я думал, что VPN-соединение само умно направит трафик как нужно. Хотя статический маршрут мне не потребовался. Спасибо за помощь!

MJames_201

Guest

04.09.2017 14:41:00

Мне удалось запустить VPN после нескольких попыток и ошибок. Изначально у меня была версия 5.4.16, и я настроил VPN под эту версию. Когда вышла версия 5.5.20, я обновил контроллер и прошивку всех устройств. Но VPN никак не заработал, сколько я ни пытался. Поэтому я удалил всё и начал настройку с нуля. С нуля у меня получилось запустить L2TP VPN.

Поскольку для VPN нужен подсеть, отличная от LAN, я создал маршрут в контроллере. Создал новый статический маршрут, указал свою подсеть VPN в поле «Network» — у меня это 192.168.30.0/24. В поле «Distance» поставил 1, выбрал тип статического маршрута «Interface» и интерфейс «LAN». Сохранил изменения.

Клиентом у меня Macbook. В системных настройках... «Сеть» добавил новое VPN-соединение. Выбрал опцию «Отправлять весь трафик через VPN» — и туннель успешно установился, теперь у меня есть маршрут к корпоративной сети. Готово! После подключения whatismyip.com показывает внешний IP моего корпоративного файрвола.

Теперь два момента. Моя корпоративная LAN — в другой подсети, чем домашняя. Если у вас локальная подсеть 192.168.1.0/24 и удалённая такая же, роутер будет путаться с маршрутами, и появятся дублирующиеся IP-адреса. Лучше изменить одну из подсетей, чтобы они не пересекались.

Второе — если вы решили НЕ отправлять весь трафик через VPN, то на клиенте придётся создать маршрут вручную. В терминале macbook я сделал так: `sudo route -n add -net 192.168.74.0/24 192.168.70.1`, где 192.168.70.1 — шлюз, который я настроил для VPN-туннеля в контроллере, а 192.168.74.0/24 — моя корпоративная LAN.

systembind

Guest

04.09.2017 01:25:00

Привет, это вообще было решено? У меня такая же проблема.

Новый развёртывание у клиента, первая сеть Ubiquiti UniFi, которую мы настраиваем (раньше использовали некоторые компоненты в разных комбинациях).
Bell Canada FTTP с DSL-модемом в роли роутера/шлюза, настроен виртуальный мост.
USG-Pro-4 (подключение к интернет-провайдеру через PPPoE).
Контроллер Cloud Key.
Главный коммутатор US-24-500W.
Вторичный коммутатор — HP 24 Port Managed.
Точка доступа UniFi UAP-AC-LR для Wi-Fi.

VPN настроил по этим инструкциям:
https://help.ubnt.com/hc/en-us/articles/115004589707
https://help.ubnt.com/hc/en-us/articles/115005445768

Удалённо могу подключиться с моего ноутбука на Windows 10 из дома, пришлось немного покопаться, но настроил VPN-параметры Windows 10.
При подключении проверяю, что веб-трафик идёт через VPN — www.whatismyip.com показывает WAN IP, который выделил Bell (телеком), а не WAN IP моего домашнего интернета от Rogers (кабельная компания, не телеком).

Однако, когда пытаюсь зайти на один из IP-телефонов Aastra/Mitel для настройки, доступа нет. Также не могу зайти по IP на Cloud Key (хотя через облако UniFi доступ есть).

Сеть клиента настроена так:
Основная LAN (VLAN ID не задан, вероятно VLAN1) 192.168.1.0/24
Гостевой WiFi VLAN2 192.168.2.0/24
VPN для удалённых пользователей (должна быть VLAN3) 192.168.3.0/29

Моя домашняя LAN 192.168.1.0/24.

Может ли быть конфликт из-за одинакового диапазона IP в домашней сети? Только сейчас заметил, что могу зайти в USG по 192.168.2.1.

Есть ли способ настроить на Windows 10 так, чтобы ВЕСЬ трафик, включая адреса 192.168.1.0, маршрутизировался через VPN?

Фирменное ПО на всех UniFi-устройствах обновлено на прошлой неделе до последних версий.

aka_ptt

Guest

02.09.2017 01:29:00

Привет! Я оставил это дело без внимания довольно долго, пока не вышел 5.5.20. Используя его и встроенный USG radius сервер, мне удалось создать VPN к роутеру и через него выйти в интернет. Но Я НЕ МОГУ получить доступ к сети управления 192.168.4.0/24. Это VLAN 1, а VLAN 1 недоступен для сервисного пользователя. Я оставил поле VLAN пустым — не сработало. Возможно, нужно добавить маршрут, но я не могу найти достаточной документации (смотри мой более свежий пост про VPN-маршрутизацию в корпоративную сеть), чтобы понять, как работает страница конфигурации маршрутов/фаервола. Если у тебя есть опыт настройки такого рода маршрутизации — дай знать. Пока что, раз VPN уже работает, а маршрутизация — нет, помечаю этот пост как ещё не решённый.

MJames_201

Guest

31.08.2017 20:44:00

Это так заманчиво! У меня JumpCloud RADIUS работает с Wi-Fi WPA EAP, но сколько ни бьюсь, не могу заставить его работать с VPN. Я пытался настроить VPN с L2TP, указал общий ключ и всё такое. Нужно ли создавать локальных пользователей на контроллере? У меня RADIUS настроен на использование учетных данных G Suite через консоль JumpCloud.

MJames_201 Guest	#7 15.08.2017 16:02:00 Я сейчас в той же ситуации. У меня есть jumpcloud radius с Wi-Fi EAP, но VPN так и не запустился. А у тебя получилось его настроить?

duncanunderwood Guest	#8 17.03.2017 10:49:00 Ага, классно. Я настроил jumpcloud для работы с корпоративной безопасностью для Wi-Fi точек доступа и входа на рабочий стол, но с VPN пока не получается. Хм.

aka_ptt

Guest

16.03.2017 17:13:00

Привет! Насколько я понимаю, VPN, который сейчас поддерживается USG, не поддерживается ни Mac OS X, ни iOS. Поэтому я отказался от использования Jumpcloud ещё до того, как начал его настраивать, ведь все потенциальные пользователи VPN — именно на Mac и iOS. У меня нет ни одного Windows-компьютера, только маки, айфоны, айпады и куча Raspberry Pi. Так что пока подожду, пока версия 5.5.x станет стабильной — она, как обещают, будет поддерживать и L2TP, и встроенный RADIUS-сервер. Надеюсь, ждать не придётся слишком долго.

duncanunderwood Guest	#10 16.03.2017 15:59:00 Привет! Можешь объяснить, как настроить USG и JumpCloud, чтобы VPN работал? И как подключиться с iOS. Нужно ли мне устанавливать VPN-клиент для Windows и Mac? Спасибо, Dunk.

Читают тему (гостей: 1)