USG VPN для нескольких площадок

USG VPN для нескольких площадок, UniFi Network

jasperb

Guest

11.11.2017 12:44:00

Здравствуйте, возможно ли настроить VPN-соединения с тремя сайтами? У меня всего четыре сайта: один с USG Pro и остальные с роутерами Fritzbox. Мне удаётся настроить VPN только с одним сайтом одновременно, но не со всеми тремя. Я не знаю, как добавить все три в файл config.gateway.json. Может, кто-то поможет?

Текущий файл config.gateway.json:

{
"vpn": {
"ipsec": {
"auto-firewall-nat-exclude": "enable",
"auto-update": "60",
"esp-group": {
"ESP-Fritzbox": {
"compression": "disable",
"lifetime": "3600",
"mode": "tunnel",
"pfs": "enable",
"proposal": {
"1": {
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"ike-group": {
"IKE-Fritzbox": {
"ikev2-reauth": "no",
"key-exchange": "ikev1",
"lifetime": "3600",
"proposal": {
"1": {
"dh-group": "2",
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"ipsec-interfaces": {
"interface": ["eth0"]
},
"nat-networks": {
"allowed-network": {
"0.0.0.0/0": "''"
}
},
"nat-traversal": "enable",
"site-to-site": {
"peer": {
"xxx": {
"authentication": {
"id": "vrm-usg",
"mode": "pre-shared-secret",
"pre-shared-secret": "20freKL0#sw@876ghv",
"remote-id": "adr-vpn.jasberg.nl"
},
"connection-type": "initiate",
"ike-group": "IKE-Fritzbox",
"ikev2-reauth": "inherit",
"local-address": "any",
"tunnel": {
"1": {
"allow-nat-networks": "disable",
"allow-public-networks": "disable",
"esp-group": "ESP-Fritzbox",
"local": {
"prefix": "192.168.210.0/24"
},
"remote": {
"prefix": "192.168.211.32/27"
}
}
}
}
}
}
}
}
}

Спасибо, Jasper.

jasperb Guest	#2 29.01.2018 17:39:00 Привет! У меня нет никаких правил файервола для VPN. Полезные команды для диагностики в командной строке: show vpn ipsec sa show vpn ipsec status show vpn debug show vpn log Надеюсь, это поможет.

3L6BZdxs8Mkt9

Guest

13.02.2018 20:46:00

Привет, jasperb, большое спасибо за всю твою помощь и советы. Но, к сожалению, я должен сказать — сегодня я сдался. Обычно я умею доводить дела до конца, но в этом редком случае просто опускаю руки. Не понимаю, что делаю не так. Я пытался строго следовать твоим настройкам, пробовал все рекомендации с форума, которые казались полезными, но ни одного VPN-соединения так и не удалось установить. Логи особо не помогали, особенно с стороны Fritz!Box.

Возможно, попробую ещё раз позже в этом году, когда выйдут новые прошивки для моего Fritz!Box (KabelDeutschland/Vodafone, «брендированная» коробка от кабельной компании). Пока что настроил большинство важных сервисов на отдельных устройствах в разных локациях. Не идеально, но лучше, чем ничего.

Спасибо ещё раз за твоё время и помощь,
lx

jasperb

Guest

29.01.2018 14:28:00

1. fritzbox: "name", usg: "id"
Они должны совпадать? Или могут быть разными? Думаю, это не принципиально. В Fritzbox VPN обзор показывается "Name" из Fritzbox, а "ID" из USG нигде не отображается.

2. usg: "id"
Это должно быть именно имя (псевдоним) USG? Или может быть что угодно? У меня совпадает с именем моего USG.

3. Определения подсетей
Как я выяснил, Fritzbox и USG используют разные "определения" подсетей. В вашей конфигурации Fritzbox и USG подсети заканчиваются на ".0/24" или ".1/24"? У меня в Fritzbox выдавало ошибки при использовании ".1/24", а USG ругался на ".0/24".
.0/24 — это подсеть, а .1/24 должен быть .1/32 и означает хост, но в USG нотация .1/24 используется для обозначения шлюза по умолчанию.

4. Правила брандмауэра
Вы настраивали какие-то правила брандмауэра в USG? Я не делал — и, наверное, именно это главная проблема. Пробовал, но безуспешно. Но брандмауэр отвечает только за пакеты, которые должны пройти через USG, верно? А не за те, что заканчиваются на самом USG (по крайней мере, я так понимаю).
Проверю сегодня вечером, не помню точно.

Самое раздражающее — Fritzbox всегда выдает ошибку "Timeout". Больше ничего. Я пробовал с правильным IP-адресом, пробовал с FQDN (это CNAME-запись, которая правильно резолвится в DynDNS-адрес).
Удалённый хостнейм в Fritzbox у меня не заработал, поэтому я использую IP-адрес:
remoteip = IP-адрес USG;
remote_virtualip = 0.0.0.0;

Есть несколько VPN-команд CLI для проверки, я их наизусть не знаю, посмотрю потом.

Я полностью запутался. Перепробовал всё, иногда даже приходилось ехать на "удалённый" Fritzbox, чтобы перезагрузить и сбросить его, когда интернета не было. Оставлять так нельзя — нужно было работать на следующий день.

Мне тоже это заняло немало времени. Пока настраивал, включил управление с интернета на удалённых Fritzbox — это сильно сэкономило поездки на удалённый объект.

Cheers!

3L6BZdxs8Mkt9

Guest

25.01.2018 21:12:00

Привет, Jasper, большое спасибо за твой (очень быстрый) ответ. К сожалению, мне не удалось установить соединение между USG и (даже одним) Fritzbox. После целой недели ковыряний по вечерам я выкладываю свои настройки и вопросы — может, кто-то сможет помочь.

Вот мои настройки:

Fritzbox-config:
vpn.cfg
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "subdomain-usg.domain.com";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0; // remotehostname тогда не указывать
remote_virtualip = 0.0.0.0;
remotehostname = "subdomain-usg.domain.com"; // Hostname вашего USG
keepalive_ip = 0.0.0.0;
localid {fqdn = "subdomain-fritzbox.domain.com"; // Hostname вашего FritzBox}
remoteid {fqdn = "subdomain-usg.domain.com"; // Hostname вашего USG; иначе: ipaddr без кавычек (?!?)}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET-Pre-Shared-Key"; // Супер защищённый pre-shared-key, в открытом виде!
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {ipnet {ipaddr = 192.168.4.0; // Локальная подсеть вашего FritzBox
mask = 255.255.255.0;}}
phase2remoteid {ipnet {ipaddr = 10.1.90.0; // Локальная подсеть вашей сети USG LAN
mask = 255.255.255.0;}}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.1.90.0 255.255.255.0"; // Локальная подсеть вашей USG LAN, например: "permit ip any 192.168.0.0 255.255.255.0"
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500","udp 0.0.0.0:4500 0.0.0.0:4500";
}

USG-Config:
config.gateway.json
{
"vpn": {
"ipsec": {
"auto-firewall-nat-exclude": "enable",
"auto-update": "60",
"esp-group": {
"ESP-Fritzbox": {
"compression": "disable",
"lifetime": "3600",
"mode": "tunnel",
"pfs": "enable",
"proposal": {
"1": {
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"ike-group": {
"IKE-Fritzbox": {
"ikev2-reauth": "no",
"key-exchange": "ikev1",
"lifetime": "3600",
"proposal": {
"1": {
"dh-group": "2",
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"ipsec-interfaces": {"interface": ["eth0"]},
"nat-networks": {"allowed-network": {"0.0.0.0/0": "''"}},
"nat-traversal": "enable",
"site-to-site": {
"peer": {
"subdomain-fritzbox.domain.com": {
"authentication": {
"id": "usg",
"mode": "pre-shared-secret",
"pre-shared-secret": "SECRET-Pre-Shared-Key",
"remote-id": "subdomain-fritzbox.domain.com"
},
"connection-type": "initiate",
"ike-group": "IKE-Fritzbox",
"ikev2-reauth": "inherit",
"local-address": "any",
"tunnel": {
"1": {
"allow-nat-networks": "disable",
"allow-public-networks": "disable",
"esp-group": "ESP-Fritzbox",
"local": {"prefix": "10.1.90.0/24"},
"remote": {"prefix": "192.168.4.0/24"}
}
}
}
}
}}
}

К сожалению, этот набор не работает. Я пробовал разные варианты, которые прикреплю ниже, так как именно по ним у меня вопросы, которые, как надеюсь, приведут к успеху. Все вопросы основаны на твоей «реальной» и рабочей конфигурации:

1. Fritzbox — «name», USG — «id».
Они должны совпадать или могут быть разными?

2. USG — «id».
Это должен быть именно имя (алиас) USG? Или можно что-то другое?

3. Определения подсетей.
Как я понял, Fritzbox и USG используют разные «определения» подсетей. В твоих конфигурациях для Fritzbox и USG подсети в конце заканчиваются на «.0/24» или «.1/24»? У меня Fritzbox выдает ошибку, если я использую «.1/24», а USG ругается на «.0/24».

4. Правила фаервола.
Ты делал какие-то правила фаервола на USG? Я нет, и, возможно, в этом основная проблема. Пробовал, но безуспешно. Но ведь фаервол отвечает только за пакеты, которые должны пройти через USG, верно? А пакеты, направленные непосредственно к USG, не должны блокироваться (по моему пониманию).

Самое раздражающее — что Fritzbox всегда выдает ошибку «Timeout». Больше ничего. Я пробовал и с правильным IP-адресом, и с FQDN (который является CNAME-записью и корректно резолвится в DynDNS-адрес).

Я совершенно запутался. Перепробовал кучу всего, иногда даже приезжал к удалённому Fritzbox, чтобы перезагрузить и сбросить его, потому что интернет просто пропадал. Оставить всё как есть нельзя, надо было работать на следующий день.

Огромное спасибо за любую помощь,
lx

P.S. Твой PDF странно отформатирован. При копировании и вставке строки в скрипте перемешались. Я всё равно перепроверял, просто хотел предупредить других пользователей, которые воспользуются твоими конфигурациями.

jasperb

Guest

18.01.2018 18:37:00

Привет! Посмотри, пожалуйста, вложенный файл — именно его я использовал. Конфигурацию Fritzbox нужно сохранить под именем name.cfg и импортировать в раздел VPN у Fritzbox. Все выделенные тексты замени под свою конфигурацию. Надеюсь, это поможет. Удачи! Джаспер

3L6BZdxs8Mkt9 Guest	#7 18.01.2018 11:43:00 Привет, jasperb! Поскольку у меня более простая проблема — нужно подключить мой USG к одному Fritzbox через VPN, не мог бы ты любезно поделиться а) своей конфигурацией на Fritzbox(ах) и б) файлом config.gateway.json, который работает сразу с тремя Fritzbox? Очень, ну просто очень хочется настроить сайт-то-сайт VPN с двумя Fritzbox. Большое спасибо заранее, lx

Читают тему (гостей: 1)