Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
USG в Azure через динамический VPN — нет трафика на версии 5.0.6, UniFi Network
 
#1
04.06.2016 16:49:00
Я выложил это в бета-форуме по беспроводным сетям (так как отдельного бета-форума для RS нет), но проблема сохраняется и в релизе 5.0.6, поэтому решил попробовать здесь. У меня на USG запущены бета 5.0.2 и релиз 5.0.6. Я пытался использовать изменения в интерфейсе для создания шлюза, который отображается как подключённый и в Azure, и на USG, но трафик через него не идёт. Вот конфигурация:

auto-firewall-nat-exclude enable  
esp-group ESP_GATEWAY {  
 compression disable  
 lifetime 3600  
 mode tunnel  
 pfs enable  
 proposal 1 {  
   encryption aes256  
   hash sha1  
 }  
}  

ike-group IKE_GATEWAY {  
 key-exchange ikev2  
 lifetime 28800  
 proposal 1 {  
   dh-group 2  
   encryption aes256  
   hash sha1  
 }  
}  

ipsec-interfaces {  
 interface eth0  
}  

nat-networks {  
 allowed-network 0.0.0.0/0 { }  
}  

nat-traversal enable  

site-to-site {  
 peer <GATEWAY IP> {  
   authentication {  
     mode pre-shared-secret  
     pre-shared-secret LOL  
   }  
   connection-type initiate  
   ike-group IKE_GATEWAY  
   local-address <LOCAL IP>  
   vti {  
     bind vti64  
     esp-group ESP_GATEWAY  
   }  
 }  
}  

Я не добавлял никаких правил NAT или ACL для фаервола (пробовал и с ними, и без них, но результата нет, поэтому откатился обратно). Но мне интересно, что значит auto-firewall-nat-exclude enable — не исключает ли это необходимость добавлять ACL и NAT?

Если посмотреть show vpn debug, туннель есть, но там указано 0.0.0.0/0 === 0.0.0.0/0. Нужно ли мне вручную добавлять маршрут?

peer-peer_ip-tunnel-vti: local_ip...peer_ip  
peer-peer_ip-tunnel-vti: local: [local_ip] использует аутентификацию по предустановленному ключу
peer-peer_ip-tunnel-vti: remote: [peer_ip] использует любую аутентификацию
peer-peer_ip-tunnel-vti: child: 0.0.0.0/0 === 0.0.0.0/0  

Маршрутизируемые соединения:  
peer-peer_ip-tunnel-vti{1}: ROUTED, TUNNEL  
peer-peer_ip-tunnel-vti{1}: 0.0.0.0/0 === 0.0.0.0/0  

Ассоциации безопасности:  
peer-peer_ip-tunnel-vti[9]: УСТАНОВЛЕНО 25 минут назад, local_ip[local_ip]...peer_ip[peer_ip]
peer-peer_ip-tunnel-vti[9]: IKE SPIs: ...SNIP..., повторная аутентификация предустановленного ключа через 7 часов
peer-peer_ip-tunnel-vti[9]: IKE предложение: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
peer-peer_ip-tunnel-vti{7}: УСТАНОВЛЕНО, TUNNEL, ESP SPIs: ...SNIP...  
peer-peer_ip-tunnel-vti{7}: AES_CBC_256/HMAC_SHA1_96, 0 байт входящих, 22139 байт исходящих (7 секунд назад), обновление ключей через 25 минут  
peer-peer_ip-tunnel-vti{7}: 0.0.0.0/0 === 0.0.0.0/0  

И маршруты:

Коды: K - маршрут ядра, C - подключённый, S - статический, R - RIP, O - OSPF, I - ISIS, B - BGP, > - выбранный маршрут, * - маршрут FIB  
S>* 0.0.0.0/0 [210/0] via 75.x.x.x, eth0
C>* 10.10.10.0/24 напрямую подключён, eth1  
S>* 10.10.20.0/23 [30/0] напрямую подключён, vti64
C>* 75.x.x.x/19 напрямую подключён, eth0  
C>* 127.0.0.0/8 напрямую подключён, lo
 
 
 
#2
16.10.2017 20:25:00
Следуя рекомендации jjstreic, я переключился на Azure Dynamic Routing с включённой функцией Dynamic Routing. Теперь я вижу маршрут для соединения vti64. При мониторинге соединений вижу, что трафик приходит на USG из Azure и уходит через соединение vti64. Но он не идёт через соединение pppoe (через которое работает VPN) и не доходит до Azure.
 
 
 
#3
13.10.2017 06:33:00
Если ничего не показывается, значит, возникла проблема — маршруты для VPN установлены в этой конкретной таблице.
 
 
 
#4
13.10.2017 01:16:00
У нас стоит версия 5.5.20 контроллера и 4.3.60 USG.
 
 
 
#5
13.10.2017 01:08:00
Спасибо, dulemis, но я не совсем понимаю, что должны показывать эти команды. «sudo ip route show table 220» ничего не выводит. «sudo ping -I eth1 Axure-IP» тоже ни к чему не приводит, по-прежнему нет никаких признаков, что пакеты доходят до Azure. Когда я запускаю «show ip route», вижу маршруты для шлюза по умолчанию, WAN-подключения, loopback и LAN, но ничего для VPN. Dulemis, а когда ты запускаешь «show ip route», видишь маршрут для своего VPN?
 
 
 
#6
12.10.2017 21:04:00
Какую версию mgmt software ты используешь? Я обновился до 5.5.19, и VPN запускается сразу после настройки через GUI. В версии 5.0.6 такого не было.
 
 
 
#7
12.10.2017 06:16:00
Привет! Попробуй команду sudo ip route show table 220, чтобы посмотреть маршруты. Также попробуй sudo ping -I eth1 Axure-IP.
 
 
 
#8
12.10.2017 04:13:00
Я тоже застрял с запуском Azure VPN. Как и у других, соединение устанавливается, но трафик от USG до Azure не идёт. Я вижу, что трафик уходит из Azure и доходит до USG, но обратно — нет. Предпочтительная настройка, похоже, с отключённой динамической маршрутизацией, так что я именно это и пробую. Думаю, проблема в маршрутизации на USG. Когда делаю traceroute с USB на внутренний IP Azure, запрос идёт через WAN, а не через VPN. Кто-нибудь, у кого это работает, подскажите, появляется ли маршрут VPN при выполнении команды «show ip route»? У меня VPN-маршрута нет, и я подозреваю, что в этом причина. В VPN-логе ещё ошибка: «unable to install source route for [Internal USG IP]».
 
 
 
#9
14.05.2017 21:55:00
Просто, без BGP.
 
 
 
#10
02.05.2017 14:35:00
У вас есть базовая или стандартная версия SKU?
 
 
 
#11
25.04.2017 19:23:00
Я только что обновил прошивку роутера (4.3.41.4975503) и программное обеспечение контроллера (5.4.14), и теперь графический интерфейс может (и действительно) устанавливать рабочее VPN-соединение с динамическим шлюзом Azure! VPN-соединение использует VTI вместо туннеля.
 
 
 
#12
14.02.2017 14:41:00
Динамическая маршрутизация VPN в Azure — это «непоколебимо надёжно», когда подключена к проверенным VPN-устройствам. https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices#devicetable Я работал со многими клиентами, которые используют Azure VPN в продакшене с более чем 99,9% времени безотказной работы. BGP нужен, когда к одной и той же облачной сети подключаются несколько VPN, так что для одного VPN он не нужен.

Чего, как мне кажется, ещё не было — так это когда кто-то, кто действительно понимает, как работает сеть USG и VPN-стек, на самом деле создаст и проверит конфигурацию для подключения Azure VPN. Когда я спросил поддержку Ubiquiti, как это запустить, мне ответили, что поддержки для таких запросов/потребностей нет.

Есть ли кто-то в сообществе или среди партнёров, кто действительно знает, как работает сетевой стек USG на таком глубоком уровне?
 
 
 
#13
14.02.2017 14:26:00
Итак, я сам этого пока не делал, но задаюсь вопросом, почему динамическая маршрутизация не работает с Azure. Думаю, это может быть потому, что BGP по умолчанию на Azure VPN не включён. Однако его можно включить: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-bgp-resource-manager-ps

Планирую протестировать это на этой неделе, но если кто-то хочет попробовать и поделиться результатами, мне было бы интересно узнать, что у вас получится.

Наверное, стоит упомянуть, что после долгих попыток мне удалось заставить работать нашу связь с AWS через динамическую маршрутизацию. Это получилось через ручную настройку файла gateway.config.json. Система работает очень стабильно, что сильно контрастирует с подключением к Azure, которое можно описать как, в лучшем случае, нестабильное.

Я искал однозначное руководство по настройке Vyatta для Azure, но пока ничего такого не нашёл.
 
 
 
#14
14.02.2017 13:03:00
Хорошее замечание. PFS работает только когда Azure Gateway выступает в роли ответчика. Отключение PFS повышает надежность. Но чтобы было понятно: S2S тоже работает с PFS, просто установление соединения занимает чуть больше времени (пару минут) и прерывается чаще.
 
 
 
#15
09.02.2017 00:36:00
Обратил внимание, что у вас включена функция Perfect Forward Secrecy (PFS). Это недопустимо для Microsoft, как можно увидеть в настройках IPSEC - https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices
 
 
 
#16
14.12.2016 02:34:00
Итак, я искал решение проблемы в интернете и наткнулся на причину, почему не стоит ставить галочку на параметре Dynamic Route. Если выбрать базовый виртуальный сетевой шлюз, он не поддерживает BGP. Поддерживается ли BGP на всех версиях Azure VPN Gateway? Нет, BGP поддерживается только на Azure Standard и HighPerformance VPN шлюзах. Basic SKU не поддерживается.
 
 
 
#17
13.12.2016 18:45:00
Когда я делаю tracert, вижу трафик на стороне Azure по маршруту к Security gateway, но дальше — ничего. Локально трафик доходит до USG, но дальше не идёт. Специальных маршрутов не настроено. Я сделал базовую настройку на стороне Azure:  
* Resource Group  
* Storage account  
* Virtual Network  
 ** добавил gateway subnet  
* VM  
* virtual network gateway  
* удалил NSG  

Ниже данные из Azure:  
Resource group <RGName>  
Data in 6.74 KiB  
Status Connected  
Data out 3.34 KiB  

USG показывает исходящий трафик, но входящего нет.  

Tunnel State Bytes Out/In Encrypt Hash NAT-T A-Time L-Time Proto  
------ ----- ------------- ------- ---- ----- ------ ------ -----  
0 up 5.4K/0.0 aes256 sha1_96 no 1560 3600 all  

Я пробовал все предложенные в этой ветке решения, включая многократные перезагрузки, но пока безуспешно.
 
 
 
#18
13.12.2016 17:18:00
У меня это тоже работает с графическим интерфейсом. Похоже, что перезагрузка — единственный способ, чтобы Azure полностью отключился и заново установил соединение. Моя изначальная проблема была противоположной вашей — мой трафик уходил из Azure, но блокировался USG. Также LAN-трафик в моей сети не маршрутизировался в Azure. Вы настраивали какие-нибудь статические маршруты в Azure, которые могли бы мешать трафику идти через ваш USG? Мне кажется, это скорее проблема вашей конфигурации Azure, иначе вы бы увидели исходящий трафик Azure “Out”, независимо от того, что USG делает с трафиком после того, как он попадает в вашу LAN.
 
 
 
#19
13.12.2016 16:54:00
Могу подтвердить, что графический интерфейс работает, просто важно сначала выбрать профиль Azure Dynamic, снять галочку с динамической маршрутизации, затем снова переключить на Custom profile и в конце сохранить. Иногда может понадобиться перезагрузка.
 
 
 
#20
13.12.2016 16:33:00
Мне так и не удалось заставить работать VPN, настроенный через GUI. Пожалуйста, попробуйте конфигурацию CLI, указанную выше — она _действительно_ работает с VPN Azure «на основе маршрута».
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)