Конфигурирование VPN-соединения между локальными сетями с помощью USG.

Специалист

Общие сведения:

VPN (Virtual Private Network) является очень полезным инструментом, который позволяет связать между собой удаленные локальные сети, образовывая поверх интернета «туннели». Поддерживается данная технология и фирменными маршрутизаторами Unifi Security Gateway, которые дают возможность довольно легко настроить данный тип соединения. Именно об этом и пойдет речь в нашей сегодняшней заметке.

Конфигурирование VPN соединения выполняется в панели UniFi: Settings>Networks>Create New Network>Site to Site VP. Здесь доступно несколько режимов, каждый из которых имеет свои отличия.

Смотрите также:

Скачать контроллер UniFi (.EXE)	Скачать прошивку (v2.3.9) UniFi (.DMG)
Настройка UniFi	Купить UniFi

Особенности различных режимов:

• Auto IPsec VTI создает VPN соединение с другим USG, который используется в другом профиле (site) одного и той же копии UniFi Controller. Ручной режим IPsec создает туннель VPN-соединения «один-на-один» с внешним USG, EdgeRouter или другим устройством, которое поддерживает IPsec.
• Режим OpenVPN похож на ручной режим IPsec: он аналогично создает туннель к внешнему управляемому устройству, но использует OpenVPN вместо IPsec.
• Использовать IPsec рекомендуется по соображениям производительности: OpenVPN не может быть аппаратно ускорен и способен работать только на одном потоке процессора.

Auto IPsec VTI* Данный тип VPN не будет работать, если один или оба USG находятся за NAT-маршрутизатором. Иными словами, для создания подобного соединения необходимо, чтобы оба USG имели «белый» IP адрес (не RFC1918). В UniFi конфигурация Auto IPsec VTI позволяет администратору создавать VPN между двумя UniFi Security Gateway, которыми управляет один и тот же контроллер. Создание VPN-соединения в панели управления UniFi автоматически приводит к следующему:

-Устанавливается одноранговый IP-адрес для каждой из сторон туннеля в соответствии с адресом интерфейса WAN.

-Удаленная сеть добавляется в каждый профиль.

-Каждый USG получает VTI-интерфейс для использования в VPN. Интерфейсы Auto VPN VTI начинаются с vti0 и, при добавлении дополнительных Auto VPN, нумерация продолжается следующим образом: vti1, vti2 и т. д.

-Изменения IP-адресов на WAN динамически отслеживаются.

-Между двумя USG создается устойчивый к взлому случайно генерируемый ключ.

ПРИМЕЧАНИЕ. В UniFi Controller версии 5.7.20 и выше поддерживаются только топология «звезда». Mesh топология на данный момент не поддерживается.

Ручной режим IPsec. – Здесь доступны следующие опции:

Enabled: позволяет администратору включать или отключать туннель VPN без удаления настроек.

Remote Subnets: этот раздел должен быть заполнен сетями на удаленной стороне VPN. /32 не является допустимой маской подсети на данный момент (UniFi Controller версии 5.7.20).

Peer IP: публичный IP-адрес удаленного шлюза. Это может быть и публичный IP-адрес шлюза перед USG, если он пробрасывает порты UDP 500 и 4500.

Local WAN IP: общедоступный IP-адрес USG, прописанный в том же профиле, что и VPN. Если USG находится за NAT, введите адрес прописанный на интерфейсе WAN. Чтобы найти IP адрес интерфейса WAN выполните: Devices>USG Properties Panel>Details>WAN 1 .

Pre-shared Key: генерирует общий ключ для каждой конечной точки VPN.

Профили IPsec:

Customized: Использует параметры, определенные администратором.

Azure Dynamic Routing: использует параметры для подключения к экземпляру Microsoft Azure с использованием VTI.

Azure Static Routing: использует параметры для подключения к экземпляру Microsoft Azure, используя правила IPsec без VTI.

Ручной режим IPsec: дополнительные параметры

ВНИМАНИЕ: эти настройки предназначены для опытных пользователей. Они используются в фазе 1 и фазе 2 процесса IPsec.

Key Exchange Version: выберите IKEv1 или IKEv2.

Encryption: выберите шифрование AES-128, AES-256 или 3DES.

Hash: выберите SHA1 или MD5

DH (Diffie-Hellman) Group: Доступные группы DH 2, 5, 14, 15, 16, 19, 20, 21, 25, 26.

PFS (Perfect Forward Secrecy): включена или выключена. Когда включена PFS, фаза 2 DH groups жестко кодируется в группу 1 и должна соответствовать настройке удаленного шлюза.

Dynamic Routing: включает или отключает использование VTI. Это указывает на то, что конфигурация VPN либо основана на правилах (отключено), либо на маршрутизации (включено). (Примечание: при ручном режиме интерфейсы VPN VTI начинаются с vti64 и, при добавлении дополнительных виртуальных VPN, далее идут по возрастаню:vti65, vti66 и т.д.)

ПРИМЕЧАНИЕ. Использование более сложных алгоритмов позволяет добиться большего уровня безопасности, но при этом ЦП также испытывает большую нагрузку. Например, AES-256 будет использовать больше ресурсов процессора, чем AES-128. Последний рекомендуется для большинства случаев.

Правила брандмауэра для автоматического и ручного режима IPsec VPN

Правила брандмауэра автоматически настраиваются после создания VPN. Предписания относительно блокировки трафика, проходящего через VPN, создаются в Settings>Routing and Firewall>Firewall>LAN_IN. Внутри правила брандмауэра должна быть включена опция IPsec под названием «Сопоставление входящих пакетов Ipsec» ("Match inbound IPsec packets"). В поле источника указывается удаленная сеть или адрес настраиваемого USG, а поле назначения нужно указывать ту локальную сеть или адрес, куда поток трафика будет блокироваться.

OpenVPN

Enabled: позволяет администратору включать или отключать туннель VPN без удаления настроек.

Remote Subnets: этот раздел должен быть заполнен сетями на удаленной стороне VPN. /32 не является допустимой маской подсети на данный момент.

Remote Host: публичный IP-адрес USG или адрес маршрутизатора перед ним.

Remote Address/port: адрес относится к конечной точке туннеля OpenVPN на удаленном шлюзе (USG), порт к UDP, который будет использоваться на удаленном шлюзе для подключения к USG.

Local Address/port: адрес к конечной точке туннеля OpenVPN на локальном шлюзе USG и номер порта к UDP, который будет использоваться маршрутизатором для подключения к удаленному шлюзу.

Shared Secret Key: 2048-битный ключ, который генерируется в USG из CLI по нижеприведенным инструкциям.

CLI: доступ к интерфейсу командной строки (CLI) можно получить с помощью соответствующей кнопки в графическом интерфейсе, или же посредством подключения через клиент PuTT для Windows или одноименный протоколу инструмент ssh в Linux.

1. Сгенерируйте ключ на 2048 бит в USG.
generate vpn openvpn-key /config/auth/secret

2. Посмотрите ключ и скопируйте в текстовый файл.
sudo cat /config/auth/secret
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
48fc8ac5b96655a08e041de6263a4e7b
<output shortened>
-----END OpenVPN Static key V1-----


3. Ключ содержится после строки BEGIN и перед END.
ПРИМЕЧАНИЕ. Для этого типа VPN потребуется правило брандмауэра WAN_LOCAL на каждой стороне туннеля, позволяющее удаленному порту проводить обмен данными.

В случае возникновения проблем, проверьте, все ли сделано в соответствии с инструкцией, важна точность в выполнении каждой детали. Если ошибок нет, но проблемы остались, вы можете задать вопрос на нашем форуме, где квалифицированные специалисты нашей компании, а так же другие пользователи постараются помочь в решении вашей проблемы. При необходимости быстрого решения вопроса вы можете воспользоваться за дополнительную плату услугами нашей технической поддержки.