USG de UniFi - VPN de sitio a sitio entre la USG y EdgeRouter

Resumen


Los lectores serán cómo configurar una VPN de sitio a sitio usando un EdgeRouter y USG.

Puesta en práctica


El ejemplo está escrito basado en PEA versión v4.1.1 y EdgeOS v1.5.0. Las plataformas de hardware incluyen un USG de 3 puertos y un EdgeRouter de 5 puertos.

Abajo está el diagrama de red que queremos implementar.

 

Configuración de redes en la ER-5-POE

No nos vamos en detalles sobre la configuración de redes en EdgeOS; los pueden encontrar en wiki. Pasos incluyen:

  • configurar IP de eth1
  • configurar el switch0 para incluir eth3, 4, 5 y asignar una IP, 192.168.202.1
  • Configurar un servidor DHCP por subred 192.168.202.0/23
  • Configurar NAT

Configuración de redes en USG

En el controlador de PEA, goto "Ajustes" > "Redes" para crear o modificar la subred 192.168.100.0/24.

Crear VPN sitio a sitio en EdgeRouter

  • Panel de "VPN"
  • Elija "IPsec sitio a sitio"
  • Ver sobre el diagrama, utilizamos "eth1" interfaz IPsec
  • "Agregar a par" para el gobierno
  • Par de la IP: 10.1.2.236 => IP de la WAN para USG
  • IP local: 10.1.2.170 => IP de la WAN para EdgeRouter
  • Pre-shared secret: ubntUBNT => sólo un ejemplo, establecer su propio secreto
  • Subred local: 192.168.202.0/23 => sitio en EdgeRouter
  • Subred remota: 192.168.100.0/24 => sitio en USG
  • Haga clic en "Aplicar"

 En el accesorio , puedes encontrar la descarga de la configuración de la EdgeRouter utilizado en este escenario.

Crear VPN sitio a sitio en USG

PEA está diseñado para administrar USG no EdgeRouter, es fácil crear VPN sitio a sitio entre USGs pero no a un EdgeRouter.  Necesitamos un gancho especial para lograr este objetivo. ¡ PRECAUCIÓN! Ésta es una característica de adavanced que ayuda pero no ha probado todavía completamente.

USG se construye sobre EdgeRouter. La idea aquí es generar manualmente la correspondiente configuración VPN y luego alimentar a USG. Para hacer esto, usted tendrá que crear manualmente un archivo de "config.gateway.json" y luego ponerlo en el directorio " $UniFi_Base / datos/sitios / $site_id / ".  En Windows, esto es "Ubiquiti UniFi" carpeta que generalmente se encuentra bajo el directorio home del usuario. En Linux, es normalmente en "/ var/lib/UniFi"

Tenga en cuenta que aunque usted puede directamente "configurar" en USG después de SSH en el dispositivo, al igual que la forma de hacer en un EdgeRouter, esta configuración Haz borrará siempre el UniFi Controlador hacer una provisión en USG, y es por eso que necesitamos el archivo "config.gateway.json", a regulador para combinar configuración extra en disposición.

Utiliza este archivo de configuración de formato json . Hay una herramienta en USG que te ayuda a traducir la configuración actual en formato json. Después de SSH en el USG y "configurar" el VPN (o cualquier otra cosa), ejecutar la línea siguiente para volcar la configuración actual en formato json,

  •   mca-ctrl - t descarga-cfg

En el accesorio se puede encontrar el archivo "config.gateway.json" utilizado para el escenario de ejemplo. Algo parece EdgeRouter config en un formato diferente y local se convierte en remoto, mando a distancia se convierte en local con la configuración de subred correspondiente. 

Clave lo último aquí es para accionar manualmente un disposición al USG.  Disposición significa que ha cambiado algunas configuraciones y controlador no a menos que lo detecta, y porque el controlador no monitorear activamente el existenace de este archivo .Groovy, tenemos que indicar manualmente a disposición tal que esta configuración puede ser combinado.  Hay muchas maneras de hacer esto, por ejemplo, añadiendo un reenvío de puertos (y luego borrarlo). El más probablemente es ' activar/desactivar' el servicio DHCP de la red LAN de USG (en este escenario, la subred 192.168.100.0/24).

Comprobación de conexión VPN

Tratar de "ping 192.168.100.1" de EdgeRouter y "ping 192.168.202.1" de USG. Si son a través de, el enlace es bueno.

Referencias

  1. Wiki de EdgeMAX VPN