UniFi USG - usuário remoto VPN com usuários locais

Visão geral


Os leitores serão como configurar uma VPN remoto do usuário sobre o USG para permitir que os clientes acessem uma LAN corporativa.

Implementação


Por design, esse recurso deve ser acompanhado com uma predefinição raio servidor para fins de autenticação segura do usuário. No entanto, também é possível criar usuários locais na USG e desvio o raio requisito (não que você deve). Isto é fornecido apenas para sua conveniência ou teste objetivo e nós não sugerir isso para ser usado na implantação real. 

Precisamos de um gancho especial para atingir essa meta. Cuidado! Esta é uma característica de adavanced que apoiamos mas ainda não totalmente testado. USG é construído em cima de EdgeRouter. A idéia aqui é gerar manualmente a configuração VPN correspondente e então alimentar a USG. Para fazer isso, você precisará criar manualmente um arquivo "config.gateway.json" e em seguida, colocá-lo sob o diretório " $UniFi_Base / site_id dados/sites / $/ ".  No Windows, isto é "Ubiquiti UniFi" pasta que geralmente fica sob o diretório home do usuário. No Linux, normalmente é em "/ var/lib/UniFi". 

Para VPN remoto do usuário com usuários locais, você criar um "config.gateway.json" com abaixo conteúdo:

{
    "vpn": {
        "pptp": {
            "remote-access": {
                "authentication": {
                    "local-users": {
                        "username": {
                            "user1": {
                                "password": "user1password"
                            },
                            "user2": {
                                "password": "user2password"
                            }
                        }
                    },
                    "mode": "local",
                }
            }
        }
    }
}

Acima config irá criar dois usuários locais ('user1' e 'Usuário2') para conexão VPN.  A próxima é para disparar manualmente um provisão para o USG.  Disposição significa algumas configurações foi alterado e o controlador não vai fazer isso menos que ele detecta isso, e porque o controlador não monitora ativamente a existenace deste arquivo JSON, precisamos manualmente instruí-la para provisionar tal que esta configuração pode ser mesclada. 

Existem muitas maneiras de fazer isto, por exemplo, adicionando um "port forwarding" (e depois apagá-lo). O easist way é provavelmente ' ativar/desativar' o serviço DHCP da LAN na USG (nesse cenário, a sub-rede de 192.168.100.0/24).

Agora você pode testar as conexões VPN com essas contas.

Nota: O VPN remoto do usuário com raio não funcionará se a autenticação de usuário local é substituída.

 

Powered by Zendesk