UniFi USG - Site-to-Site VPN entre USG e EdgeRouter

Visão geral


Os leitores serão como configurar uma VPN site a site usando um EdgeRouter e USG.

Implementação


O exemplo é escrito com base na UniFi versão v 4.1.1 e EdgeOS 1.5.0. As plataformas de hardware incluem um USG de 3 portas e um EdgeRouter de 5-port.

Abaixo está o diagrama de rede que pretendemos implantar.

 

Redes de configuração em ER-5-POE

Não vamos em detalhes sobre a configuração de redes em EdgeOS; aqueles podem ser encontradas no wiki. As etapas incluem:

  • configurar o IP da eth1
  • configurar switch0 para incluir eth3, 4, 5 e atribuir um IP, 192.168.202.1
  • Definir um servidor DHCP para sub-rede 192.168.202.0/23
  • Configurar NAT

Redes de configuração em USG

No controlador de UniFi, goto "Configurações" > "Redes" para criar/editar a sub-rede 192.168.100.0/24.

Estabelecer VPN Site a Site em EdgeRouter

  • Selecione o painel "VPN"
  • Escolha "IPsec Site-to-Site"
  • Veja acima diagrama, nós usamos "eth1" para interface de IPsec
  • "Adicionar Peer" para o USG
  • Perscrutar o IP: 10.1.2.236 => IP WAN para USG
  • IP local: 10.1.2.170 => IP WAN para EdgeRouter
  • Pre-shared secret: ubntUBNT => apenas um exemplo, definir o seu próprio segredo.
  • Sub-rede local: 192.168.202.0/23 => Site em EdgeRouter
  • Sub-rede remota: 192.168.100.0/24 => Site em USG
  • Clique em "Apply"

 Na acessório , você pode encontrar o despejo de configuração do EdgeRouter usado neste cenário.

Criação de Site-to-Site VPN na USG

UniFi é projetado para gerenciar a USG não EdgeRouter, é fácil criar Site-to-Site VPN entre USGs, mas não para um EdgeRouter.  Precisamos de um gancho especial para atingir essa meta. Cuidado! Esta é uma característica de adavanced que apoiamos mas não ainda totalmente testado.

USG é construído em cima de EdgeRouter. A idéia aqui é gerar manualmente a configuração VPN correspondente e então alimentar a USG. Para fazer isso, você precisará criar manualmente um arquivo "config.gateway.json" e em seguida, colocá-lo sob o diretório " $UniFi_Base / site_id dados/sites / $/ ".  No Windows, isto é "Ubiquiti UniFi" pasta que geralmente fica sob o diretório home do usuário. No Linux, normalmente é em "/ var/lib/UniFi"

Observe que embora você pode diretamente "configurar" na USG depois SSH dentro do aparelho, assim como a maneira que você faz em um EdgeRouter, esta configuração será obter apagada quando o controlador UniFi fazer uma provisão para USG, e é por isso que temos o arquivo "config.gateway.json", para dizer controlador para mesclar configuração extra na prestação.

Esse arquivo de config usa formato json . Há uma ferramenta fornecida na USG que ajuda você a traduzir config atual em formato json. Depois de SSH para o USG e "configurar" o VPN (ou qualquer outra coisa), executar a linha abaixo para despejar a configuração atual em formato json,

  •   mca-ctrl - t despejo-cfg

Na acessório você pode encontrar o arquivo "config.gateway.json", usado para o cenário de exemplo. Algo parecido com EdgeRouter config apenas em um formato diferente e local remoto, remoto se torna local com configuração de sub-rede correspondente. 

A última coisa chave aqui é para disparar manualmente um provisão para o USG.  Disposição significa algumas configurações foi alterado e o controlador não vai fazer isso menos que ele detecta isso, e porque o controlador não monitora ativamente a existenace deste arquivo JSON, precisamos manualmente instruí-la para provisionar tal que esta configuração pode ser mesclada.  Existem muitas maneiras de fazer isto, por exemplo, adicionando um "port forwarding" (e depois apagá-lo). O easist way é provavelmente ' ativar/desativar' o serviço DHCP da rede LAN na USG (nesse cenário, a sub-rede de 192.168.100.0/24).

Verificando a conexão VPN

Tente "ping 192.168.100.1" EdgeRouter e "ping 192.168.202.1" USG. Se eles são através de, então, o link é bom.

Referências

  1. EdgeMAX VPN wiki
Powered by Zendesk