Меню

Настройка vpn unifi security gateway pro

Конфигурирование VPN-соединения между локальными сетями с помощью USG.

Главная > Техинфо > FAQ > UniFi > Конфигурирование VPN-соединения между локальными сетями.

Общие сведения:

VPN (Virtual Private Network) является очень полезным инструментом, который позволяет связать между собой удаленные локальные сети, образовывая поверх интернета «туннели». Поддерживается данная технология и фирменными маршрутизаторами Unifi Security Gateway, которые дают возможность довольно легко настроить данный тип соединения. Именно об этом и пойдет речь в нашей сегодняшней заметке.

Конфигурирование VPN соединения выполняется в панели UniFi: Settings>Networks>Create New Network>Site to Site VP. Здесь доступно несколько режимов, каждый из которых имеет свои отличия.

Смотрите также:

Особенности различных режимов:

Auto IPsec VTI* Данный тип VPN не будет работать, если один или оба USG находятся за NAT-маршрутизатором. Иными словами, для создания подобного соединения необходимо, чтобы оба USG имели «белый» IP адрес (не RFC1918). В UniFi конфигурация Auto IPsec VTI позволяет администратору создавать VPN между двумя UniFi Security Gateway, которыми управляет один и тот же контроллер. Создание VPN-соединения в панели управления UniFi автоматически приводит к следующему:

-Устанавливается одноранговый IP-адрес для каждой из сторон туннеля в соответствии с адресом интерфейса WAN.

-Удаленная сеть добавляется в каждый профиль.

-Каждый USG получает VTI-интерфейс для использования в VPN. Интерфейсы Auto VPN VTI начинаются с vti0 и, при добавлении дополнительных Auto VPN, нумерация продолжается следующим образом: vti1, vti2 и т. д.

-Изменения IP-адресов на WAN динамически отслеживаются.

-Между двумя USG создается устойчивый к взлому случайно генерируемый ключ.

ПРИМЕЧАНИЕ. В UniFi Controller версии 5.7.20 и выше поддерживаются только топология «звезда». Mesh топология на данный момент не поддерживается.

Ручной режим IPsec. – Здесь доступны следующие опции:

Enabled : позволяет администратору включать или отключать туннель VPN без удаления настроек.

Remote Subnets : этот раздел должен быть заполнен сетями на удаленной стороне VPN. /32 не является допустимой маской подсети на данный момент (UniFi Controller версии 5.7.20).

Peer IP : публичный IP-адрес удаленного шлюза. Это может быть и публичный IP-адрес шлюза перед USG, если он пробрасывает порты UDP 500 и 4500.

Pre-shared Key : генерирует общий ключ для каждой конечной точки VPN.

Customized : Использует параметры, определенные администратором.

Azure Dynamic Routing : использует параметры для подключения к экземпляру Microsoft Azure с использованием VTI.

Azure Static Routing : использует параметры для подключения к экземпляру Microsoft Azure, используя правила IPsec без VTI.

Ручной режим IPsec: дополнительные параметры

ВНИМАНИЕ: эти настройки предназначены для опытных пользователей. Они используются в фазе 1 и фазе 2 процесса IPsec.

Key Exchange Version : выберите IKEv1 или IKEv2.

Encryption : выберите шифрование AES-128, AES-256 или 3DES.

Hash : выберите SHA1 или MD5

DH (Diffie-Hellman) Group : Доступные группы DH 2, 5, 14, 15, 16, 19, 20, 21, 25, 26.

PFS (Perfect Forward Secrecy) : включена или выключена. Когда включена PFS, фаза 2 DH groups жестко кодируется в группу 1 и должна соответствовать настройке удаленного шлюза.

Dynamic Routing : включает или отключает использование VTI. Это указывает на то, что конфигурация VPN либо основана на правилах (отключено), либо на маршрутизации (включено). (Примечание: при ручном режиме интерфейсы VPN VTI начинаются с vti64 и, при добавлении дополнительных виртуальных VPN, далее идут по возрастаню:vti65, vti66 и т.д.)

Читайте также:  Астериск телефония установка и настройка

ПРИМЕЧАНИЕ. Использование более сложных алгоритмов позволяет добиться большего уровня безопасности, но при этом ЦП также испытывает большую нагрузку. Например, AES-256 будет использовать больше ресурсов процессора, чем AES-128. Последний рекомендуется для большинства случаев.

Правила брандмауэра для автоматического и ручного режима IPsec VPN

Правила брандмауэра автоматически настраиваются после создания VPN. Предписания относительно блокировки трафика, проходящего через VPN, создаются в Settings>Routing and Firewall>Firewall>LAN_IN. Внутри правила брандмауэра должна быть включена опция IPsec под названием «Сопоставление входящих пакетов Ipsec» («Match inbound IPsec packets»). В поле источника указывается удаленная сеть или адрес настраиваемого USG, а поле назначения нужно указывать ту локальную сеть или адрес, куда поток трафика будет блокироваться.

OpenVPN

Enabled : позволяет администратору включать или отключать туннель VPN без удаления настроек.

Remote Subnets : этот раздел должен быть заполнен сетями на удаленной стороне VPN. /32 не является допустимой маской подсети на данный момент.

Remote Host : публичный IP-адрес USG или адрес маршрутизатора перед ним.

Remote Address/port : адрес относится к конечной точке туннеля OpenVPN на удаленном шлюзе (USG), порт к UDP, который будет использоваться на удаленном шлюзе для подключения к USG.

Local Address/port : адрес к конечной точке туннеля OpenVPN на локальном шлюзе USG и номер порта к UDP, который будет использоваться маршрутизатором для подключения к удаленному шлюзу.

Shared Secret Key : 2048-битный ключ, который генерируется в USG из CLI по нижеприведенным инструкциям.

CLI: доступ к интерфейсу командной строки (CLI) можно получить с помощью соответствующей кнопки в графическом интерфейсе, или же посредством подключения через клиент PuTT для Windows или одноименный протоколу инструмент ssh в Linux.

1. Сгенерируйте ключ на 2048 бит в USG.
generate vpn openvpn-key /config/auth/secret

2. Посмотрите ключ и скопируйте в текстовый файл.
sudo cat /config/auth/secret
#
# 2048 bit OpenVPN static key
#
——BEGIN OpenVPN Static key V1——
48fc8ac5b96655a08e041de6263a4e7b

——END OpenVPN Static key V1——

3. Ключ содержится после строки BEGIN и перед END.
ПРИМЕЧАНИЕ. Для этого типа VPN потребуется правило брандмауэра WAN_LOCAL на каждой стороне туннеля, позволяющее удаленному порту проводить обмен данными.

В случае возникновения проблем, проверьте, все ли сделано в соответствии с инструкцией, важна точность в выполнении каждой детали. Если ошибок нет, но проблемы остались, вы можете задать вопрос на нашем форуме, где квалифицированные специалисты нашей компании, а так же другие пользователи постараются помочь в решении вашей проблемы. При необходимости быстрого решения вопроса вы можете воспользоваться за дополнительную плату услугами нашей технической поддержки.

Источник

Базовая настройка Ubiquiti Unifi Security Gateway

Отличительной и довольно обескураживающей особенностью Ubiquiti USG является отсутствие standalone консоли управления: настраивать его можно только через UniFi Controller. Это можно считать как плюсом, так и минусом. Лично нам такая особенность кажется слегка, гм, необычной. Впрочем, в рамках данного материала мы хотели все-таки рассмотреть сценарий настройки роутера, а не подивиться его диковинностью, поэтому приступим.

Роутер немного поразмыслит:

. и присоединится к сети. Мы используем новейшую, 5-ю версию Unifi Controller, поэтому после присоединения USG объявит в строке статуса, что ему нужно обновиться. Мы не против. Жмем UPGRADE:

Читайте также:  Razer abyssus программа для настройки

Подтверждаем наше намерение, нажав Confirm:

. и спустя несколько минут роутер будет готов к работе. Нажав на него в списке устройств, справа мы получим компактную консоль управления роутером. Собственно, сразу нажимаем Configuration и осваиваемся:

По большому счету, настройка роутера уже завершена. Он не слишком богат опциями, а большая часть управления дополнительным функционалом (за исключением порт-форвардинга и DynDNS, которые выполняются тут же, в соответствующих секциях) осуществляется через консоль Unifi в разделе Settings:

4. Уже тут, в конфигураторе Unifi, настраиваются сервер VPN, VPN Site-to-Site, клиенты VPN, DHCP-сервер, WINS, и тому подобное. Из наиболее интересных функций мы бы хотели отдельно выделить:
DHCP guarding. Функция требует применения коммутатора серии Unifi, и позволяет глобально указать доверенный DHCP-сервер. Функция нужная и полезная, в роутерах встречается редко, а уж в таких дешевых и вовсе никогда, поэтому зачет!
Deep Packet Inspection (DPI). Как понятно из ее названия, функция позволяет проводить глубокую инспекцию пакетов на лету, и выдавать на гора подробную статистику, как пользователи используют интернет. Включаем ее галочкой Enable deep packet inspection в разделе Site:

После включения DPI роутер немного подумает и примется собирать статистику использования интернета. Спустя некоторое время в Dashboard появится статистика, а нажав в центр счетчика трафика:

. мы попадем в раздел с довольно подробными диаграммами:

На этом аспекты базовой настройки Ubiquiti USG кажутся разобранными. Чего мы не увидели: настроек брандмауэра (выполняются через CLI), роутинга (тоже прячется в CLI), standalone DHCP-сервера, который прямо таки необходим роутеру, возможности отключения NAT. Такой вот роутер-кастрат. Утешения ради сообщаем, что как минимум для роутинга и брандмауэра Ubiquiti пообещала обеспечить графический интерфейс в чуть более новой Unifi Controller линейки 5.x. Ждем-с.

Источник

Обзор Ubiquity UniFi Security Gateway

Ближайшие
тренинги Mikrotik

Места
проведения

г. Санкт-Петербург, Крестовский остров, Северная дорога, дом 12.

г. Санкт-Петербург, ст. м. «Приморская»,
ул. Одоевского, д. 24 к. 1, 2 этаж

Обзор UniFi Security Gateway (USG). Первичная настройка и подключение маршрутизатора Ubiquity UniFi Security Gateway.

UniFi Security Gateway

UniFi Security Gateway — младшая модель маршрутизаторов линейки UniFi, созданная специально для использования в составе единой системы Ubiquity UniFi. Предназначена для использования в качестве пограничного маршрутизатора в сети UniFi или любой другой TCP/IP сети.

Основные возможные функции устройства:

Внутри устройства находится высокопроизводительный двухъядерный процессор с тактовой частотой 500 MHz и аппаратным ускорением обработки пакетов, которая обеспечивает быстродействие до 1 миллиона пакетов в секунду.

Данный факт позволяет нам отнести UniFi Security Gateway (USG) к оборудованию Enterprise-уровня. USG сочетает в себе высокую производительность и отличное соотношение «цена/качество». В этом обзоре рассмотрим особенности этой модели.

Комплект поставки и внешний вид Unifi USG

USG поставляется в фирменной небольшой коробке:

Комплект поставки включает в себя:

USG исполнен в металлическом корпусе небольших размеров: 484 x 44 x 164mm. На передней панели расположены интерфейсы Ethernet, причем последний из них может работать как в WAN режиме, так и в режиме LAN.

При использовании последнего порта в режиме WAN, можно настроить резервирование канала связи без лишних сложностей. Достаточно перевести порт в режим WAN и настроить параметры резервного подключения.

Читайте также:  Таблица настройки профиля в модеме для мотив

Также на передней панели присутствуют консольный порт для управления, кнопка reset для сброса конфигурации к заводским настройкам:

По бокам у модели расположены вентиляционные отверстия для эффективного охлаждения:

Снизу у USG расположены удобные противоскользящие ножки, а также специальные отверстия для монтажа на вертикальную поверхность. Примечательно, что эти отверстия имеют защитный материал с внутренней стороны, что позволяет предотвратить попадание пыли и других предметов внутрь устройства.

Вариант крепления маршрутизатора на вертикальную поверхность:

Пример использование USG в составе единой системы UniFi:

USG поддерживает работу с V-LAN для повышения безопасности и управления сети передачи данных:

VPN сервер для безопасной коммуникации. Site-to-Site VPN сервер сможет обеспечить шифрацию данных отправленных через Интернет. Доступны следующие типы VPN: PPTP, OVPN, IPsec.

Технические характеристики и параметры

Dual-Core 500 MHz, с аппаратным
ускорением пакетной обработки

Оперативная память 512 MB DDR2 RAM Flash память 2 GB Ethernet 100/100M/1000M 3-порта Питание 12VDC, 1A Мощность потребления 7W Температура -10 to 45° C Layer 3 Forwarding Performance
Packet Size: 64 Bytes
Packet Size: 512 Bytes or Larger 1,000,000 pps
3 Gbps (Line Rate)

Первое подключение и настройка Unifi Security Gateway

Как подключить Unifi Security Gateway?

Для подключения и настройки USG необходимо иметь контроллер UniFi в вашей сети, через который можно управлять этой моделью роутера. При желании можно подключить маршрутизатор без использования контроллера UniFi, но функционал будет сильно ограничен.

Фактически без контролера UniFi можно настроить WAN порт на различные режимы работы: статический IP, авто конфигурирование порта (DHCP) или PPPoE подключение к провайдеру. Произвести базовую настройку DHCP сервера и параметры порта LAN.

Для этого необходимо подключиться к порту LAN патчкородом, убедиться в корректном получении параметров от USG. Ввести в адресную строку любого браузера:

https:\\192.168.1.1
login – ubnt
password-ubnt

Для получения доступа к расширенным функциям роутера, необходимо подключиться к вашему контроллеру UniFi и ввести USG под его управление:

После этого будут доступны все основные функции конфигурации портов:

Настройки фаервола и маршрутизации:

Настройки сети и VPN-функций:

Тестирование переключения на резервного провайдера

Переключение с основного канала на резервный и обратно в контроллере UniFi на данный момент (версия контроллера 5.7.20) доступна в BETA режиме. Произведём реальное тестирование этой функции, т.к. быстрота, стабильность и надежность этого функционала очень важна в некоторых ситуациях.

На скриншоте представлена работа данной функции. Как видно, при переключении произошла потеря всего нескольких пакетов:

Плюсы и минусы Unifi USG

Подводя итоги обзора можно отметить плюсы данного устройства:

Unifi Security Gateway выглядит дороговато для домашних решений, но немного переплатив вы получите действительно качественное решение для дома. Также маршрутизатор будет оптимален для средних и малых групп пользователей, для которых будет достаточен базовый функционал USG.

Производительность модели действительно впечатляет — мощный процессор, большой объем оперативной памяти без труда перекроют задачи небольших и средних офисов.

Отличный дизайн, высокое качество делают USG превосходным выбором в качестве роутера для дома или офиса.

Вам помогла эта статья?

Приглашаем пройти обучение в нашем тренинг-центре и научиться настраивать оборудование MikroTik на профессиональном уровне! Узнайте расписание ближайших курсов и бронируйте место!

Источник