Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной

Настройка Site-to-Site IPsec VPN — межсайтового VPN по протоколу IPsec на шлюзе UniFi

  • 02 октября 2024 11:08:46
  • Отзывов: 0
  • Просмотров: 641
  • 0

IPsec — это протокол межсайтовой виртуальной частной сети (Site-to-Site VPN), который позволяет удалённо подключаться к шлюзу UniFi. Доступ к протоколу можно получить в этом меню:
Network Settings → Teleport & VPN

В данном руководстве показана работа протокола на шлюзах UniFi. Потребуется устройство из линеек UniFi Gateway или UniFi Cloud Gateway.

Как это работает

Для авторизации по IPsec Site-to-Site VPN используется предварительно выданный ключ (Pre-Shared Key). Уникальный ключ генерируется автоматически. Вы также сами можете сгенерировать ключ.

Кроме того, потребуется следующая информация:

  • Server Address (адрес сервера): используйте IP-адрес вашего порта WAN;
  • Shared Remote Subnets (общие удалённые подсети): сеть или сети, которые используется на удалённом сетевом узле;
  • Remote IP (удалённый IP): публичный IP-адрес удалённого сетевого узла.

Чтобы VPN-туннель успешно открылся, необходимо, чтобы следующая информация совпадала на локальном и удалённом шлюзах:

  • VPN Protocol (протокол VPN);
  • Pre-shared Key (предварительно выданный ключ);
  • IP-адреса удалённого и локального серверов (перекрёстно);
  • удалённые и локальные подсети;
  • Key Exchange Version (версия обмена ключом), Encryption (алгоритм шифрования), Hash (контрольная сумма) и DH Groups (сложность шифрования по группам Диффи—Хеллмана — при ручной настройке);
  • Perfect Forward Secrecy (статус совершенной прямой секретности — при ручной настройке);
  • Route-Based VPN (установлена VPN на основе маршрута — при ручной настройке).

П р и м е ч а н и е. При настройке Site-to-Site VPN между двумя шлюзами UniFi рекомендуется выбирать автоматические настройки (Auto).

ЧаВо

1. Насколько безопасна Site-to-Site VPN по протоколу IPsec?

IPsec шифрует трафик и обеспечивает безопасность VPN-туннеля. Кроме того, для авторизации он использует уникальный автоматически генерируемый ключ.

2. Что делать, если VPN не устанавливается?

Проверьте, не привязин ли какой-либо из шлюзов к локальному IP-адресу, и не находится ли он за другим маршрутизатором.

Если оба шлюза используют публичный адрес, проверьте совпадение конфигураций.

3. Что делать, если связь по установленной VPN отсутствует?

Для проверки связи по VPN попытайтесь пинговать не сами шлюзы UniFi, а клиентские устройства за ними.

Если клиент не пингуется, проверьте наличие файрволла или правил маршрутизации (Traffic Rules), которые препятствуют соединению.

Если клиенты работают под Windows, проверьте, что в брандмауэре Windows разрешён трафик для пингования.

4. Возможна ли установка Site-to-Site VPN по IPsec, если шлюз UniFi находится за NAT?

Рекомендуется установка Site-to-Site VPN по IPsec, только если шлюз UniFi имеет публичный IP-адрес. Любые проблемы с производительностью или пробросом портов на маршрутизаторе, за которым находится шлюз, могут приводить к разрыву VPN-туннеля.

Если у вас нет выбора, настройте Authentication ID (идентификаторы авторизации). Рассмотрим такой пример Site-to-Site VPN по IPsec, настраиваемый для двух шлюзов UniFi, один из которых находится за маршрутизатором провайдера Интернета:

  • шлюз UniFi на стороне А — WAN IP 192.168.5.1 (находится за NAT);
  • модем или маршрутизатор провайдера Интернета на стороне А — WAN IP 203.0.113.1 (публичный адрес);
  • шлюз UniFi на стороне Б — WAN IP 198.51.100.1 (публичный адрес).

VPN-туннель настраивается между публичными IP-адресами 203.0.113.1 → 198.51.100.1.

Когда сторона Б получает одноранговый запрос по IPsec VPN от стороны А, он содержит оба IP-адреса со стороны А: 192.168.5.1 и 203.0.113.1. Однако сторона Б настроена взаимодействовать только с адресом 203.0.113.1, что вызывает ошибку. Чтобы пофиксить эту ошибку, вбейте на стороне А адрес 203.0.113.1 как Local Authentication ID (локальный идентификатор авторизации).

Можно сделать и наоборот: на стороне Б настроить адрес 192.168.5.1 как Remote Authentication ID (удалённый идентификатор авторизации).

Кроме IP-адреса, в идентификаторы авторизации (Authentication ID) можно вписывать имена хостов, адреса электронной почты и уникальные имена.

5. Должен ли я вручную создавать для VPN правила файрволла или статические маршруты?

Нет, они создаются автоматически.

 
Сообщить об ошибке: выделить текст, нажать Ctrl+Enter