Een site-naar-site VPN brengt een veilige verbinding tot stand tussen twee firewalls waar de interne netwerken erachter met elkaar kunnen worden verbonden. Het configureren van een site-to-site VPN in het UniFi-dashboard kan worden gedaan via Instellingen> Netwerken> Nieuw netwerk maken> Site to Site VPN.
Auto IPsec VTI
In UniFi stelt de Auto IPsec VTI-configuratie een beheerder in staat om een VPN te maken tussen twee UniFi-beveiligingsgateways die in dezelfde controller zijn opgenomen. Door deze VPN in het UniFi-dashboard te maken, wordt het volgende automatisch geconfigureerd:
Handmatige IPsec
Ingeschakeld: hiermee kan een beheerder de VPN-tunnel in- of uitschakelen zonder parameters te wissen.
Externe subnetten: deze sectie moet worden gevuld met de netwerken aan de externe kant van de VPN. / 32 is geen geldig subnetmasker.
Peer IP: Openbaar IP-adres van de externe gateway. Dit kan ook het openbare IP-adres zijn van een gateway voor een downstream-router als de upstream-gateway poort-forwarding UDP-poorten 500 en 4500 is.
Local WAN IP: Public IP van de USG die is goedgekeurd op de site waarop deze VPN wordt geconfigureerd. Als deze USG achter NAT staat, configureert u het adres op de WAN-interface. Om de WAN-interface te vinden, navigeert u naar Apparaten> USG-eigenschappenvenster> Details> WAN 1 .
Pre-shared Key: maak een sterke gedeelde sleutel om op elk VPN-eindpunt in te voeren.
IPsec-profielen:
Handmatige IPsec: geavanceerde opties
Versie sleuteluitwisseling : selecteer IKEv1 of IKEv2.
Codering: selecteer AES-128, AES-256 of 3DES-codering.
Hash: Selecteer SHA1 of MD5
DH (Diffie-Hellman) Groep: DH Groepen 2, 5, 14, 15, 16, 19, 20, 21, 25, 26 zijn beschikbaar.
PFS (Perfect Forward Secrecy): Inschakelen of uitschakelen. Wanneer PFS is ingeschakeld, wordt de fase 2-DH-groep hard gecodeerd naar dezelfde groep die is geselecteerd in DH Group .
Dynamische routering: schakel het gebruik van een virtuele tunnelinterface (VTI) in of uit. Dit geeft aan dat de VPN-configuratie op beleid gebaseerd (uit) of route-gebaseerd (aan) is. (Opmerking: handmatige VPN VTI-interfaces starten met vti64 en verhogen als vti65, vti66, enz. Naarmate er meer handmatige VPN's worden toegevoegd)
Firewallregels voor automatische en dynamische routering IPsec VPN ingeschakeld
Firewall-regels worden automatisch geconfigureerd nadat de VPN is gemaakt om al het verkeer via de VPN toe te staan.
Firewall-regels om verkeer te blokkeren dat dit soort VPN's doorloopt, moet worden gemaakt in Instellingen> Routing en Firewall> Firewall> LAN_IN . Het bronveld moet het externe netwerk of adres specificeren van de USG die u aan het configureren bent en het bestemmingsveld moet het lokale netwerk of adres specificeren waarin u het verkeer wilt blokkeren.
Firewallregels voor beleidsgebaseerde handmatige VPN (Dynamic Routing uitgeschakeld)
Firewallregels voor beleidsgebaseerde VPN-netwerken worden automatisch geconfigureerd om UDP-poorten 500 en 4500 samen met het ESP-protocol op WAN_LOCAL toe te staan. Bovendien worden regels gemaakt om verkeer toe te staan van en naar de netwerken die zijn gedefinieerd onder "Externe subnetten" in het maken van het VPN-netwerk.
De oplossing is om auto-firewall uit te schakelen en vervolgens te accommoderen voor wat dat doet onder de motorkap, door handmatig de juiste regels toe te voegen aan WAN_LOCAL en het IPsec-verkeer uit NAT te sluiten.
Alle vereisten om "inkomend" IPsec-verkeer op een niet-VTI VPN te beheren zijn als volgt:
1. Navigeer naar Instellingen> Routing en firewall
2 .. Voeg een WAN_LOCAL-regel toe om ESP te accepteren
3. Voeg een WAN_LOCAL-regel toe om de bestemmingspoort UDP500 / 4500 te accepteren
4. Voeg WAN_IN-regels toe die overeenkomen met het verkeer dat u wilt toestaan (met matchende inkomende IPsec-pakketten gecontroleerd) - al het inkomende verkeer wordt standaard geblokkeerd door het standaard weigeren onder aan de regelset (impliciet) aan te raken.
Als uw lokale LAN bijvoorbeeld 192.168.150.0/24 is en het externe subnet dat u toegang wilt geven tot uw LAN 192.168.250.0/24 is, voegt u 192.168.250.0/24 toe als de "bron" en 192.168.150.0 / 24 als de "bestemming" voor deze regel.
5. Schakel automatische firewall uit en laad IPtables opnieuw (reboot)
6. Bron toevoegen NAT sluit regels uit voor het verkeer dat u over de VPN wilt doorgeven. Uw lokale LAN zal uw bronadres zijn.
Voorbeeld - 192.168.150.0/24 en het externe VPN-subnet zijn uw bestemming ex- 192.168.250.0/24.
OpenVPN
Ingeschakeld: hiermee kan een beheerder de VPN-tunnel in- of uitschakelen zonder parameters te wissen.
Externe subnetten: deze sectie moet worden gevuld met de netwerken aan de externe kant van de VPN. / 32 is op het moment van schrijven geen geldig subnetmasker.
Remote Host: Openbaar IP van de remote gateway of openbaar IP van een upstream-router voor een USG.
Extern adres / poort: voer een IP in die geen van de eerder gedefinieerde netwerken overlapt. Dit adres is alleen relevant voor het eindpunt van de OpenVPN-tunnel op de externe gateway. De poortinvoer wordt gebruikt om te definiëren welke UDP-poort de remote gateway gebruikt om verbinding te maken met de USG.
Lokaal adres / poort: voer een IP in die geen van de eerder gedefinieerde netwerken overlapt. Dit adres is alleen relevant voor het eindpunt van de OpenVPN-tunnel op de lokale gateway (USG). De poortinvoer wordt gebruikt om te definiëren welke UDP-poort de USG zal gebruiken om verbinding te maken met de externe gateway.
Gedeelde geheime sleutel: deze sleutel is geen willekeurig wachtwoord voor de gebruiker. Het moet een 2048-bits sleutel zijn die wordt gegenereerd. De USG kan dit vanuit CLI genereren met de onderstaande instructies.
1. Genereer het 2048 bit gedeelde geheim op de USG.
genereer vpn openvpn-key / config / auth / secret
Klik om te kopiëren
2. Geef het gedeelde geheim weer en kopieer de uitvoer naar een tekstbestand.
3. Neem alleen tekens op in het veld Pre-Shared Secret na de BEGIN-regel en vóór de END-regel. Mogelijk moet u de uitvoer in een teksteditor plakken om regeleinden en spaties te verwijderen.
bron:ubnt
Info
- Auto IPsec VTI maakt een site-to-site VPN met een andere USG die wordt beheerd op een andere site binnen dezelfde UniFi-controller.
- Handmatig IPsec maakt een site-to-site VPN-tunnel naar een extern beheerde USG, EdgeRouter of een andere leverancier die IPsec ondersteunt.
- OpenVPN is vergelijkbaar met Manual IPsec, in zoverre dat het een tunnel creëert naar een extern beheerd apparaat, alleen met behulp van OpenVPN in plaats van IPsec.
Auto IPsec VTI
Info
Dit VPN-type (Auto) zal niet werken als een of beide USG's zich achter een NAT-router bevinden. Dit betekent dat beide USG's een internetdoorgeleid adres moeten hebben (non-RFC1918).
In UniFi stelt de Auto IPsec VTI-configuratie een beheerder in staat om een VPN te maken tussen twee UniFi-beveiligingsgateways die in dezelfde controller zijn opgenomen. Door deze VPN in het UniFi-dashboard te maken, wordt het volgende automatisch geconfigureerd:
- Stel het peer-IP aan elke kant van de tunnel in om overeen te komen met het WAN-interface-adres.
- Voegt de externe netwerken toe voor elke site.
- Bepaalt een VTI-interface op elke USG voor de VPN. Auto VPN VTI-interfaces starten met vti0 en verhogen als vti1, vti2, enzovoort, naarmate meer auto-VPN's worden toegevoegd.
- Dynamisch traceert IP-wijzigingen op WAN.
- Bepaalt een sterke, willekeurig gegenereerde vooraf gedeelde sleutel tussen de twee USG's.
Info
Vanaf UniFi Controller versie 5.8 worden alleen hub-en-spoke-topologieën ondersteund. Mesh-topologie is nog niet configureerbaar.
Handmatige IPsec
Ingeschakeld: hiermee kan een beheerder de VPN-tunnel in- of uitschakelen zonder parameters te wissen.
Externe subnetten: deze sectie moet worden gevuld met de netwerken aan de externe kant van de VPN. / 32 is geen geldig subnetmasker.
Peer IP: Openbaar IP-adres van de externe gateway. Dit kan ook het openbare IP-adres zijn van een gateway voor een downstream-router als de upstream-gateway poort-forwarding UDP-poorten 500 en 4500 is.
Local WAN IP: Public IP van de USG die is goedgekeurd op de site waarop deze VPN wordt geconfigureerd. Als deze USG achter NAT staat, configureert u het adres op de WAN-interface. Om de WAN-interface te vinden, navigeert u naar Apparaten> USG-eigenschappenvenster> Details> WAN 1 .
Pre-shared Key: maak een sterke gedeelde sleutel om op elk VPN-eindpunt in te voeren.
IPsec-profielen:
- Aangepast: gebruikt parameters die zijn gedefinieerd door een beheerder.
- Azure Dynamic Routing: gebruikt parameters voor verbinding met een Microsoft Azure-instantie met VTI.
- Azure Static Routing: gebruikt parameters voor verbinding met een Microsoft Azure-instantie met behulp van beleidsgebaseerde IPsec zonder VTI.
Handmatige IPsec: geavanceerde opties
Info
Deze instellingen zijn bedoeld om te worden geconfigureerd door ervaren gebruikers met kennis van netwerken. Ze zijn van toepassing op fase 1 en fase 2 van het IPsec-proces.
Versie sleuteluitwisseling : selecteer IKEv1 of IKEv2.
Codering: selecteer AES-128, AES-256 of 3DES-codering.
Hash: Selecteer SHA1 of MD5
DH (Diffie-Hellman) Groep: DH Groepen 2, 5, 14, 15, 16, 19, 20, 21, 25, 26 zijn beschikbaar.
PFS (Perfect Forward Secrecy): Inschakelen of uitschakelen. Wanneer PFS is ingeschakeld, wordt de fase 2-DH-groep hard gecodeerd naar dezelfde groep die is geselecteerd in DH Group .
Dynamische routering: schakel het gebruik van een virtuele tunnelinterface (VTI) in of uit. Dit geeft aan dat de VPN-configuratie op beleid gebaseerd (uit) of route-gebaseerd (aan) is. (Opmerking: handmatige VPN VTI-interfaces starten met vti64 en verhogen als vti65, vti66, enz. Naarmate er meer handmatige VPN's worden toegevoegd)
Info
Het gebruik van grotere algoritmen is veiliger, maar ze komen met de kosten van een CPU-overheadverhoging. AES-256 gebruikt bijvoorbeeld meer CPU-bronnen dan AES-128. AES-128 is de aanbevolen codering voor de meeste use-cases.
Firewallregels voor automatische en dynamische routering IPsec VPN ingeschakeld
Firewall-regels worden automatisch geconfigureerd nadat de VPN is gemaakt om al het verkeer via de VPN toe te staan.
Firewall-regels om verkeer te blokkeren dat dit soort VPN's doorloopt, moet worden gemaakt in Instellingen> Routing en Firewall> Firewall> LAN_IN . Het bronveld moet het externe netwerk of adres specificeren van de USG die u aan het configureren bent en het bestemmingsveld moet het lokale netwerk of adres specificeren waarin u het verkeer wilt blokkeren.
Firewallregels voor beleidsgebaseerde handmatige VPN (Dynamic Routing uitgeschakeld)
Firewallregels voor beleidsgebaseerde VPN-netwerken worden automatisch geconfigureerd om UDP-poorten 500 en 4500 samen met het ESP-protocol op WAN_LOCAL toe te staan. Bovendien worden regels gemaakt om verkeer toe te staan van en naar de netwerken die zijn gedefinieerd onder "Externe subnetten" in het maken van het VPN-netwerk.
De oplossing is om auto-firewall uit te schakelen en vervolgens te accommoderen voor wat dat doet onder de motorkap, door handmatig de juiste regels toe te voegen aan WAN_LOCAL en het IPsec-verkeer uit NAT te sluiten.
Alle vereisten om "inkomend" IPsec-verkeer op een niet-VTI VPN te beheren zijn als volgt:
1. Navigeer naar Instellingen> Routing en firewall
2 .. Voeg een WAN_LOCAL-regel toe om ESP te accepteren
3. Voeg een WAN_LOCAL-regel toe om de bestemmingspoort UDP500 / 4500 te accepteren
4. Voeg WAN_IN-regels toe die overeenkomen met het verkeer dat u wilt toestaan (met matchende inkomende IPsec-pakketten gecontroleerd) - al het inkomende verkeer wordt standaard geblokkeerd door het standaard weigeren onder aan de regelset (impliciet) aan te raken.
Als uw lokale LAN bijvoorbeeld 192.168.150.0/24 is en het externe subnet dat u toegang wilt geven tot uw LAN 192.168.250.0/24 is, voegt u 192.168.250.0/24 toe als de "bron" en 192.168.150.0 / 24 als de "bestemming" voor deze regel.
5. Schakel automatische firewall uit en laad IPtables opnieuw (reboot)
6. Bron toevoegen NAT sluit regels uit voor het verkeer dat u over de VPN wilt doorgeven. Uw lokale LAN zal uw bronadres zijn.
Voorbeeld - 192.168.150.0/24 en het externe VPN-subnet zijn uw bestemming ex- 192.168.250.0/24.
Code:
{
"service": {
"nat": {
"regel": {
"5500": {
"description": "IPsec",
"bestemming": {
"adres": "192.168.250.0/24"
},
"uitsluiten": "''",
"uitgaande interface": "eth0",
"protocol": "alle",
"bron": {
"adres": "192.168.150.0/24"
},
"type": "maskerade"
}
}
}
},
"vpn": {
"ipsec": {
"auto-firewall-nat-exclude": "uitschakelen"
}
}
}Info
- Dit voorbeeld dient ter referentie. Zorg ervoor dat u de adressering op uw netwerken aanpast tijdens het solliciteren.
- Voor deze configuratie is het gebruik van een config.gateway.json-bestand op de controller vereist. Bekijk ons artikel hier voor meer informatie.
OpenVPN
Ingeschakeld: hiermee kan een beheerder de VPN-tunnel in- of uitschakelen zonder parameters te wissen.
Externe subnetten: deze sectie moet worden gevuld met de netwerken aan de externe kant van de VPN. / 32 is op het moment van schrijven geen geldig subnetmasker.
Remote Host: Openbaar IP van de remote gateway of openbaar IP van een upstream-router voor een USG.
Extern adres / poort: voer een IP in die geen van de eerder gedefinieerde netwerken overlapt. Dit adres is alleen relevant voor het eindpunt van de OpenVPN-tunnel op de externe gateway. De poortinvoer wordt gebruikt om te definiëren welke UDP-poort de remote gateway gebruikt om verbinding te maken met de USG.
Lokaal adres / poort: voer een IP in die geen van de eerder gedefinieerde netwerken overlapt. Dit adres is alleen relevant voor het eindpunt van de OpenVPN-tunnel op de lokale gateway (USG). De poortinvoer wordt gebruikt om te definiëren welke UDP-poort de USG zal gebruiken om verbinding te maken met de externe gateway.
Gedeelde geheime sleutel: deze sleutel is geen willekeurig wachtwoord voor de gebruiker. Het moet een 2048-bits sleutel zijn die wordt gegenereerd. De USG kan dit vanuit CLI genereren met de onderstaande instructies.
Info
CLI: toegang tot de opdrachtregelinterface (CLI). U kunt dit doen met behulp van de CLI-knop in de GUI of met behulp van een programma zoals PuTTY.
1. Genereer het 2048 bit gedeelde geheim op de USG.
genereer vpn openvpn-key / config / auth / secret
Klik om te kopiëren
2. Geef het gedeelde geheim weer en kopieer de uitvoer naar een tekstbestand.
Code:
sudo cat /config/auth/secret
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
48fc8ac5b96655a08e041de6263a4e7b
<output shortened>
-----END OpenVPN Static key V1-----3. Neem alleen tekens op in het veld Pre-Shared Secret na de BEGIN-regel en vóór de END-regel. Mogelijk moet u de uitvoer in een teksteditor plakken om regeleinden en spaties te verwijderen.
bron:ubnt
