官方文件說明:
UniFi - USG/UDM VPN: How to Configure Site-to-Site VPN
這次是以一台 UDM-PRO & USG-3P 測試.
兩個區網的網段必須不同, 這是 site to site VPN 的要件.
USG-3P端.
比較要注意的地方是. remote address/port & local address/port 這是用於 VPN對接的網段及端口, 只要設定一個未使用的網段即可, 而 Shared Secret Key 的產生, 可以 ssh 進入 USG-3P 產生(官方文件有寫).
#Generate the 2048 bit shared secret on the USG.
generate vpn openvpn-key /config/auth/secret
#Display the shared secret and copy the output to a text file.
sudo cat /config/auth/secret
其中要特別注意的是, pre-share key 只要 copy BEGIN & END 之間的 key 值, 而且必須將中間所有的換行刪除, 建議可以先貼在 notepad editor 後, 刪除換行成一行文字後, 再貼上.
UDM-PRO 端的設定和 USG-3P 端相仿. 這樣就完成 OpenVPN 建立.
check VPN Status
VPN 設定完後, 怎麼 check VPN 連線狀態? 在 UniFi Controller 翻了一遍, Web UI 找不到任何資訊, google 了才曉得要 ssh 進 USG 去看. 真的是很奇怪的設計??? (當然你可以用 ping 去 check remote site ip)
總之下 show openvpn status site-to-site 就會顯示出來了. 至於那端是 Server? 那端是 Client? 設定時並未指定, 要注意的是. show openvpn status command, 如果是 client 端, 它的連線狀態是 'N/A', 只有在 server 端才會正確顯示.
但因為此次 site to site openvpn, UDM-PRO 被當做 server side, 很不幸的, UDM-PRO 的 CLI 和 USG 是不同的, 沒有 show openvpn command.
下什麼指令參考這裡.
UDM-Pro VPN connectivity check?
總之這 site to site openvpn 建立很容易, 但要查狀態就相當麻煩.
FB: Pctine
pctine wrote:
USG site to(恕刪)
檢查vpn最簡單的方法用ping去確認最快了
我是用ipsec建立vpn
印象中unifi有一個unifi to unifi的site to site vpn建立比較快
另外雙邊建立vpn後可以建立一個靜態路由會比較好
這塊做得不好...
RADIUS驗證我測試Windows Radius+AD去接一直沒辦法用...
而且也沒有SSL VPN...
這一直都是我沒有徹底把FortiGate換下的原因....
至於AP嘛...
功能其實就我個人覺得就還好, 基本的AC+AP組合...
還是缺了一些比較基本的功能....
我已經在UBNT官網提過Feature Request...
過了2~3年, 他們還是沒實作...
GEOIP FILTERING這功能不細緻...
實用性不高....
Port Forwarding這功能做的實在太簡略了...
一旦遇到複雜的情況就給乖乖透過CLI...
Loggin這塊功能有待加強...
DPI有ASIC加速器, 所以可以得到很高的I/O
他就是一個Application Control, 只是做的不是很細緻...
但我不知道UDM有沒有DPI...
那東西沒ASIC去加速的話, 拿CPU去應幹效能也會有一些殺傷性...
IPS/IDS我覺得那東西很廢...
主要原因是效能不好, 完全拿CPU去算...
UDM Pro的SoC應該是Annapurna Labs Alpine AL-324....
所以拿CPU硬幹的話免強還行...
UDM Pro也不是Marvell OCTEON...
不過就算用了這個SoC, 它的IDS/IPS ASIC也不會被利用到...
其實我對UBNT的Unifi想法是...
它們已經做到5.0版本...
可是居多都是在UI這方面做調整...
並沒有重大實質性的變化...
老實講, 我覺得他們應該繼續採用Marvell OCTEON的SoC
vxr wrote:
RADIUS驗證我測試Windows Radius+AD去接一直沒辦法用...
而且也沒有SSL VPN...
這一直都是我沒有徹底把FortiGate換下的原因....
感謝分享. 確實在 USG Web UI 上面缺少了不少企業 Router 上所應有的功能, 自己家用 Router 由 Draytek Vigor Router 更換為 UniFi USG-3P 初期是有些不習慣, 不過沒有用到太多進階的功能, 如 Multi-WAN, WAN Alias, Policy Route 這些, 所以功能上還能應付.
至於AP嘛...
功能其實就我個人覺得就還好, 基本的AC+AP組合...
還是缺了一些比較基本的功能....
我已經在UBNT官網提過Feature Request...
過了2~3年, 他們還是沒實作...
Controller 搭 UniFi AP, 自己是覺得穩定性及管理功能上比之前所用的 Fat AP 好很多.
GEOIP FILTERING這功能不細緻...
實用性不高....
GeoIP 這一般是會和 Firewall rule 結合. 但 UniFi 做成 global 的設定, 確實是不太好用.
Port Forwarding這功能做的實在太簡略了...
一旦遇到複雜的情況就給乖乖透過CLI...
還好還沒有用到太複雜的 Port Forwarding 需求.
Loggin這塊功能有待加強...
的確不少 log 必須 ssh 進系統去看.
DPI有ASIC加速器, 所以可以得到很高的I/O
他就是一個Application Control, 只是做的不是很細緻...
但我不知道UDM有沒有DPI...
那東西沒ASIC去加速的話, 拿CPU去應幹效能也會有一些殺傷性...
DPI 及統計功能這部份自己覺得 UniFi 做的很好的部份. UDM-PRO 啟用 DPI throughput 比 USG-3P 高很多, 畢竟它的 WAN & LAN 規格是到 sfp+
IPS/IDS我覺得那東西很廢...
主要原因是效能不好, 完全拿CPU去算...
UDM Pro的SoC應該是Annapurna Labs Alpine AL-324....
所以拿CPU硬幹的話免強還行...
UDM Pro也不是Marvell OCTEON...
不過就算用了這個SoC, 它的IDS/IPS ASIC也不會被利用到...
USG-3P IPS/IDS 啟用後效能會降很多, 這部份就沒有去啟用了. 印象中 UDM-PRO IPS 啟用後 throughput 還不差.
FB: Pctine
並不是所有的網友對於網路設置都很熟悉, 有時買了 USG router, USW switch & UAP wifi AP, 就是裝不起來, 很多網友會建議一些安裝的步驟, 但實際上有些 '建議' 對安裝上並無實質的幫助, 即有些動作可能都是對成功安裝沒有影響的.
常常有網友建議: 要用中華電信數據機來撥號, 請用 USG (或 IP 分享器) 來撥號. 修改網段...........
PPPoE 是大多數使用的上網方式, 而中華電信工程人員一般在安裝時, 會幫 user 設置好上網, 以及啟用 DHCP server, 即 user 電腦只要用網線插上中華電信數據機就能上網.
但安裝 UniFi USG, user 根本就不用去登入 hinet 數據機做任何修改, 網友建議去關閉其 dhcp server, 或是修改撥號上網方式都是多餘的. 甚至於去改數據機上面的網段也沒有必要.
USER 唯一要做的是, USG WAN port 接上中華電信的數據機, USG LAN port 接至 LAN Switch, 一般即為 USW switch, 而將 Cloud Key & UAP wifi AP 接在 LAN switch, 即能開始登入 UniFi Controller 做設置.
另外一般中華電信數據機的 LAN 網段一般為 192.168.1.0/24, 常有網友建議將 USG LAN 網段設為不同的網段, 這是一個很好的做法, 但並不是因為設為相同就不能運作, 改為其他非大家常見的 192.168.0.0/24 or 192.168.1.0/24 網段, 日後在建立 VPN 時, 可以避免和 remote site 相同網段的困擾.
FB: Pctine
內文搜尋
從 APP 打開
X