UniFi Network — 配置站對站 VPN
發布於 2022-12-07 轉至英文 轉至英文 轉至英文

站對站 VPN 主要由希望能連接多個遠端位置的企業使用。如果是住家使用者,則強烈建議使用 Teleport VPN — 快速、安全、免配置的一鍵式遠端存取解決方案。

欲深入了解 Teleport 及其他 UniFi VPN 選項,請參考 UniFi VPN 簡介

設定

UniFi 閘道器支援兩種站對站 VPN 協定:IPsecOpenVPN。視您的選擇而定,必須確保所有使用於建立站對站連線之閘道器的設定皆相同:

建議在所有站點使用 UniFi 閘道器,最大化連線相容性和效能。此外,部分第三方閘道器可以配置 UniFi Network 應用程式中未提供的設定。針對此類設定進行之故障排除已超出 Ubiquiti 支援的範圍,但是您可以參考第三方設備的注意事項:站對站 VPN,以取得更多資訊。

IPsec

  • 預先共用金鑰:可以驗證 VPN 連線。
  • UniFi 閘道器 IP:UniFi 閘道器的公用 IP 位址。
  • 共用遠端子網路:遠端閘道器共用的網路清單。請注意,UniFi 閘道器共用所有的近端網路。必須確保站點的近端子網路中沒有重疊。
  • 遠端 IP:遠端閘道器的 WAN IP 位址。

補充說明:

  • 所有閘道器的 進階(Advanced) 設定均應一致。建議使用預設設定,除精通 VPN 安全性外。
  • UniFi 閘道器將會自動建立透過 VPN 引導流量需要的靜態路由。請勿嘗試為此建立新的路由。

OpenVPN

OpenVPN 站對站 VPN 是使用 512 字元 預先共用金鑰 進行驗證。兩個閘道器的金鑰應相同,且不得包含分行符號。 您可以自行建立此金鑰或在 UniFi 閘道器上產生金鑰。方式如下:

  1. 透過 SSH 登入 UniFi 閘道器。
  2. 使用以下命令產生金鑰:openvpn --genkey secret /tmp/ovpn
  3. 現在可以執行以下命令,以檢視/複製金鑰:cat /tmp/ovpn :在複製金鑰時,務必刪除任何分行符號。

:USG 必須使用 generate vpn openvpn-key /tmp/ovpn 產生金鑰,然後 sudo cat /tmp/ovpn,以檢視/複製金鑰。

此外,需要下列資訊:

  • 近端隧道 IP 位址:使用於近端「隧道」的 IP。將透過此 IP 位址傳遞傳送至遠端閘道器的流量。此位址應出現在近端和遠端站點上。建議在兩個閘道器上未曾使用的子網路中選擇私有 IP。
  • 近端連接埠在預設情況下,UDP 連接埠 1194 是使用於 OvenVPN。其他服務或其他 OpenVPN 連線不得使用此連接埠。如果使用多個 OpenVPN 隧道,則必須將每一個隧道指派至各自的連接埠。近端和遠端連接埠不需要相同。
  • 共用遠端子網路:遠端閘道器共用的網路清單。請注意,UniFi 閘道器共用所有的近端網路。必須確保站點的近端子網路中沒有重疊
  • 遠端 IP 位址:遠端閘道器的 WAN IP 位址。
  • 遠端隧道 IP 位址:遠端閘道器隧道的 IP 位址。請勿輸入閘道器的 WAN IP。
  • 遠端連接埠:遠端閘道器的 OpenVPN 連接埠。近端和遠端連接埠不需要相同。

:UniFI 閘道器將會自動建立透過 VPN 引導流量需要的靜態路由。請勿嘗試為此建立新的路由

故障排除

如果無法在站點之間建立 VPN 隧道,或連線不時中斷,則可能至少有一個站點的 VPN 或網路配置不正確。請參閱下述的常見錯誤。

UniFi 閘道器沒有公用 IP 位址(雙 NAT)

如果 UniFi 閘道器是位於另一個使用網路位址轉譯(NAT)的路由器/數據機之後,則通常會發生此情況。如果 UniFi 閘道器的 WAN IP 位址是在下列任一範圍內,則可能會受到影響:

  • 10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)
  • 100.64.0.0/10 (100.64.0.0 - 100.127.255.255)

想要解決此問題,請將上游路由器設為橋接器模式(Bridge Mode)。如果不可行,則嘗試將必要連接埠從上游路由器/數據機轉送至 UniFi 閘道器。IPsec 使用 UDP 連接埠 500 和 4500。在預設情況下,OpenVPN 使用 UDP 連接埠 1194,但是可進行變更。請注意,如果上游路由器沒有公用 IP 位址時,此方法將無效。

如果此方法無效時,建議聯絡 ISP。請注意,100.64.0.0/10 子網路範圍內的 IP 位址,一律需要 ISP 協助才能建立 VPN 連線

必要連接埠遭到上游裝置封鎖,或被 UniFi 閘道器轉送至近端網路上的另一個裝置

確保沒有第三方路由器、防火牆或 ISP 數據機阻止必要連接埠到達任何支援站對站 VPN 的閘道器。IPsec 使用 UDP 連接埠 500 和 4500。在預設情況下,OpenVPN 使用 UDP 連接埠 1194,但是可進行變更。請注意,如果為一個閘道器重新配置連接埠時,必須為所有其他站對站 VPN 閘道器重新配置同一個連接埠。

在確認流量未遭到封鎖之後,請確保 UniFi 閘道器未將這些連接埠轉送至近端網路上的另一個裝置。您可以在 UniFi Network 應用程式的 防火牆和安全性(Firewall & Security) 區域中,移除現有的連接埠轉送規則。

因閘道器配置不符而驗證失敗

所有支援站對站 VPN 的閘道器都必須採用相同的配置,包括 進階(Advanced) 設定。否則將無法建立 VPN 連線或長時間保持連線。

建議在所有站點使用 UniFi 閘道器,最大化連線相容性和效能。因為某些第三方閘道器可配置 UniFi Network 應用程式未提供,但在背景自動配置的設定。這些設定不符仍有可能會導致連線失敗。針對此類設定之進行故障排除已超出 Ubiquiti 支援的範圍,但是您可以參考第三方設備的注意事項:站對站 VPN 可以取得更多資訊。

同時請注意,UniFi 閘道器共用所有的近端網路。請務必在配對閘道器的 共用遠端子網路(Shared Remote Subnets) 清單中進行配置。

用戶端透過 VPN 進行路由,但是流量受到禁止

在此情況下,用戶端可以連線至 VPN,但是無法與近端網路上的任何其他裝置通訊。

想要解決此問題,請確保沒有阻止 VPN 用戶端與近端網路通訊的流量或防火牆規則。

或者,近端網路上的個別用戶端可能在近端防火牆捨棄傳入流量。例如,Windows 防火牆預設為捨棄所有 ICMPv4(ping)流量。

如果使用 ping 進行測試,則必須允許流量通過 Windows 防火牆。若需要詳細資訊時,請參閱 Microsoft 支援頁面

站點的 IP 範圍重疊

IP 重疊可能會導致無法建立 VPN。即使已建立 VPN 隧道,也可能無法透過 VPN 正常通訊。因為用戶端一律以近端網路連線上的 IP 位址為優先,而非 VPN 另一端的 IP 位址。防止重疊的唯一方法是檢查每一個閘道器的近端網路,並在有必要時調整 IP 位址範圍。例如,假設一個閘道器的近端網路設為 192.168.0.0/24,IP 位址範圍為 192.168.0.1 - 192.168.0.255。遠端閘道器不應使用該範圍內的任何位址。

IP 範圍重疊可能會導致無法透過 VPN 正常通訊,或完全無法建立連線。假設 VPN 建立,

用戶端具有分割穿隧

將會導致用戶端無法與部分 VPN 連線裝置通訊,即使已連線至網路本身亦同。想要解決此問題,建議透過 VPN 傳送所有流量:

  • 如果是 Windows 用戶端,則 在進階 TCP/IP 設定中啟用使用遠端網路的預設閘道
  • 如果是 Mac 用戶端,則在 VPN 網路偏好設定中啟用 透過 VPN 連線傳送所有流量

若需要更多作業系統的相關指引,請聯絡裝置製造商。