Ubiquiti usg op 2 locaties verbinden

zaterdag 21 april 2018 08:31

Acties:

Topicstarter

Mijn vraag

Ik zou graag voor mijn werk 2 locaties met elkaar verbinden. Ik dacht zelf aan site To site vpn. Het is me alleen niet duidelijk hoe ik dat kan configureren

Op het moment is de situatie als volgt:

Er is 1 corporate network gewoon op kantoor dat volledig op ubiquiti en unifi gebaseerd is

Sinds kort is daar een kwart rack in een datacenter bijgekomen voor Backup doeleinden
In het datacenter hebben we op dit moment ook een usg. En eventueel een vm met een 2de unifi controller

Nou zou ik graag deze 2 locaties verbinden met elkaar via bijvoorbeeld vpn. Maar wat is de juiste manier om dit aan te pakken.

Relevante software en hardware die ik gebruik

2 x ubiquiti usg
1x cloud key
1x indien nodig een zelf gehoste unifi controller op de 2de locatie

zaterdag 21 april 2018 09:37

sp.boot

DrDirtyDevil schreef op zaterdag 21 april 2018 @ 08:50:
[...]

Dat klopt dat heb ik ook gedaan van de week al. Alleen die man heeft allebei de usg's al geadopteerd en dat is ook nogal een dingetje. Mooie is toen ik ubiquiti live chat een berichtje stuurde vertelde zei mij dat site To site vpn niet kan met maar 1 cloudkey dus dat vind ik ookal apart aan die video.

Dan nu een iets langer antwoord

Ja, beide USG's MOETEN aan 1 controller bij deze set-up.
Verder moet je met een paar zaken rekening houden:

Je bent afhankelijk van het GRE protocol, deze moet op de wan poort zitten van je USG, kort samengevat je WAN ip moet direct aan de WAN aansluiting zitten
De controller moet toegankelijk zijn voor beide site's Hiervoor zullen poorten 8080 (TCP) en 3478 (UDP) open moeten staan. Handig is om meteen ook 8443 (TCP) open te zetten. De poorten zijn voor:
8080 -> Inform adres
3478 -> Stun communicatie (data beheer en direct toegang hardware over internet)
8443 -> Toegang tot de controller.
De poorten moeten dan open staan naar je controller

De externe hardware kan je via een terminal koppelen aan de nieuwe controller. LET WEL OP MET INSTELINGEN. Als je hem verhuist naar een andere controller moeten daar de juiste instellingen al in staan anders staan hij meteen met factory instellingen. Zeker belangrijk als je WAN poort niet via DHCP werkt wat resulteert in het verliezen van de verbinding
Dat koppelen doe je binnen de SSH sessie met het apparaat met het commando:
set-inform http://fqdn:8080/inform
Dan adopt uitvoeren in je controller en dan weer het inform commando.

Mocht dit niet werken zou je het nog kunnen proberen middels PPTP vpn, dit is echter als "Minder veilig" bestempeld. Je kan een PPTP vpn server opzetten op de 1e USG en een PPTP client op de 2e. Helaas ondersteunen ze tot op heden alleen PPTP als client.

Ik hoop dat je hiet wat aan hebt

Ik ben aan het werk vandaag maar zal dit forum even in de gaten houden

zaterdag 21 april 2018 08:36

Acties:

sp.boot

Kort maar krachtig antwoord kijk hier is :
YouTube: UniFi Site-to-Site VPN

zaterdag 21 april 2018 08:50

Acties:

DrDirtyDevil

Topicstarter

sp.boot schreef op zaterdag 21 april 2018 @ 08:36:
Kort maar krachtig antwoord kijk hier is :
YouTube: UniFi Site-to-Site VPN

Dat klopt dat heb ik ook gedaan van de week al. Alleen die man heeft allebei de usg's al geadopteerd en dat is ook nogal een dingetje. Mooie is toen ik ubiquiti live chat een berichtje stuurde vertelde zei mij dat site To site vpn niet kan met maar 1 cloudkey dus dat vind ik ookal apart aan die video.

zaterdag 21 april 2018 09:37

Acties:

Beste antwoord ✓

sp.boot

DrDirtyDevil schreef op zaterdag 21 april 2018 @ 08:50:
[...]

Dat klopt dat heb ik ook gedaan van de week al. Alleen die man heeft allebei de usg's al geadopteerd en dat is ook nogal een dingetje. Mooie is toen ik ubiquiti live chat een berichtje stuurde vertelde zei mij dat site To site vpn niet kan met maar 1 cloudkey dus dat vind ik ookal apart aan die video.

Dan nu een iets langer antwoord

Ja, beide USG's MOETEN aan 1 controller bij deze set-up.
Verder moet je met een paar zaken rekening houden:

Je bent afhankelijk van het GRE protocol, deze moet op de wan poort zitten van je USG, kort samengevat je WAN ip moet direct aan de WAN aansluiting zitten
De controller moet toegankelijk zijn voor beide site's Hiervoor zullen poorten 8080 (TCP) en 3478 (UDP) open moeten staan. Handig is om meteen ook 8443 (TCP) open te zetten. De poorten zijn voor:
8080 -> Inform adres
3478 -> Stun communicatie (data beheer en direct toegang hardware over internet)
8443 -> Toegang tot de controller.
De poorten moeten dan open staan naar je controller

De externe hardware kan je via een terminal koppelen aan de nieuwe controller. LET WEL OP MET INSTELINGEN. Als je hem verhuist naar een andere controller moeten daar de juiste instellingen al in staan anders staan hij meteen met factory instellingen. Zeker belangrijk als je WAN poort niet via DHCP werkt wat resulteert in het verliezen van de verbinding
Dat koppelen doe je binnen de SSH sessie met het apparaat met het commando:
set-inform http://fqdn:8080/inform
Dan adopt uitvoeren in je controller en dan weer het inform commando.

Mocht dit niet werken zou je het nog kunnen proberen middels PPTP vpn, dit is echter als "Minder veilig" bestempeld. Je kan een PPTP vpn server opzetten op de 1e USG en een PPTP client op de 2e. Helaas ondersteunen ze tot op heden alleen PPTP als client.

Ik hoop dat je hiet wat aan hebt

Ik ben aan het werk vandaag maar zal dit forum even in de gaten houden

zaterdag 21 april 2018 09:39

Acties:

DrDirtyDevil

Topicstarter

sp.boot schreef op zaterdag 21 april 2018 @ 09:37:
[...]

Dan nu een iets langer antwoord
Ja, beide USG's MOETEN aan 1 controller bij deze set-up.
Verder moet je met een paar zaken rekening houden:
Je bent afhankelijk van het GRE protocol, deze moet op de wan poort zitten van je USG, kort samengevat je WAN ip moet direct aan de WAN aansluiting zitten
De controller moet toegankelijk zijn voor beide site's Hiervoor zullen poorten 8080 (TCP) en 3478 (UDP) open moeten staan. Handig is om meteen ook 8443 (TCP) open te zetten. De poorten zijn voor:
8080 -> Inform adres
3478 -> Stun communicatie (data beheer en direct toegang hardware over internet)
8443 -> Toegang tot de controller.
De poorten moeten dan open staan naar je controller
De externe hardware kan je via een terminal koppelen aan de nieuwe controller. LET WEL OP MET INSTELINGEN. Als je hem verhuist naar een andere controller moeten daar de juiste instellingen al in staan anders staan hij meteen met factory instellingen. Zeker belangrijk als je WAN poort niet via DHCP werkt wat resulteert in het verliezen van de verbinding
Dat koppelen doe je binnen de SSH sessie met het apparaat met het commando:
set-inform http://fqdn:8080/inform
Dan adopt uitvoeren in je controller en dan weer het inform commando.

Mocht dit niet werken zou je het nog kunnen proberen middels PPTP vpn, dit is echter als "Minder veilig" bestempeld. Je kan een PPTP vpn server opzetten op de 1e USG en een PPTP client op de 2e. Helaas ondersteunen ze tot op heden alleen PPTP als client.

Ik hoop dat je hiet wat aan hebt Ik ben aan het werk vandaag maar zal dit forum even in de gaten houden

Geweldig ! Thnx ik ga ermee aan de slag.

i'll keep you posted

zondag 22 april 2018 18:39

Acties:

sp.boot

DrDirtyDevil schreef op zaterdag 21 april 2018 @ 09:39:
[...]
Geweldig ! Thnx ik ga ermee aan de slag.

i'll keep you posted

En ben je er uit gekomen? Of nog niet mee bezig geweest?

zondag 22 april 2018 19:04

Acties:

DrDirtyDevil

Topicstarter

sp.boot schreef op zondag 22 april 2018 @ 18:39:
[...]

En ben je er uit gekomen? Of nog niet mee bezig geweest?

Ik ben er al wel mee bezig geweest en ben al verder gekomen. Heb helaas nog niet genoeg tijd gehad om het volledig af te maken. Ik liep even vast bij het adopten via de cli. Omdat een aantal poorten bij het bedrijfs netwerk al geforward waren voor andere doeleinden. Maar Heb nog geen tijd gehad omdat verder te troubleshooten.

zondag 22 april 2018 19:15

Acties:

sp.boot

DrDirtyDevil schreef op zondag 22 april 2018 @ 19:04:
[...]

Ik ben er al wel mee bezig geweest en ben al verder gekomen. Heb helaas nog niet genoeg tijd gehad om het volledig af te maken. Ik liep even vast bij het adopten via de cli. Omdat een aantal poorten bij het bedrijfs netwerk al geforward waren voor andere doeleinden. Maar Heb nog geen tijd gehad omdat verder te troubleshooten.

Je zou de externe poorten af kunnen laten wijken voor Unifi. Bijvoorbeeld poort 8085 extern en intern poort 8080.
Zou moeten werken heb ik zo ook pasgeleden ergens ingericht.

maandag 23 april 2018 13:33

Acties:

DrDirtyDevil

Topicstarter

sp.boot schreef op zondag 22 april 2018 @ 19:15:
[...]

Je zou de externe poorten af kunnen laten wijken voor Unifi. Bijvoorbeeld poort 8085 extern en intern poort 8080.
Zou moeten werken heb ik zo ook pasgeleden ergens ingericht.

hmm dan ga ik dat ook gelijk proberen zodra ik weer de kans krijg. ik stuur zeker nog even een update ik weet alleen nog niet wanneer ivm vakantie.

Vraag

Beste antwoord (via DrDirtyDevil op 21-04-2018 09:39)

Alle reacties