Ubuquiti USG VPN naar PfSense

Waarom jouw controller niet beschikbaar maken via het publieke internet? Of heb je daar specifieke bezwaren tegen? Dat is een kwestie van port forwarding in plaats van het opzetten en actief houden van een VPN tunnel.

Je kan toch gewoon de USG en de AP een set-inform geven naar jouw IP adres. (of een FQDN unifi.Pimmetje651.nl) in de PFSense geef je aan dat poort 8080 en 3478 open moeten voor het IP van je ouders. Maak op je eigen controller een nieuwe site aan en adopt ze daar.

Als je werkt met een fqdn hoef je bij een ip wissel alleen maar het ip te updaten in je dns settings.

[ Voor 16% gewijzigd door HKLM_ op 22-08-2018 13:51 ]

Pimmetje651 schreef op dinsdag 21 augustus 2018 @ 22:09:
[...]

Nee hoor heb daar geen probleem mee, ook gewoon niet over/ bij nagedacht.
De VPN heb ik sowieso "nodig" ivm een backup sync naar m'n ouders.

@Bart heb je ervaring met deze oplossing ?

Ik gebruik mijn controller alleen intern (beheer alleen m'n eigen on-site devices) dus niet zozeer ervaring met het gebruiken van de controller via internet. Maar hier zijn legio voorbeelden van te vinden op het internet en de post van @HKLM_ beschrijft in het kort precies wat je moet doen.

Je kan een IPSec tunnel opzetten, werkt prima. OpenVPN trouwens ook, dat is aan de pfSense kant makkelijker; de USG kant kan je in de help docs vinden: https://help.ubnt.com/hc/...onfigure-Site-to-Site-VPN

[ Voor 69% gewijzigd door johnkeates op 22-08-2018 16:14 ]

Ik heb bij m'n ouders ook Ubiquiti AP's en de controller bij mij thuis draaien.
Heb een simpele port forward, want het verkeer is encrypted. Uiteraard wel gezorgd dat alleen het IP-adres van m'n ouders erbij kan en niet een port forward voor het hele WWW

[ Voor 17% gewijzigd door ThinkPad op 22-08-2018 16:33 ]

Pimmetje651 schreef op donderdag 23 augustus 2018 @ 19:45:
[...]

En dan ook met een usg aan 1 kant en andere router/firewall aan de andere kant ?

Aan beide kanten een Edgerouter X, maar dat maakt niet uit, had elke willekeurige router/firewall kunnen zijn.
Zoals ik zei gebruik ik een simpele port forward, met de toevoeging dat alleen één bepaald IP-adres erbij mag.

Een IPSEC tunnel zou je waarschijnlijk in 10 minuten up moeten kunnen hebben. OpenVPN is veel meer klooien met certificaten enzo.

Bij IPSEC is het redelijk recht toe recht aan, aan beide kanten dezelfde opties gebruiken. Peer IP is het publieke IP van de overkant en remote subnet is de IP reeks van het interne netwerk aan de overkant.

Probeer waar het kan AES256 te gebruiken (Kijk even of de USG dit qua perfomance kan redden anders AES128), DH Group 14 of hoger en aangezien de USG geen SHA256 ondersteund zit je vast aan SHA1. Geen MD5 meer gebruiken!
Vergeet niet op beide routers ook een firewall rule te maken die verkeer over de VPN toestaat! PFSense doet dit in ieder geval niet automatisch.

Om geen routing issues te krijgen dienen de beide locaties wel verschillende ip reeksen intern te gebruiken. En omnummeren op 1 locatie, mochten ze beide hetzelfde zijn is nog altijd beter dan NAT moeten gebruiken.

[ Voor 24% gewijzigd door Plopeye op 26-10-2018 13:49 ]

Nog even samen gevat: (zodat ook anderen nog iets aan de informatie in dit draadje hebben)

De USG ontbeert de mogelijkheid om de Phase1 en Phase2 van de IPSEC verbinding separaat in te stellen.
Ik heb toen de aanname gedaan dat hij dus bij Phase1 en Phase2 dezelfde settings zou gebruiken wat betreft de encryption en hashing. Dit bleek te werken.

Aan de PFSense kant wel een firewall regel om verkeer over IPSEC toe te staan, in de USG geen firewall aanpassingen hoeven doen. IPSEC is daar ook niet zichtbaar als interface waar je regels op kan zetten.

Eindconclusie van mijn kant: USG op zich een heel mooi product maar op het gebied van VPN tunnels ontbreekt een hoop info en instelmogelijkheden in de interface.
Ook ontbreek de SHA256 mogelijkheid bij de hashing mogelijkheid en wordt MD5 welke serieus lek is nog wel aangeboden. Dit is wat mij betreft toch echt een serieus puntje wat Ubiquiti op dient te pakken. Dit lijkt mij firmware technisch op te lossen.

@Pimmetje651 Bedankt voor de vermelding!

[ Voor 17% gewijzigd door Plopeye op 15-02-2019 14:20 ]