UniFi USG — Удаленные пользователи — виртуальная частная сеть (VPN) с локальными пользователями.

Описано, как на USG сконфигурировать виртуальную частную сеть VPN для удаленных пользователей, чтобы разрешить клиентам доступ к корпоративной локальной сети.
Реализация

Вследствие особенностей внутреннего устройства этой функции, для безопасной аутентификации пользователей ее работа должна поддерживаться предустановкой RADIUS-сервера. Однако, на USG можно создать локальных пользователей и обойти требование RADIUS (но Вам лучше этого не делать). Эта возможность оставлена для удобства и тестирования. Мы НЕ предполагаем, что она будет использоваться при развертывании реальных сетей. 

Чтобы достичь поставленной цели применим специальный прием. Рассматриваемая функция работает, но должна правильно применяться. Идея состоит в том, чтобы вручную сгенерировать соответствующую конфигурацию VPN локальных пользователей и затем подключить ее к USG. Чтобы сделать это, Вам потребуется вручную создать файл «config.gateway.json» , а затем поместить его в папку «$UniFi_Base/data/sites/$site_id/».. 

Местонахождение папки см. ниже:
Windows: «%USERPROFILE%\Ubiquiti UniFi\data\sites\»
Mac: /Applications/UniFi.app/Contents/Resources/data/sites/
Linux: /usr/lib/unifi/data/sites/

Для работы удаленных пользователей через VPN с локальными пользователями, Вам потребуется создать файл «config.gateway.json» со следующим содержимым:

{ «vpn»: {

«pptp»: {

«remote-access»: {

«authentication»: {

«local-users»: {

«username»: {

«user1»: {

«password»: «user1password» },

«user2»: {

«password»: «user2password» }

}

},

«mode»: «local»,

}

}

}

}

}

Приведенная выше конфигурация создаст двух локальных пользователей (‘user1’ и ‘user2’) для соединения VPN. Вы можете изменить это, как требуется и создать большее число пользователей (сколько требуется). При добавлении пользователя используйте формат, указанный ниже; поместите пользователя между user1 и user2.

«user3»: { «password»: «user3password»

},

Следующий шаг — вручную включите PROVISION для USG.  Provision (поддержание работоспособности) означает, что когда изменены некоторые конфигурации, контроллер не сразу будет отрабатывать их, а только когда обнаружит это; кроме того, он активно не контролирует существование файла .json . Поэтому требуется вручную проинструктировать контроллер выполнить операцию поддержания работоспособности, чтобы измененные конфигурации могли быть объединены с существующими. 

Имеется множество способов сделать это. Один из самых простых способов — создать VPN удаленных пользователей в контроллере, в разделе Settings>Networks (Настройки>Сети). Вам необходимо создать эту сеть, иначе USG войдет в цикл поддержания работоспособности. В качестве информации RADIUS-сервера используйте IP-адрес 127.0.0.1 и пароль secret123. Данная информация является безопасной информацией «фиктивного сервера».  

Если Вы уже создали VPN удаленных пользователей ранее, до создания и заполнения пользователями файла onfig.gateway.json, то Вы можете пробросить порт, а затем удалить его, чтобы запустить «поддержание работоспособности». Есть и другие способы, но конечной их целью также является включение режима «поддержания работоспособности». 

Теперь вы можете протестировать соединения VPN с созданными учетными записями.

Примечания:

  • VPN удаленных пользователей с RADIUS НЕ работает, если введены аутентификационные данные локального пользователя.

  • Проверить содержимое своего файла json Вы можете с помощью одной из доступных онлайн-утилит. Используя поиск Google, отыщите утилиту «json validator».

  • Требуется, чтобы Вы создали VPN удаленных пользователей в контроллере, в разделе Settings>Networks (Настройки>Сети). Будет запрошена информация для RADIUS-сервера. Введите фиктивную информацию, подобную той, что приведена выше. Если Вы не создадите эту подсеть, то USG войдет в цикл поддержания работоспособности.

 

Все авторские права и другие права интеллектуальной собственности на данные материалы являются собственностью Компании «Рутстор» (ROOTSTORE). При использовании данного материала ссылка на сайт rootstore.ru обязательна.

Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля
Заказать звонок



Купить в 1 клик