no way to compare when less than two revisions
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
— | netzwerk:ubiquity:usg [2022/07/01 20:36] (aktuell) – angelegt - Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Usg ====== | ||
+ | Das **U**nified **S**ecurity **G**ateway ist das Firewall/ | ||
+ | ===== Konsole ===== | ||
+ | Verbinden per RJ45 to DB9 Kabel mit folgenden Einstellungen: | ||
+ | * Baud rate 115200 | ||
+ | * Data bits 8 | ||
+ | * Parity NONE | ||
+ | * Stop bits 1 | ||
+ | * Flow control NONE | ||
+ | ===== IP-Adresse setzen ===== | ||
+ | Per Konsole oder SSH zur USG verbinden (Login ubnt:'' | ||
+ | - '' | ||
+ | - '' | ||
+ | - '' | ||
+ | - '' | ||
+ | - '' | ||
+ | - '' | ||
+ | - ping neue IP-Adresse | ||
+ | |||
+ | ===== Custom DNS Hosts ===== | ||
+ | * dnsmasq \\ Die Datei ''/ | ||
+ | set system static-host-mapping host-name < | ||
+ | commit; | ||
+ | * default dns server \\ Die eigenen Host Einträge müssen in der '' | ||
+ | |||
+ | |||
+ | ===== DHCP ===== | ||
+ | * Leases anzeigen <code bash> | ||
+ | * alle Leases bereinigen <code bash> | ||
+ | * bestimmte Leas bereinigen <code bash> | ||
+ | |||
+ | ===== NAT ===== | ||
+ | Hier ein Beispiel für Source-NAT (DAs LAN soll mit dem WAN-Interface eth0 Maskiert werden, wenn die Zieladresse 192.168.175.1 erreicht werden soll) | ||
+ | < | ||
+ | set service nat rule 6500 description " | ||
+ | set service nat rule 6500 type masquerade | ||
+ | set service nat rule 6500 log disable | ||
+ | set service nat rule 6500 destination address 192.168.175.1 | ||
+ | set service nat rule 6500 outbound-interface eth0 | ||
+ | set service nat rule 6500 protocol all | ||
+ | set service nat rule 6500 source group network-group " | ||
+ | commit; | ||
+ | |||
+ | Weiter unten sieht man auch die Konfiguration in der '' | ||
+ | ===== Konfiguration ausgeben ===== | ||
+ | <code bash> | ||
+ | |||
+ | ===== Custom JSON-Config ===== | ||
+ | In der Datei '' | ||
+ | Möchte man sehen wie die aktuelle Konfiguration auf der USG (also quasi die aktuelle config.gateway.json der USG) aussieht, so nutzt man den o.g. " | ||
+ | Beispiele und Quelle: [[https:// | ||
+ | Einige Konfigurationen können noch nicht im Unifi-Controller gemacht werden, diese müssen dann in der JSON-Datei eingerichtet werden. | ||
+ | **ACHTUNG**: | ||
+ | Wurde die '' | ||
+ | Daher die Datei immer vom JSON-Format her prüfen, z.B. hier [[https:// | ||
+ | Damit die Konfiguration übernommen wird, muss im Controller die Provisionierung der USG erzwungenwerden. | ||
+ | <code bash> | ||
+ | chmod abc. <UNIFI BASE>/ | ||
+ | Inhalt: | ||
+ | <code json>{ | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | "< | ||
+ | " | ||
+ | " | ||
+ | "< | ||
+ | ], | ||
+ | " | ||
+ | "< | ||
+ | ] | ||
+ | }, | ||
+ | "< | ||
+ | " | ||
+ | "< | ||
+ | ] | ||
+ | }, | ||
+ | "< | ||
+ | " | ||
+ | "< | ||
+ | ] | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | }, | ||
+ | " | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | }</ | ||
+ | |||
+ | ===== VPN ===== | ||
+ | Die USG bietet von haus aus eine Verbindung zu Remote Usern per L2TP/IPSec an. | ||
+ | Hier eine Konfiguration für die USG, welche über einen anderen Router ins Internet gelangt (NAT-T). | ||
+ | Generell sollte die Konfiguration auch mit einer direkten Verbindung zum Internet laufen. | ||
+ | |||
+ | ==== Konfiguration auf USG ==== | ||
+ | - **Radius**: Settings: | ||
+ | - Radius einschalten | ||
+ | - " | ||
+ | - Alles andere auf Default lassen | ||
+ | - **Radius-User** (Benutzer für VPN-Verbindung): | ||
+ | - Benutzernamen und Password vergeben (**ACHTUNG**: | ||
+ | - VLAN-ID angeben in dem die VPN-Verbindung landen soll (nur wenn mit VLANs gearbeitet wird) | ||
+ | - Tunnel Type auf " | ||
+ | - Tunnel Medium Type auf " | ||
+ | - **Radius-Profil**: | ||
+ | - im " | ||
+ | - **VPN-Verbindung**: | ||
+ | - Neuen VPN Server erstellen | ||
+ | - VPN Type "L2TP Server" | ||
+ | - Pre-Shared Key eintragen | ||
+ | - Gateway IP / Subnet vergeben | ||
+ | - Radius Profil auf " | ||
+ | - MS-CHAP-v2 aktivieren | ||
+ | |||
+ | ==== Verbindung von Android aus ==== | ||
+ | - neue VPN-Verbindung erstellen | ||
+ | - Typ auf " | ||
+ | - Serveradresse auf öffentliche IP stellen | ||
+ | - L2TP-Schlüssel leer lassen | ||
+ | - IPSec-ID leer lassen | ||
+ | - vorinstallierter IPSec-Schlüssle auf " | ||
+ | - Nutzername auf RADIUS Benutzer stellen | ||
+ | - Passwort auf das Passwort des RADIUS Benutzer stellen | ||
+ | |||
+ | ==== Verbindung von Ubuntu aus ==== | ||
+ | Gestestet mit Ubuntu 18.04.4 LTS: | ||
+ | - VPN-Tunnel Software installieren und Betriebssystem danach neustarten <code bash>apt install network-manager-l2tp-gnome</ | ||
+ | - VPN-Verbindung vom Typ "Layer 2 Tunneling Protocol (L2TP)" | ||
+ | - Namen nach belieben vergeben | ||
+ | - bei Gateway die Öffentliche IP angeben | ||
+ | - User auf RADIUS Benutzer stellen (ist Case Sensitive) | ||
+ | - "IPsec Settings" | ||
+ | - " | ||
+ | - Gateway ID leer lassen wenn USG hinter NAT-Router | ||
+ | - Pre-shared key auf " | ||
+ | - unter Advanced einen Phase 1/2 Algorithmus angeben, welchen die USG anbietet (siehe: ''/ | ||
+ | - unter "PPP Settings" | ||
+ | - Sicherheit auf " | ||
+ | - VPN-Verbindung speichern | ||
+ | |||
+ | ==== IPsec zwischen USG und Fritzbox ==== | ||
+ | **Funktioniert nicht, da auf der USG keine Hostnames, sondern nur feste IP-Adressen verwendet werden dürfen!** | ||
+ | |||
+ | Auf der USG und Fritzbox werden jeweils eine manuelle Konfiguration installiert. Die Konfiguration mittels GUI ist nicht möglich. | ||
+ | |||
+ | **Fritzbox** '' | ||
+ | < | ||
+ | connections { | ||
+ | enabled = yes; | ||
+ | conn_type = conntype_lan; | ||
+ | name = "< | ||
+ | | ||
+ | reject_not_encrypted = no; | ||
+ | dont_filter_netbios = yes; | ||
+ | localip = 0.0.0.0; | ||
+ | local_virtualip = 0.0.0.0; | ||
+ | remoteip = 0.0.0.0; | ||
+ | remote_virtualip = 0.0.0.0; | ||
+ | remotehostname = "< | ||
+ | keepalive_ip = 0.0.0.0; | ||
+ | localid { | ||
+ | fqdn = "< | ||
+ | } | ||
+ | remoteid { | ||
+ | fqdn = "< | ||
+ | } | ||
+ | mode = phase1_mode_idp; | ||
+ | phase1ss = " | ||
+ | keytype = connkeytype_pre_shared; | ||
+ | key = "< | ||
+ | cert_do_server_auth = no; | ||
+ | use_nat_t = yes; | ||
+ | use_xauth = no; | ||
+ | use_cfgmode = no; | ||
+ | phase2localid { | ||
+ | ipnet { | ||
+ | ipaddr = < | ||
+ | mask = 255.255.255.0; | ||
+ | } | ||
+ | } | ||
+ | phase2remoteid { | ||
+ | ipnet { | ||
+ | ipaddr = < | ||
+ | mask = 255.255.255.0; | ||
+ | } | ||
+ | } | ||
+ | phase2ss = " | ||
+ | accesslist = "< | ||
+ | } | ||
+ | ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0: | ||
+ | "udp 0.0.0.0: | ||
+ | }</ | ||
+ | |||
+ | **USG** wird in die Standardkonfigurationsdatei hinzugefügt ''/ | ||
+ | < | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | ] | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | "< | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | }, | ||
+ | " | ||
+ | ... | ||
+ | } | ||
+ | }</ | ||
+ | ==== Troubleshooting ==== | ||
+ | * VPN-Konfiguration und -Verbindungen auf USG einsehen und kontrollieren | ||
+ | * Konfiguration ''/ | ||
+ | * Status von Strongswan anzeigen '' | ||
+ | * bestehende VPN-Verbindungen anzeigen '' | ||
+ | * Verbindungsanfragen zeigen | ||
+ | * auf Netzwerk '' | ||
+ | * auf Strongswan '' |