Bem-vindo à Comunidade UBNT

VPN - Matriz e Filial Manual IPSec

Olá pessoal.
Conseguimos criar uma VPN site to site com IPSec Auto. Matriz e Filial contavam com ip fixo.
Agora temos uma filial cujo IP não é fixo e o equipamento está atrás de NAT. Mesmo abrindo e direcionando as portas UDP 500 e 4500, a VPN não conecta.
Na matriz temos um USG 4P e na filial USG 3P.
Alguma configuração adicional necessária?
Seguimos esses passos: https://help.ubnt.com/hc/en-us/articles/360002426234-UniFi-USG-VPN-How-to-Configure-Site-to-Site-VPN#2
Rotulado:

Comentários

  • UI-SamuelUI-Samuel 1278 Pontos
    Tem dois pré-requisitos de boas práticas para VPN Site-to-Site que vocês não estão atendendo:

    1) Ter IP fixo nas pontas
    2) Os roteadores têm que estar na borda recebendo a conexão da Internet

    O ítem 1 até pode ser contornado, principalmente através da opção Auto IPSec VTI do UniFi Controller que permite fazer isso automaticamente. No entanto, é pré-requisito para esse tipo de VPN (Auto) funcionar que ambos os USG tenham um endereço IP público, ou seja, ambos devem estar na borda. 

    Você poderia resolver seu problema configurando uma VPN IPSec Manual que permite o port-forwarding em conjunto com algum serviço de DDNS para associar/atualizar dinamicamente o endereço IP da ponta, mas definitivamente esse não seria um método muito profissional porque serviços DDNS não são confiáveis. A maneira correta do ponto de vista de boas práticas seria atender os dois pré-requisitos listados anteriormente. O argumento do "custo maior" do link com IP fixo na filial não é muito válido, visto que uma VPN custa infinitamente menos do que o aluguel de um link WAN.
  • Configurei o equipamento com IP válido e funcionou.
    Inicialmente testei com AutoVPN, mas sem sucesso. Quando configurei manual, conectou na hora. 
    Obrigado pelos esclarecimentos!
    UI-Samuel
Entre ou Registre-se para fazer um comentário.