Bem-vindo à Comunidade UBNT

VPN não funcionando (UDM + USG)

Boa noite....

Sou novo aqui no grupo... e procuro por ajuda para uma dificuldade que estou tendo e espero que esse seja o local correto para postar. Se não for, me desculpem

Seguinte...
Tenho 2 escritórios que estavam interconectados por uma VPN ponto a ponto (configurei no Windows uma conexão em cada máquina e o usuário tem que fazer a conexão sempre que precisar utilizar a rede).
Minha estrutura era um USG com uma CK2 no endereço principal e um roteador da ASUS no endereço secundário. E essa configuração funcionou por alguns anos.
Porém resolvi modernizar minha estrutura e adquiri um UDM Pro (gostei da ideia de nao precisar do CK2 e ainda controlar umas câmeras) para a rede principal e levei o USG para a rede secundária, uniformizando tudo dentro da Ubiquiti. 
Só que agora as coisas não funcionam mais. Meu usuários em home Office conseguem se conectar à VPN criada no UDM, mas os usuários do escritorio secundário (onde esta o USG) não conseguem se conectar ao UDM.
Notei que uma conexão consigo fazer. Mas ao tentar a segunda ela derruba a primeira que não volta a funcionar. Então na prática apenas uma pessoa pode se conectar à VPN.
Para contornar isso, tentei criar uma conexão VPN Site-To-Site usando o UDM Pro e o USG. Mas não tive sucesso (Não sei se fiz algo errado). Tenho 1 link da Vivo com IP Fixo em cada ponta para não ter bloqueio da operadora.
Um técnico especialista UBNT me disse que VPN ponto a ponto ou site to site só funcionaria se todos os meus equipamentos estivessem na mesma controladora. Seja no CK2 ou na controladora virtual. O que achei meio estranho, visto que antes funcionava com um roteador da ASUS e um USG.
A menos que o UDM Pro tenha essa limitação, coisa que não acredito.
Será que alguém poderia me dar uma luz de como fazer essa conexão?
Obrigado
Rotulado:

Comentários

  • UI-SamuelUI-Samuel 1376 Pontos
    O UDM-PRO é a controladora do próprio site (único) e o recurso de VPN automática requer que dois USGs estejam adotados em sites diferentes da mesma controladora. No momento a VPN entre 2 UDM-PRO deve ser feita pela opção manual IPSec, mas está em desenvolvimento o recurso de VPN automática para múltiplos UDM-PRO gerenciados via nuvem híbrida. Você pode fazer VPN pela opção manual IPSec entre UDM-PRO com qualquer outro roteador, seja USG, EdgeRouter ou caixa de outros fabricantes.
  • FlavioHigutiFlavioHiguti 0 Pontos
    editado agosto 28
    Então entre um site com UDM Pro e outro site com USG nao funciona?

    Outra coisa..
    Mas pelo que entendi o UDM PRO tem uma CK embutida para o site. E no segundo site, alem do USG tb preciso de um CK.
    Nao é que o UDM Pro pode ser controladora de tudo entao.

    Alias... eu tenho 3 escritórios.... em breve o terceiro tb queria unificar... la tenho um USG.
    Mas por hora o importante é conectar os dois primeiros.
  • UI-SamuelUI-Samuel 1376 Pontos
    Funciona normalmente, basta configurar uma VPN IPSec Manual nos dois lados: USG e UDM. 

    https://help.ui.com/hc/en-us/articles/360002426234-UniFi-USG-UDM-VPN-How-to-Configure-Site-to-Site-VPNs#h_01F6HS5TFCYR6SDRB0CG9D09JH

    Observação: O UDM não pode ser controladora de outros USG, já que ele é o roteador do próprio site (único) que controla. 
    FlavioHiguti
  • FlavioHigutiFlavioHiguti 0 Pontos
    editado agosto 30
    Obrigado pela resposta Samuel.

    Aproveitando..

    Vocês nao indicam alguem que sabe mexer com o UDM Pro?
    O tecnico que fez minha rede (que por sinal é certificado Ubiquiti), disse que o UDM é bugado e que eu deveria deixar ele só pra cuidar de camera (porque ja comprei) e usar roteador mikrotik. Eu acho pouco crível que a Ubiquiti lance um aparelho nessa situação.

    Hoje uma pessoa que esta em home e que conseguia usar a VPN não esta conseguindo acesso mais (o que reforça a ideia do UDM bugado).

    E ainda sobre o UDM Pro, ele tem algum limite de numero de conexões?
    E porque sera que o local onde tenho o USG, somente uma pessoa consegue conexão?
    Eu posso ter as duas configurações?
    O VPN Site to Site entre o UDM e o USG e ainda ter as demais que ja estao em uso hj? (usuario-UDMPro)?

    Obrigado novamente
  • UI-SamuelUI-Samuel 1376 Pontos
    1) Não existem recursos "bugados" no UDM-PRO. Existem aqueles que não entendem a proposta do equipamento e pensam nele como um roteador convencional, algo que ele não é. A diferença dele para outros roteadores convencionais é que o UDM e o USG são semi-automáticos, projetados para fácilidade com gerência via software de maneira integrada na aplicação UniFi Network, o que faz deles equipamentos menos flexíveis em vários aspectos. Já outros roteadores convencionais são gerenciados de maneira standalone via GUI com possibilidade de recursos avançados via CLI, por exemplo como ocorre com a família de roteadores EdgeRouter. É justamente para atender esses dois públicos diferentes que a Ubiquiti possui duas famílias diferentes de roteadores em seu portfólio, conforme explico no artigo abaixo.

    http://bit.ly/USGxER 

    2) O UDM-PRO é plataforma perfeita para obter máxima integração do ecossistema UniFi, principalmente quando são usados os ativos de redes em conjunto com câmeras, telefones e controle de acesso. Se você já po6ssuo câmeras UniFi, então o UDM-PRO é a controladora ideal para integrar toda a gerência da sua infraestrutura de maneira simples via nuvem híbrida da Ubiquiti. 

    http://bit.ly/UniFi-UDM-Pro 

    3) Todo hardware tem um limite de conexões quando seu processador e memória operam no limite. No UDM-PRO você pode receber múltiplas conexões VPN entrantes. 
    FlavioHiguti
  • FlavioHigutiFlavioHiguti 0 Pontos
    editado agosto 31
    UI-Samuel disse:
    1) Não existem recursos "bugados" no UDM-PRO. Existem aqueles que não entendem a proposta do equipamento e pensam nele como um roteador convencional, algo que ele não é. A diferença dele para outros roteadores convencionais é que o UDM e o USG são semi-automáticos, projetados para fácilidade com gerência via software de maneira integrada na aplicação UniFi Network, o que faz deles equipamentos menos flexíveis em vários aspectos. Já outros roteadores convencionais são gerenciados de maneira standalone via GUI com possibilidade de recursos avançados via CLI, por exemplo como ocorre com a família de roteadores EdgeRouter. É justamente para atender esses dois públicos diferentes que a Ubiquiti possui duas famílias diferentes de roteadores em seu portfólio, conforme explico no artigo abaixo.

    http://bit.ly/USGxER 

    2) O UDM-PRO é plataforma perfeita para obter máxima integração do ecossistema UniFi, principalmente quando são usados os ativos de redes em conjunto com câmeras, telefones e controle de acesso. Se você já po6ssuo câmeras UniFi, então o UDM-PRO é a controladora ideal para integrar toda a gerência da sua infraestrutura de maneira simples via nuvem híbrida da Ubiquiti. 

    http://bit.ly/UniFi-UDM-Pro 

    3) Todo hardware tem um limite de conexões quando seu processador e memória operam no limite. No UDM-PRO você pode receber múltiplas conexões VPN entrantes. 

    Por isso que queria saber se vocês indicam algum tecnico, pois se o UDM Nao esta bugado, a pessoa que me atende que nao entende muito ou quer me vender equipamento que não preciso.

    Sobre o acesso a VPN, minha empresa é pequena e com certeza o UDM Pro tem muito mais recurso que necessito.
    Antes do UDM Pro usava um USG e um roteador domestico Asus.
    Necessito de 4 acessos VPN para pessoas em home office e um site-to-site com mais 4/5 estações de trabalho.

    2 - Sim.. Tudo que tenho esta dentro do ecosistema UniFi (APs, UDM Pro, Cameras). Somente telefone que por enquanto não, pois uso DDR e não telefonia IP.


  • Então...
    Chamei um tecnico especialista em ubiquiti e ele tb nao sabe porque nao esta funcionando minha VPN.

    Alguns funcionários se conectam de suas casas... 
    Outros conseguiam, agora nao conseguem mais, ou conseguem somente pelo 4G e nao mais pela banda larga.

    O tecnico colocou meu USG direto na controladora da nuvem dele, mas nao conseguimos acessar o UDM.

    Nao acredito que o que esteja tentando fazer aqui seja complexo.
    Como disse anteriormente, funcionava com roteador caseiro (asus) + USG.

    Antigamente todas minhas conexoes eram ponto a ponto (PPTP).

    Com o UDM estou tendo que usar o IPSEC

    Agora que estou com USG+UDM nao funciona?
  • Qual o risco se eu desligar o firewall ou recursos de segurança do UDM?
    Ja estou quase desistindo desse equipamento
  • UI-SamuelUI-Samuel 1376 Pontos
    Os mesmos riscos de desligar qualquer firewall, você ficará totalmente vulnerável porque perderá todos os bloqueios automáticos de tráfego externo entrante na WAN que não tenham sido inciados previamente pela LAN. 
  • FlavioHigutiFlavioHiguti 0 Pontos
    editado setembro 11
    Qual a limitação do VPN do UDM?
    Fiz um teste aqui agora.... Usando um segundo link que tenho, tentei conectar 2 laptops à VPN do UDM.
    O primeiro conecta. Ao tentar o segundo, a conexão não fecha e ele derruba o primeiro enquanto esta tentando.
    Quando o segundo nao fecha a conexão, o primeiro volta a ficar com a conexao ativa.

    Entao me parece que o UDM nao aceita 2 conexões do originadas do mesmo IP.
    Existe essa limitação?

    E acessos externos de outros IPs, tem limite de quantas conexoes entrando por VPN.

    Obrigado novamente
  • UI-SamuelUI-Samuel 1376 Pontos
    Não existe limite em software de diferentes conexões externas entrantes no servidor VPN do UDM, então o limite prático será o hardware (memória/processador). A limitação que existe no software é que só pode haver uma conexão por IP de origem. 
  • Fiz um outro teste...
    Peguei 3 notebooks... Cada um em um celular...
    Só 2 conectaram, mas só um navegou
  • Me ocorreu uma coisa lendo o link que vc mandou.
    https://help.ui.com/hc/en-us/articles/360002426234-UniFi-USG-UDM-VPN-How-to-Configure-Site-to-Site-VPNs#h_01F6HS5TFCYR6SDRB0CG9D09JH

    As configurações de VPN Site-to-Site tenho que fazer no servidor VPN, no meu caso o UDM, certo?
  • UI-SamuelUI-Samuel 1376 Pontos
    Toda VPN site-to-site é configurada em ambos os roteadores/pontos em que será fechado o túnel. 
  • Vou tentar colocar essa nuvem hibrida para meu tecnico.
    Ele consegue mexer em tudo do UDM se estiver na nuvem?
  • UI-SamuelUI-Samuel 1376 Pontos
    Enquanto a WAN estiver conectada, sim. 
Entre ou Registre-se para fazer um comentário.