USG ipsec VPN niet automatisch

blaatpraat
Elite Poster
Elite Poster
Berichten: 956
Lid geworden op: 10 Jan 2014
Bedankt: 73 keer
Uitgedeelde bedankjes: 28 keer

USG ipsec VPN niet automatisch

Berichtdoor blaatpraat » 06 Aug 2019, 21:16

Ik heb een Unifi Security Gateway, en die heeft een ipsec VPN naar een AWS VPC.
Deze tunnel werkt perfect.

Nu is het probleem: als de USG aangezet wordt, komt de tunnel niet op.
Ik moet effectief SSH'en naar het toestel en "sudo ipsec up <naam>" uitvoeren voordat de tunnel gefixt wordt.

Die tunnel heeft als bedoeling dat ik vanop afstand toegang heb tot het netwerk, maar op de plaats waar dit netwerk staat zit ik achter NAT, en geen mogelijkheid tot port forwarden, dus laat ik de USG de VPN maar opbouwen in plaats van omgekeerd.
Aangezien ik normaal niet meer op die locatie zal komen, en ik niet kan garanderen dat er daar nooit spanningsproblemen zullen zijn, zou het toch wel ideaal zijn als een USG de tunnel automatisch zou opstarten.

Iemand een idee?

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3292
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 146 keer
Uitgedeelde bedankjes: 50 keer
Contact:

Re: USG ipsec VPN niet automatisch

Berichtdoor Sasuke » 06 Aug 2019, 21:23

Is het niet zo dat die tunnel pas auto established wanneer er traffiek op de policy komt ? Doe eens een continuous ping naar iets aan de andere kant, reboot dan gelijkertijd de USG. Als de tunnel dan nog niet online komt schort er iets aan de config of heb je een of andere bug
Logic - The art of being wrong with confidence !
Afbeelding

blaatpraat
Elite Poster
Elite Poster
Berichten: 956
Lid geworden op: 10 Jan 2014
Bedankt: 73 keer
Uitgedeelde bedankjes: 28 keer

Re: USG ipsec VPN niet automatisch

Berichtdoor blaatpraat » 06 Aug 2019, 21:26

Hmmmz, juist ja, dat heb ik ooit eens gelezen toen ik mij wou verdiepen in VPN's voor de Unifi reeks.

Eens zien wat ik kan gebruiken om te pingen, enige waar ik zekerheid over kan hebben in dit geval, zal de USG zelf zijn, of een Unifi 8p switch, geen end-device alvast.
Eens zien of ik die switch niets laten uitvoeren als heartbeat.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2271
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 89 keer
Uitgedeelde bedankjes: 202 keer
Contact:

Re: USG ipsec VPN niet automatisch

Berichtdoor devilkin » 07 Aug 2019, 08:12

Zie ook dat je op een recente firmware zit, in het verleden zijn er wel al eens vodden mee geweest...

Sent from my ONEPLUS A6003 using Tapatalk
Orange Love Trio -- using Ubiquiti USG-3
Orange Dolphin & Proximus (corporate) -- Using OnePlus 6 (ROM: Stock)

iamborg
Pro Member
Pro Member
Berichten: 243
Lid geworden op: 23 Dec 2005
Bedankt: 39 keer
Uitgedeelde bedankjes: 53 keer

Re: USG ipsec VPN niet automatisch

Berichtdoor iamborg » 07 Aug 2019, 08:38

De USG heeft standaard geen DPD (dead peer detection). Of tenminste, die is er wel maar kan je niet in de GUI instellen.
De DPD zorgt ervoor dat wanneer om één of andere reden de tunnel down gaat, de USG deze automatisch terug opbouwt. Dit zorgt ervoor dat je tunnel steeds open blijft.

Je kan het config.gateway.json bestand aanpassen en daar de DPD in toevoegen.

Meer info hier: https://help.ubnt.com/hc/en-us/articles ... -Detection

Greetz

P.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7342
Lid geworden op: 28 Jan 2012
Bedankt: 540 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 120 keer

Re: USG ipsec VPN niet automatisch

Berichtdoor ITnetadmin » 07 Aug 2019, 18:20

Van wat ik terugvind, is er geen keepalive op de usg.
Maw de tunnel sterft en bouwt terug op als er traffic is.
Dus ofwel een manier vinden om een keepalive te doen, ofwel een toestel erachter plaatsen dat af en toe die keepalive doet, ofwel een andere router.

iamborg
Pro Member
Pro Member
Berichten: 243
Lid geworden op: 23 Dec 2005
Bedankt: 39 keer
Uitgedeelde bedankjes: 53 keer

Re: USG ipsec VPN niet automatisch

Berichtdoor iamborg » 07 Aug 2019, 19:56

@ITnetadmin: Keepalive of DPD... What's in a name. Het resultaat is hetzelfde. Mocht de tunnel uitvallen, wordt die terug opgebouwd (hoewel keepalive een iets andere werking heeft, die gooit gewoon constant traffic op de lijn om zo open te houden)

Oplossing staat hier al gegeven: config.gateway.json aanpassen. Keepalive (of DPD) zit er wél in, je kan het alleen niet instellen via de GUI.

P.

blaatpraat
Elite Poster
Elite Poster
Berichten: 956
Lid geworden op: 10 Jan 2014
Bedankt: 73 keer
Uitgedeelde bedankjes: 28 keer

Re: USG ipsec VPN niet automatisch

Berichtdoor blaatpraat » 11 Aug 2019, 15:01

DPD heeft helaas niet geholpen.
Wellicht werkt dit wel als de tunnel sluit om zichzelf te herstellen, maar niet als het device boot.

Ik heb uiteindelijk een manier gevonden om de gateway te laten pingen:

Scriptje gemaakt, en opslagen in de /config folder:

Code: Selecteer alles

#!/bin/bash

/bin/ping -c 3 -W 2 192.168.150.94 1>/dev/null 2>&1

if [ $? -ne 0 ]; then
        echo "Failed"
        /bin/vbash -ic 'restart vpn'
fi


En met volgende 2 commando's (die je ook in de config json kan opslaan, en zo kan laten persisteren) wordt het getriggerd:
set system task-scheduler task vpncheck executable path /config/scripts/vpncheck.sh
set system task-scheduler task vpncheck interval 1m


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten