Comment faire ? : Ubiquiti unifi site à site VPN derrière un NAT
- 23/05/20
- Astuces
Nous utilisons les routeurs, les commutateurs et les points d’accès Ubiquiti Unifi. Les passerelles de sécurité USG Ubiquiti UniFi sont donc nos routeurs privilégiés dans nos architectures réseau. Bien que ce soit un excellent produit, l’interface graphique présente certaines limites. Par exemple, lorsque vous essayez de créer un VPN de site à site entre des USG, si l’un d’eux est derrière un autre routeur (NAT), le VPN ne fonctionnera pas. Une simple case sur la page VPN qui vous permet d’entrer votre adresse IP externe résoudrait le problème, mais il n’y en a pas. Je vais donc vous expliquer en détail ci-dessous comment configurer cette option.
Supprimez les balises <> dans les commandes.
Testez la configuration
- Créez votre VPN normalement, comme si vous n’étiez pas derrière un NAT.
- Connectez-vous à l’USG que vous avez derrière un NAT, faites-le en utilisant Putty.
- Saisissez l’adresse IP de l’USG. Pour les informations d’identification, entrez vos informations d’identification SSH que vous trouverez sur votre contrôleur.
- Une fois à l’intérieur, entrez la commande “configure”.
- Saisissez ensuite la commande suivante : “set vpn ipsec site-to-site peer <Adresse IP Distante> authentication id <Adresse IP Publique de ce côté>“.
- Entrez la commande “commit;save;exit”.
- Le VPN devrait commencer à fonctionner après quelques minutes.
Ce changement est temporaire et ne fonctionnera que jusqu’à ce que le USG soit à nouveau approvisionné par le contrôleur.
Pour que cela devienne permanent, vous devez remplacer la configuration sur le contrôleur.
Envoyer la configuration sur le contrôleur
- Connectez vous sur le système de fichier de votre contrôleur: Votre Cloud Key, votre application Windows, etc…
- Dans l’arborescence, trouvez votre dossier de site – /usr/lib/unifi/data/sites/site_ID (Vous pouvez trouver l’ID du site en regardant dans la barre d’adresse du contrôleur lorsque vous êtes sur ce site EG. https://127.0.0.1:8443/manage/s/csb2m37d/dashboard)
- Si vous êtes sur un contrôleur sous Microsoft Windows et que le dossier du site n’apparait pas, vous devez uploader un “Floorplan” pour ce site puis actualiser.
- Téléchargez mon fichier de configuration par ICI et modifiez-le pour qu’il corresponde à votre configuration.
- Changez par l’IP de votre USG distant (celui qui n’est pas derrière la NAT)
- Ensuite, changez par l’adresse IP externe du site derrière le NAT.
- Faites glisser le fichier .JSON dans ce dossier
Vous devez réapprovisionner votre USG et tout devrait fonctionner.
- Assistance 7j/7 8h – 20h
- Interventions sur sites illimitées
- Hotline et télémaintenance illimitées
- Equipe dédiée à votre compte
- Supervision proactive du parc informatique 24h/24, 7j/7
- Installation de nouveaux postes incluse
- Antivirus professionnel inclus
- Conseils et suivi par nos ingénieurs spécialisés
- Nous sommes certifiés ISO9001:2015
- Accéder à un SOC (Security Operations Center) 24j/24, 7j/7 pour une surveillance continue
de
support 7j/7