USG ipsec VPN niet automatisch

blaatpraat · 06 aug 2019, 21:16

Ik heb een Unifi Security Gateway, en die heeft een ipsec VPN naar een AWS VPC.
Deze tunnel werkt perfect.

Nu is het probleem: als de USG aangezet wordt, komt de tunnel niet op.
Ik moet effectief SSH'en naar het toestel en "sudo ipsec up <naam>" uitvoeren voordat de tunnel gefixt wordt.

Die tunnel heeft als bedoeling dat ik vanop afstand toegang heb tot het netwerk, maar op de plaats waar dit netwerk staat zit ik achter NAT, en geen mogelijkheid tot port forwarden, dus laat ik de USG de VPN maar opbouwen in plaats van omgekeerd.
Aangezien ik normaal niet meer op die locatie zal komen, en ik niet kan garanderen dat er daar nooit spanningsproblemen zullen zijn, zou het toch wel ideaal zijn als een USG de tunnel automatisch zou opstarten.

Iemand een idee?

Sasuke · 06 aug 2019, 21:23

Is het niet zo dat die tunnel pas auto established wanneer er traffiek op de policy komt ? Doe eens een continuous ping naar iets aan de andere kant, reboot dan gelijkertijd de USG. Als de tunnel dan nog niet online komt schort er iets aan de config of heb je een of andere bug

blaatpraat · 06 aug 2019, 21:26

Hmmmz, juist ja, dat heb ik ooit eens gelezen toen ik mij wou verdiepen in VPN's voor de Unifi reeks.

Eens zien wat ik kan gebruiken om te pingen, enige waar ik zekerheid over kan hebben in dit geval, zal de USG zelf zijn, of een Unifi 8p switch, geen end-device alvast.
Eens zien of ik die switch niets laten uitvoeren als heartbeat.

07 aug 2019, 08:12

Zie ook dat je op een recente firmware zit, in het verleden zijn er wel al eens vodden mee geweest...

Sent from my ONEPLUS A6003 using Tapatalk

iamborg · 07 aug 2019, 08:38

De USG heeft standaard geen DPD (dead peer detection). Of tenminste, die is er wel maar kan je niet in de GUI instellen.
De DPD zorgt ervoor dat wanneer om één of andere reden de tunnel down gaat, de USG deze automatisch terug opbouwt. Dit zorgt ervoor dat je tunnel steeds open blijft.

Je kan het config.gateway.json bestand aanpassen en daar de DPD in toevoegen.

Meer info hier: https://help.ubnt.com/hc/en-us/articles ... -Detection

Greetz

P.

07 aug 2019, 18:20

Van wat ik terugvind, is er geen keepalive op de usg.
Maw de tunnel sterft en bouwt terug op als er traffic is.
Dus ofwel een manier vinden om een keepalive te doen, ofwel een toestel erachter plaatsen dat af en toe die keepalive doet, ofwel een andere router.

iamborg · 07 aug 2019, 19:56

@ITnetadmin: Keepalive of DPD... What's in a name. Het resultaat is hetzelfde. Mocht de tunnel uitvallen, wordt die terug opgebouwd (hoewel keepalive een iets andere werking heeft, die gooit gewoon constant traffic op de lijn om zo open te houden)

Oplossing staat hier al gegeven: config.gateway.json aanpassen. Keepalive (of DPD) zit er wél in, je kan het alleen niet instellen via de GUI.

P.

blaatpraat · 11 aug 2019, 15:01

DPD heeft helaas niet geholpen.
Wellicht werkt dit wel als de tunnel sluit om zichzelf te herstellen, maar niet als het device boot.

Ik heb uiteindelijk een manier gevonden om de gateway te laten pingen:

Scriptje gemaakt, en opslagen in de /config folder:

Code: Selecteer alles

#!/bin/bash

/bin/ping -c 3 -W 2 192.168.150.94 1>/dev/null 2>&1

if [ $? -ne 0 ]; then
        echo "Failed"
        /bin/vbash -ic 'restart vpn'
fi

En met volgende 2 commando's (die je ook in de config json kan opslaan, en zo kan laten persisteren) wordt het getriggerd:
set system task-scheduler task vpncheck executable path /config/scripts/vpncheck.sh
set system task-scheduler task vpncheck interval 1m