IPsec 是一种站点到站点 VPN,允许您将 UniFi 网关与远程站点相连。您可以在 网络设置 > VPN 中进行配置。

如需将站点到站点 VPN 配置到第三方网关,请参阅高级教程。需具备 UniFi 网关UniFi 云网关

工作原理

IPsec 点对点 VPN 使用 预共享密钥 进行身份验证。系统会自动生成唯一密钥,也可手动设定自定义密钥。

配置时还需要以下信息:

  • 服务器地址:填写分配给 WAN 口的 IP,或手动输入外部地址
  • 远端共享子网:对端站点使用的网络
  • 远端 IP:对端站点的公网 IP 地址

为确保 VPN 能成功建立,以下信息必须在两台网关间 保持一致

  • VPN 协议类型
  • 预共享密钥
  • 本地和远端服务器 IP
  • 本地和远端网络子网
  • 密钥交换版本、加密算法、哈希算法、DH 组(如选择 手动 模式)
  • 完全前向保密 PFS(如选择 手动 模式)
  • 路由型 VPN(如选择 手动 模式)

注意:在两台 UniFi 网关间建立点对点 VPN 时,建议使用 自动 设置。

常见问题

  1. 1. IPsec 点对点 VPN 安全吗?
    IPsec 会加密您的流量,保护 VPN 连接安全。认证时采用自动生成的唯一密钥。
  1. 2. VPN 无法建立怎么办?

    请检查是否有一台网关分配了私有 IP 并位于其他路由器之后。

    若两台网关都使用公网 IP,则应检查参数是否完全匹配。

  1. 3. VPN 通信不通怎么办?

    测试连通性时,请优先用两台客户端之间互 ping,而不是直接 ping 网关本身。

    如 ping 不通,请核查是否有防火墙或流量规则阻止了相关流量。

    Windows 测试客户端时,也需确保本地防火墙允许 ping 流量通过。

  1. 4. UniFi Gateway 位于 NAT 后,可以用 IPsec 点对点 VPN 吗?

    建议将 IPsec 点对点 VPN 部署在拥有公网 IP 地址的 UniFi 网关上。若上游路由器出现性能瓶颈或端口转发问题,可能会导致 VPN 频繁断开。

    如必须部署于 NAT 后,请配置认证 ID。示例如下:

    • UniFi 网关 A - WAN IP:192.168.5.1(NAT 后)
    • 运营商路由器(Site A)- 公网 IP:203.0.113.1
    • UniFi 网关 B - WAN IP:198.51.100.1(公网 IP)

    VPN 隧道建立于 203.0.113.1 与 198.51.100.1 之间。

    当 Site B 收到来自 Site A 的 IPsec 请求时,请求中包含 192.168.5.1 和 203.0.113.1 两个 IP 地址,但 Site B 仅配置了与 203.0.113.1 建立隧道,导致配置不匹配。解决方案是在站点 A 将 203.0.113.1 配置为本地认证 ID

    也可反向操作,即在站点 B 配置 192.168.5.1 作为远程认证 ID

    认证 ID 支持 IP、主机名、邮箱和 DN 字符串。

  1. 5. 需要手动添加 VPN 的防火墙规则或静态路由吗?
    不需要,这些会自动创建。
  1. 6. 如何让本地网络流量通过 VPN 隧道?
    可通过创建带隧道 IP 的路由型 VPN 实现。
  1. 7. 如何创建 IPsec 隧道的基于策略的路由?
    同样可通过创建带隧道 IP 的路由型 VPN 实现。