本篇文章介绍了怎样设置和管理 UID VPN。

注意:如果您尚未完成 UID 工作区和代理应用程序的初始设置,请先按照 UID - 入门 中的步骤完成设置。

在 UniFi Network 应用程序上进行部署方案配置

在设置 UID VPN 之前,您需要使用以下方法在网络应用程序上进行部署方案配置:

  • 直接连接到网络出口路由器上,并在其上配置端口转发。
  • 当 UniFi OS 控制台自身拥有公网 IP 时,可直接使用此公网 IP。

如果 UniFi OS 控制台本身有公网 IP 地址,则无需按照以下说明设置端口转发。 如果 UniFi OS 控制台没有公共 IP 但其主路由有公共 IP,则需要配置端口转发。 如果 UniFi OS 控制台上有多层路由,则需要从主路由逐个配置端口转发。

在 UniFi 网络中配置所需的端口转发规则:

  1. 将 UniFi OS 控制台的 WAN 端口连接到主路由。
  2. 启动 UniFi Network 应用程序并转到 设置(Settings)>高级网关设置(Advanced Gateway Settings)>创建新的端口转发(Create New Port Forwarding)
  3. 输入所需信息:
    • 设置名称和端口号。
    • UniFi OS 控制台的 WAN IP 地址。
    • 转发端口为 10118,我们建议选择 UDP 协议。

在 UniFi 网络中配置公共 IP:

  1. 从 UniFi OS 控制台启动 UniFi Network,然后转到 设置(Settings)> 互联网(Internet)
  2. 选择 WAN 端口并单击 编辑(Edit) 以访问 WAN 详细信息页面。
  3. 高级(Advanced) 部分填写:
    • DNS 服务器:由您的 ISP 提供。
    • IPv4 连接类型:静态 IP。
    • 公网 IP 地址、子网掩码和网关 IP 地址。
  4. 单击 应用更改(Apply Changes)

设置 UID VPN

要设置 UID VPN:

  1. 从左上角的下拉菜单中选择站点,访问站点的仪表板页面,然后在服务部分选择 一键式 VPN(One-Click VPN)
  1. 填写 VPN 名称和其余必填字段:
  • 授权当前站点的所有用户。
  • VPN 服务器:默认显示所选 UniFi OS 控制台的 IP 地址。
  • 主路由端口:端口号默认为 10118。 当所选 UniFi OS 控制台的公共 IP 与WAN IP 相同时,无法修改端口号。 如果 IP 不同,请按照 “在 UniFi Network 中配置公共 IP” 部分进行操作。
  • 高级设置
  • IP/子网(可选)
  • DNS(可选)

配置 VPN 后,您可以在 VPN 仪表板部分为其分配用户或组别。

注意:VPN 服务器不支持 IPv6。

为用户分配或取消分配 VPN

在 VPN 仪表板上将 VPN 分配给用户

  1. 选择 分配用户(Assign User)或转到用户(Users) 部分,然后单击右上角的 分配用户(Assign User)

  1. 选择 VPN 分配到的用户和/或组别,然后单击 确定(OK) 完成分配。

在 VPN 仪表板上取消分配用户的 VPN

  • 转到 用户(Users) 部分并选择一个或多个需要取消分配的组别和/或用户。
  • 单击 删除(Remove) 并确认弹出消息以完成取消分配。 或者,您可以将鼠标悬停在用户或组别上,单击 删除(Remove),然后确认弹出消息以取消分配。

管理 VPN 设置

要在 VPN 仪表板上编辑设置,请转到 VPN 部分,单击 VPN 网络打开属性面板。 您可以在此处编辑必要的设置,确定后单击 保存(Save)

对 UID VPN 问题进行故障排除

UID VPN 常见连接问题:

  • UID VPN 经常断开连接
  • UID VPN 状态显示为已连接但无法访问互联网

如果您遇到上述任何问题,请确保:

  • UID VPN 设置正确。
  • 防火墙端口 10118 已启用。
  • UID VPN 状态在 UniFi Network 应用程序(UniFi Network application)>设置(Settings)>网络(Network)中处于活跃状态
  1. 问题 1:无法连接到 VPN 或 UID VPN 连接超时

    对于用户来说:

    如果您无法连接到 VPN,请在 UI 应用程序提交您的的反馈并联系您的 UID 管理员。

    对于管理员而言:

    注意:如需修改 UID VPN 配置,请到 UID>一键 VPN(One-click VPN)>VPN 选择需要修改的VPN。 请不要在 Network 应用程序中修改它。

    首先,确认:

    • 防火墙端口 10118 已启用
    • VPN 状态为活跃(Active)
    • VPN 配置上的设置正确

    如果以上配置状态正常,请按照以下步骤检查端口转发。

    1. 确定是否需要端口转发。

    主要是判断 UDM 是否有公共 IP。 如果没有,则需要进行端口转发。 另外,如果 UDM 和具有公网 IP 的主路由之间存在多级路由,则需要进行多级端口转发。

    有两种方法可以检查 UDM 是否具有公共 IP。

    方法一:登录 UniFi OS(浏览器输入 UDM_IP)>设置(Settings)>通用(General) 查看 WAN IP 是否为公共 IP。

    方法二:使用 traceroute 命令跟踪路由如下:

    ssh root@UDM_IP
    traceroute google.com

    然后,检查第一个路由器地址是否是公共IP。

    2. 使用命令查看 UID VPN 的运行环境。

    ssh root@UDM_IP
    unifi-os shell
    uid health vpn

    如下图,如果显示恭喜您,一切正常(Congratulations, everything is ok),则表示运行环境正常。

    3. 检查 UID VPN 配置。

    登录 UID 管理门户(UID Manager Portal) > 一键 VPN(One-Click VPN) > VPN > 单击 VPN 网络打开其属性面板 并检查 VPN 配置是否填写正确,尤其是端口和 IP。

    4、使用 telnet 命令(如下)检查端口连通性(仅当 VPN 使用 TCP 协议时可用)。

    telnet IP Port
    提示:使用 VPN 配置时需要填写 IP 地址和端口信息。

    如下图所示,显示“已连接”(Connected to)字样则表示该端口可用于连接。

    如下图所示,显示“无法连接”(Unable to connect),则说明端口没有正确连接。

    5. 通过 ssh 登录 UDM,使用如下命令抓包。请确保窗口是打开状态。

    ssh root@UDM_IP
    tcpdump -i eth8 dst port 10118
    提示:“eth8”是 UDM 中连接网线口的 WAN 口,如 eth4 为 UDM Base,eth9 为 UDM Pro。 *eth(n-1),“n”表示你的 UDM 连接到 WAN 口的端口号。

    然后,从 UI 移动应用程序或桌面应用程序连接到 UID VPN,查看窗口中是否有发送和接收的数据包。 如果没有,则仍然存在连接问题,您需要检查端口转发和防火墙规则。

  2. 问题 2:UID VPN 是否支持具有多个公共 IP 的单个 WAN?

    1. 如果 UID VPN 使用 TCP 协议,则 UDM 的所有 IP 都可以连接。

    2. 如果 UID VPN 使用 UDP 协议,则只能连接主 IP。

之所以不能使用其他 IP,是因为 UDP 为无连接协议。当服务器回复给客户端的包到达网络层时,它已经忘记了客户端请求的目的IP地址。 它将始终选择主 IP 作为要发送给客户端包的源 IP 地址。 当客户端收到包,发现源 IP 地址不再是自己发送请求的 IP 地址。 有关 OpenVPN 配置选项的更多信息,请参阅此处的文档。