IPsec 是一种站点到站点的 VPN,可让您将 UniFi 网关连接到远程站点。需要一台 UniFi 网关UniFi 云网关

工作原理

IPsec 站点到站点 VPN 使用 预共享密钥 进行身份验证。系统会自动生成一个唯一的密钥,您也可以使用自定义密钥。

另外,还需要以下信息:

  • 本地 IP:使用分配给 WAN 端口的 IP 地址,或手动输入一个地址。
  • 远程网络:远程站点所用的网络。
  • 远端 IP / 主机名:远程站点的公网 IP 地址或主机名。

兼容性要求

要与第三方网关建立成功的 VPN,需要确保以下设置 完全匹配

  • 路由型(Route-Based)或策略型(Policy-Based)VPN
  • (策略型 VPN 时)远端与本地子网
  • 密钥协商版本
  • 加密方式、哈希算法和生存时间
  • Diffie-Hellman(DH)组与完全正向保密(PFS)
  • 预共享密钥
  • 远程与本地 IP 地址
  • 远程或本地认证 ID(适用于网关处于 NAT 后时)

路由型与策略型 VPN

  • UniFi 网关默认使用 路由型(Route-Based)VPN,也可以切换为 策略型(Policy-Based)VPN。
  • 路由型 VPN 使用虚拟隧道接口(VTI),并自动创建静态路由或通过 OSPF 交换路由。
    • 使用 OSPF 时,必须为 隧道 配置 IP 地址以建立邻居连接。
  • 策略型 VPN 则通过 远程和本地子网 进行匹配,两个网关的子网必须完全一致。
  • 不可以 一端使用路由型 VPN,另一端使用策略型 VPN,VPN 类型需要保持一致。

注意:如果第三方网关没有提供选择路由型或策略型 VPN 的选项,那么它很可能 只支持策略型 VPN

本地和远程子网

  • 在使用策略型VPN 时,UniFi 网关会自动通过站点到站点 VPN 共享所有本地网络
    • 无法 仅选择特定的本地网络进行共享。
  • 使用策略型 VPN 时,请确保第三方网关也 包含 UniFi 网关上所有本地网络
  • 路由型 VPN 则通过静态路由或 OSPF 进行流量转发,访问权限由防火墙规则控制。
    • 使用 OSPF 时,“远程网络”应设置为 None

注意:策略型 VPN 要求远端与本地子网完全一致。如若不一致,VPN 可能只能部分建立或会断开。

密钥交换版本

  • UniFi 网关支持 IKEv1 与 IKEv2。
  • UniFi 网关上的 IKEv2 使用了一些第三方网关可能不支持的优化。
  • 在使用策略型 VPN 时,如 IKEv2 无法建立或断开连接,建议尝试拆分 IKEv2 网络或更换为 IKEv1。

加密、哈希与有效期

  • 第一阶段(IKE)与第二阶段(ESP)可以使用不同的加密和哈希算法。默认两阶段均使用 AES-128 与 SHA1,但可以更改。
  • IKE 有效期默认为 28800 秒,ESP 有效期为 3600 秒,也可以修改。

Diffie-Hellman(DH)组及完全正向保密(PFS)

  • DH 组按编号区分,例如 DH 组 14
  • 第三方网关可能用 MODP 表示,例如 2048-bit 即为组 14。
  • UniFi 网关支持 PFS,并可对第一阶段(IKE)和第二阶段(ESP)分别设置 DH 组。
  • 部分第三方网关可能不支持 PFS 或实现不兼容。
  • 如开启 PFS 后 VPN 无法建立或断开,建议关闭此功能。

VPN 模式

  • UniFi 网关仅支持 主模式
  • 如第三方网关使用 激进模式,无法与 UniFi 网关建立站点到站点 VPN。

常见问题解答

  1. 1. 如何判断我使用的是策略型(Policy-Based)还是路由型(Route-Based)VPN?

    路由型 VPN 以虚拟隧道接口(VTI)为特征。启用路由型 VPN 时,安全关联(SA)会设为 0.0.0.0/0,远程子网通过 VTI 作为下一跳进行路由。

    策略型 VPN 则以网络互换为特征。启用策略型 VPN 时,安全关联(SA)会设为远程与本地子网(如 192.168.1.0/24172.16.1.0/24),两端必须完全一致。

    如第三方网关没有让你选择 VPN 类型的选项,通常只支持策略型 VPN。建议查阅第三方网关文档了解更多。

    详情请参见后文关于兼容性的章节。

  1. 2. VPN 建立不成功怎么办?

    请检查是否有网关获得了私有 IP,且处于其他路由器之后。

    如两台网关均为公网 IP,请检查配置是否完全一致。

    更多信息可参见兼容性章节。

  1. 3. VPN 已建立但无法通信怎么办?

    测试是否连通时,请 优先用两台客户端之间互 ping,而不是直接 ping UniFi 网关本身。

    如 ping 不通,请核查防火墙或流量规则是否导致访问被阻断。

    用 Windows 客户端测试时需确认 Windows 防火墙允许 ping 流量通过。

  1. 4. UniFi Gateway 位于 NAT 后,能否使用 IPsec 站点到站点 VPN?

    建议部署于有公网 IP 的 UniFi 网关上。上游路由器任何端口转发或性能问题都可能导致 VPN 断线。

    如无法获取公网 IP,请配置认证 ID。例如,以下场景为两台 UniFi 网关间建立 IPsec 站点到站点 VPN:

    • UniFi 网关 A - WAN IP:192.168.5.1(NAT 后)
    • 运营商路由/光猫(A 站点) - WAN IP:203.0.113.1(公网 IP)
    • UniFi 网关 B - WAN IP:198.51.100.1(公网 IP)

    VPN 隧道建立于 203.0.113.1 与 198.51.100.1 之间。

    B 站点收到来自 A 通道的 IPsec 请求时,报文内会同时带 192.168.5.1 及 203.0.113.1。B 站点只配置了和 203.0.113.1 对接,因此两端不匹配。可在 A 站点配置 203.0.113.1 为 本地认证 ID 解决。

    也可反向处理,在 B 站点将 192.168.5.1 设置为 远程认证 ID

    除 IP 外,认证 ID 也支持主机名、邮箱及 DN 字符串。

  1. 5. 需要手动添加 VPN 的防火墙规则或静态路由吗?
    不需要,这些会自动创建。