为了获得最佳体验,我们建议所有的站点都使用 UniFi 网关,实现彼此之间的兼容。 UniFi 点对点 VPN 的设计充分考虑了彼此的兼容性, 而某些第三方网关允许配置一些 UniFi Network 中不可用的设置,这些设置必须匹配你的点对点 VPN 才能运行。
本文探讨了使用第三方网关进行配置的注意事项。 所有与特定设备相关的问题都应联系第三方制造商,以寻求技术支持。
基于路由的 VPN vs 基于策略的 VPN
基于路由的 VPN 在每个网关的 虚拟隧道接口(VTI) 之间创建 VPN 隧道。基于策略的 VPN 为每个网络组合创建一条隧道。
例如,以两个网关为例。网关 A 共享三个本地网络。网关 B 共享两个本地网络。基于路由的 VPN 有一条隧道,路由转发所有网络流量。基于策略的 VPN 创建六个隧道,每对共享网络之间都有一个隧道。
如果您的第三方网关不可在这两者之间进行选择,那么它可能只支持基于策略的 VPN。
第 1 阶段 vs 第 2 阶段加密设置
阶段 1 和阶段 2 的加密和散列设置相同。第三方网关需要为两个阶段配置匹配的数值。
IPsec VPN 生命周期
阶段 1 的生命周期为 28,800 秒,阶段 2 的生命周期为 3,600 秒。 第三方网关需要匹配这两个持续时间。
IKEv2 兼容性
UniFi 网关实现了一些第三方网关不支持的 IKEv2 协议优化。如果您无法建立 VPN,或者在使用 IKEv2 时连接断开,我们建议将两个网关都切换为 IKEv1。
完全前向保密(PFS)
UniFi 网关允许您自定义 PFS DH 组。某些第三方网关不支持此功能。如果您的 VPN 连接经常掉线,请尝试在两个网关上禁用 PFS。
NAT 后的点对点 VPN
如果任何配置的网关位于 NAT 之后,则无法建立点对点 VPN。
自动共享所有本地网络
UniFi 网关在其点对点 VPN 中自动共享所有本地网络。请确保每个网关都配置为包含其远程对端网关的所有本地网络。
主模式 vs 积极模式
UniFi 网关只支持主模式。 如果第三方网关设置为积极模式,则无法建立点对点的 VPN。
失效对等体检测(DPD)
DPD 不需要在所有网关上匹配,但如果您遇到设置或连接问题,我们建议在第三方网关上禁用它。
静态路由
UniFi 网关会自动添加通过 VPN 发送流量所需的静态路由。不要添加任何额外的静态路由,否则可能会遇到通信故障。
DH 组号
DH 组号可能因制造商而异。 请参考以下列表:
| DH 组号 | 位(Bit)/说明 |
|---|---|
| 1 | 768 位模指数 (MODP) 算法。 |
| 2 | 1024 位 MODP 算法。 |
| 5 | 1536 位 MODP 算法。 |
| 14 | 2048 位 MODP 组。 |
| 15 | 3072 位 MODP 算法。 |
| 16 | 4096 位 MODP 算法。 |
| 19 | 256 位随机椭圆曲线组模素数(ECP 组)算法。 |
| 20 | 384 位随机 ECP 组算法。 |
| 21 | 521 位随机 ECP 组算法。 |
| 24 | 具有 256 位素数阶子群的 2048 位 MODP 群。 |
