We krijgen een nieuw magazijn dat online komt, zowel tijdelijk als… Direct. Ze hebben me er net over geïnformeerd en ze willen dat het voor vrijdag operationeel is.
Ik heb een Ubiquiti UDM Pro liggen die ik kan gebruiken, maar ik wilde weten of iemand hier al een VPN-verbinding heeft opgesteld tussen Pano 10.1 en Unifi, en of er bijzonderheden zijn die ik moet weten voordat ik de tunnels opzet.
Alvast bedankt.
Ik heb geen ubiquity gedaan, maar veel andere PA → third-party firewalls. Zolang beide IPSEC ondersteunen, is het meestal niet meer dan een paar uur voordat je de laagste gemeenschappelijke deler in termen van configuratie hebt bereikt.
Ik heb dit een paar jaar geleden gedaan voor een klant. Ik herinner me de details niet, maar het was niet moeilijker te configureren dan een andere site-to-site VPN.
Ik heb thuis een PA440 als labapparaat. Ik heb 4 verschillende tunnels opgezet met Unifi UDM/UDMP/UDR apparaten. Heel eenvoudig, en werkt goed. Je kunt helaas geen FQDN gebruiken met Unifi. Laat het me weten als je problemen ondervindt, ik kan misschien helpen.
Multi vendor VPN is een probleem. Als ik het was, zou ik documentatie van beide platforms vergelijken om te zien of ze dezelfde functies ondersteunen (IKEv2, ESP/DH, enz.) en mijn geheime decoderingsring gebruiken om de verschillende termen te ontcijferen die worden gebruikt voor de technologische componenten.
Ik heb Ubiquity nog niet geprobeerd, sorry ik kan niet meer helpen.
Niet gedaan met ubiquity, maar PA naar WatchGuard heeft een paar rare dingen gedaan, je moet waarschijnlijk eenvoudig beginnen en de beveiliging langzaam opbouwen.
Maar als de ubnt-router Ike ondersteunt, verwacht ik dat het zou moeten werken, eerlijk gezegd.
Dit recent geprobeerd en had allerlei “onbekende functies” aan de UDM Pro kant. Hoe eenvoudiger je het maakt, hoe beter.
Ik heb het gedaan als noodoplossing, het is een lastige klus, maar het werkt.
In 2018 heb ik een Microtik-router, een Ubiquity ERX, en een PFsense-router (gen 2 Xeon - reserve uitgeschakelde serverkast) op afstand ingesteld voor site-to-site VPN naar een Palo Alto in onze COLO. Elk werkte goed voor 1 of 2 VLANs, maar begon te stoeien toen ik alle 6 VLANs op de remote zijde had ingesteld en alle routes naar de hoofdzijde waren toegevoegd, uiteindelijk begon het vast te lopen. Het leek te helpen om gewoon alles globaal via de Palo Alto te routeren. Elk apparaat leek te worstelen met het aantal netwerken dat we op de Palo Alto zijde hadden. Ze onderhandelden voortdurend over ipsec-tunnels.
Elke testsetup werkte om VoIP-oproepen op de voice VLAN te krijgen, en een PC werkte prima. Maar bij meer PC’s werd het problematisch. Ik zag de logs vol IPsec-tunnel resets. Uiteindelijk heb ik de Microtik en de ERX weggegooid en de PFsense gezet. Het bleef moeilijk, maar leek wat meer load te kunnen aan.
We konden VoIP-gesprekken plannen in de testfase, maar toen we de PFsense in gebruik namen en de gebruikers verhuisden, kon het verkeer het niet goed aan. We hebben uiteindelijk nog een Palo Alto besteld.
We hadden misschien kunnen terugkeren naar 2 VLANs met grotere subnets, maar we willen graag zakelijke PC’s op de datavlan, voice vlan voor VOIP, beveiligingsvlan voor camera’s, en printervlan voor printers. We hadden een site-to-site glasverbinding kort na de internetinstallatie; dat had 3 maanden moeten duren, maar duurde uiteindelijk 10 maanden. Probleem was het vergunningstraject langs de glasvezelroute en de enorme achterstand van Houston na hurricane Harvey, waardoor het bijna een jaar stil lag. We wilden een ‘plug-and-play’ ontwerp voor het netwerk. Toen het glas werd geleverd, waren alleen de routes op de kernswitches op de vestiging en de COLO gewijzigd.
Oh, ik voel hetzelfde en ben van plan dat ook te doen zodra ik klaar ben met mijn alcoholgebruik.
Dit maakt me zowel nieuwsgierig als bang…
Het draait op StrongSwan, maar de GUI geeft niet alle opties. We hadden problemen met routing omdat het netwerklocatie een /24 was binnen de algehele /16 van het bedrijf. Het werkte probleemloos tussen PAN en PAN elders.
Hrm… dat is precies mijn situatie. /16 hoofdnet en /24 remote locatie.