Unifi USG OpenVPN Client Verbindung mit VLAN

Im Unifi Controller ein neues VLAN erstellen:

  • VLAN ID: 50
  • Subnet: 192.168.50.0/24
  • Interface: eth1.50

Folgende Konfiguration erstellen und im Controller unter /data/sites/default/gateway.config.json speichern:

{
   "firewall": {
      "modify": {
         "SOURCE_ROUTE": {
            "rule": {
               "10": {
                  "action": "modify",
                  "description": "OpenVPN",
                  "modify": {
                     "table": "5"
                  },
                  "source": {
                     "address": "192.168.50.0/24"
                  }
               }
            }
         }
      },
      "source-validation": "disable"
   },
   "interfaces": {
      "ethernet": {
         "eth1": {
            "vif": {
               "50": {
                  "firewall": {
                     "in": {
                        "modify": "SOURCE_ROUTE",
                        "name": "LAN_IN"
                     }
                  }
               }
            }
         }
      },
      "openvpn": {
         "vtun0": {
            "config-file": "/config/openvpn/client.conf"
         }
      }
   },
   "protocols": {
      "static": {
         "table": {
            "5": {
               "interface-route": {
                  "0.0.0.0/0": {
                     "next-hop-interface": {
                        "vtun0": "''"
                     }
                  }
               }
            }
         }
      }
   },
   "service": {
      "nat": {
         "rule": {
            "5004": {
               "description": "masq to vpn vtun0",
               "destination": {
                  "address": "0.0.0.0/0"
               },
               "outbound-interface": "vtun0",
               "type": "masquerade"
            }
         }
      }
   }
}

Die OpenVPN Konfiguration auf der USG als /config/openvpn/client.conf speichern:

client
dev tun
proto tcp

remote X.X.X.X XXX
resolv-retry infinite
nobind
persist-key
persist-tun

cipher AES-256-CBC
ns-cert-type server
comp-lzo
verb 3
route-nopull
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>

Im Controller die Provisionierung forcieren damit die Einstellung permanent gespeichert sind.

Mit dieser Konfiguration werden alle Geräte mit VLAN 50 durch den VPN-Tunnel geroutet.


Sie haben weitere Fragen zu dieser Anleitung und möchten gerne mehr Informationen oder brauchen Unterstützung? Wir helfen Ihnen gerne, unsere Kontaktdaten finden Sie hier: https://df-informatik.ch/kontakt/