خاطرات Ubiquiti: داستان VPN سایت به سایت

Ubiquiti Networks طیف وسیعی از محصولات را با هدف بازار ش،ه ارائه می دهد. در حالی که ISP های بی سیم بخش کلیدی بازار برای این شرکت هستند (خدمات خط airFiber)، بخش امروزی بر خط تولید UniFi آنها متمرکز شده است – طیف وسیعی از تج،ات ش،ه تعریف شده توسط نرم افزار مدیریت شده برای SMB ها، SME ها و ،یداران. دلایل متعددی برای محبوبیت محصولات UniFi در میان مصرف‌کنندگان آگاه به فناوری وجود دارد. این شرکت در ارائه راه حل SDN مدیریت شده مقرون به صرفه، مزیت حرکت اول را داشت. جداسازی عملکرد در دستگاه‌های مختلف (دروازه‌های امنیتی، روترها، سوئیچ‌ها و نقاط دسترسی بی‌سیم) به کاربران این امکان را می‌دهد تا تج،ات مختلف را بر اساس نیازهای سفارشی خود انتخاب و انتخاب کنند. صفحه مدیریت یکپارچه برای همه محصولات UniFi امکان تعمیر و نگهداری آسان را در عین حفظ انعطاف پذیری استقرار فراهم می کند. مقیاس بندی ش،ه در پاسخ به تغییرات نیازمندی نیز ساده است. این شرکت با یک کنترل کننده مدیریت محلی شروع به کار کرد که اکنون با یک پیشنهاد مبتنی بر ابر تقویت شده است.

در بخش Teleport & VPN، Ubiquiti همچنین گزینه ای برای ایجاد VPN های سایت به سایت ارائه می دهد که داستان ما از آنجا شروع می شود.


منبع: https://www.anandtech.com/s،w/18692/the-ubiquiti-diaries-a-sitetosite-vpn-story

Ubiquiti Networks یک فروشنده محبوب تج،ات مرتبط با ش،ه در فضای SMB / SME است. تج،ات آنها به دلیل ،یبی از سهولت استفاده و قابلیت سفارشی سازی برای نیازهای خاص، در بین ،یداران نیز بسیار محبوب است. من حدود پنج سال گذشته یک نصب Ubiquiti UniFi را در خانه اجرا کرده ام و اخیراً این فرصت را داشتم که یک استقرار جدید در کشور دیگری ایجاد کنم. دو دلیل اصلی برای استفاده از Ubiquiti برای مکان جدید وجود داشت – یک صفحه مدیریت واحد برای هر دو سایت، و توانایی ایجاد آسان VPN سایت به سایت.

از دیدگاه مورد استفاده من، من راه حلی می خواستم که از پیکربندی ساده تونل VPN و دسترسی آسان مبتنی بر برنامه برای ش،ه های ایالات متحده و هند از طریق یک رابط واحد پشتیب، کند.

تکامل UniFi – یک خلاصه کوتاه

Ubiquiti بسته به دروازه ای که استفاده می شود طیف وسیعی از گزینه های VPN را ارائه می دهد. در خانه اینجا در کالیفرنیا با USG Pro 4، من چندین سال است که یک سرور L2TP VPN را اجرا می کنم (به من اجازه می دهد از کافی شاپ ها و فرودگاه های عمومی برای اه، مرور ایمن به آن متصل شوم). من داشتم حداقل مشکل تنظیم آن برای دسترسی از یک نوت بوک ویندوز. با این حال، همانطور که در بخش فرعی قبلی ذکر شد، این سرور VPN برای تلفن همراه من که دارای اندروید 12 است هیچ کاربردی ندارد. USG Pro 4 همچنین از PPTP VPN پشتیب، می کند، اما حتی توسط خود Ubiquiti توصیه نمی شود.

مجموعه UniFi Ubiquiti پس از آن راه‌اندازی شد که مجموعه محصولات مبتنی بر لبه برای WISP‌ها در بازارهای دیگر مورد توجه قرار گرفت. این EdgeRouter و EdgeSwitches مبتنی بر سیستم عامل Vyatta بودند و محصولات UniFi در ابتدا با همان پایه سیستم عامل EdgeOS شروع به کار ،د. UniFi Security Gateway Pro 4 در استقرار اولیه من تا به امروز EdgeOS را اجرا می کند.

اوایل امسال، والدینم در هند تصمیم گرفتند خانه خود را کوچک کنند. من از این فرصت استفاده کردم و ش،ه خانگی آنها را از ابتدا بازسازی کردم. من قصد داشتم ویژگی‌هایی را به ش،ه خانگی والدینم اضافه کنم، اما هرگز این فرصت را نداشتم، زیرا بازدیدهایم کمتر می‌شد. با این حال، با اولین دیدارم پس از همه‌گیری، می‌خواستم چند چیز را به ،وان بخشی از حرکت آنها تنظیم کنم:

  • مدیریت از راه دور آسان تر و عیب یابی مشکلات ش،ه بدون نیاز به ارسال پورت.
  • امکان استفاده یکپارچه از ش،ه خانگی هندی خود در طول سفر / بازدید از اینجا به کالیفرنیا
  • امکان انجام پشتیبان گیری از راه دور خارج از سایت امن برای داده های خود بدون اتکا به یک ارائه دهنده ذخیره سازی ابری خارجی
  • امکان استفاده یکپارچه از اشتراک خدمات OTT هند صرف نظر از موقعیت مک، کاربر در کالیفرنیا یا هند

در اینجا Teleport (پیاده سازی سفارشی Wireguard Ubiquiti) اولویت دارد. این یک VPN با یک کلیک است که بیشتر با ا،یستم تلفن همراه امروزی هماهنگ است. مشتریان از طریق دعوت‌هایی مجاز می‌شوند که می‌توانند از صفحه پیکربندی (در ابر unifi.ui.com یا از طریق IP محلی دستگاه) یا برنامه تلفن همراه ش،ه UniFi ایجاد شوند. دعوت ها را می توان با استفاده از برنامه تلفن همراه Wifiman در دستگاه مشتری باز کرد. جنبه تاسف بار در اینجا این است که کاربران ویندوز شانس ندارند. در حالی که MacOS، Android و iOS تحت پوشش قرار می گیرند، کاربران ویندوز در کمین مانده اند. با توجه به اینکه گزینه L2TP در EdgeOS با کلاینت‌های ویندوز کار می‌کند، اما نه Android و گزینه Teleport در UbiOS / UniFi OS با کلاینت‌های Android کار می‌کند، اما نه با ویندوز، این یک وضعیت بسیار ناامیدکننده است. لازم به ذکر است که UDM همچنان از L2TP برای کلاینت های ویندوز پشتیب، می کند.

نصب جدید نسبتاً روان بود و VPN سایت به سایت به شیوه ای پایدار راه اندازی و اجرا می شد تا زم، که ISP در سایت راه دور دروازه را از یک IP WAN عمومی به IP NAT درجه حامل (CGNAT) منتقل کرد. . این یک تحقیق عمیق تر در مورد گزینه های مختلف موجود برای VPN های سایت به سایت با تج،ات Ubiquiti برای سناریوهای مختلف آغاز کرد. در این فرآیند، من در نهایت با انبوهی از مسائل مواجه شدم که ارزش اسناد را دارند تا به افرادی که ممکن است در نصب‌های خود با آن‌ها مواجه شوند، کمک کنم. این مقاله بازگویی از سفر من به سوراخ ،گوش را ارائه می دهد – از جمله راهنمای گام به گام که جزئیات تلاش های من برای کار در اطراف دام های مختلف را شرح می دهد.

معرفی

نتیجه نهایی این است که تعداد زیادی قطع ارتباط بین ویژگی‌های موجود در EdgeOS و UbiOS / UniFi OS وجود دارد. انتقال از خط EdgeOS به سیستم عامل UniFi برای نصب‌های سفارشی‌سازی شده به اندازه کافی ساده نیست. با تغییر تمرکز به UbiOS / UniFi OS، به‌روزرس،‌های تج،ات قدیمی‌تر کم و دور از هم شده‌اند. در حالی که ممکن است این نگر، برای ش،ه های پایدار نباشد، متأسفانه با رویه های امنیتی ش،ه در حال تحول به روز نشده است. به ،وان مثال، نسخه های اخیر اندروید به طور کامل پشتیب، از VPN های L2TP را کاهش داده است، در حالی که EdgeOS دارای L2TP به ،وان نوع سرور VPN توصیه شده است. این ما را به موضوع VPN ها می رساند.

گزینه های سرور VPN در پشته Ubiquiti

چنین مسائلی همچنین دلیلی است که من تج،ات Ubiquiti را فقط به کاربر، که از فناوری آگاه هستند توصیه می کنم. تقریباً در همه موارد، تماس با خط پشتیب، شرکت و ایجاد بلیط به اتلاف وقت منجر می شود. منابع بی شماری به صورت آنلاین وجود دارد (هر دو متعلق به خود شرکت انجمن کاربرانو همچنین تعداد بیشماری از وبلاگ نویسان ،یدار مانند اسکات هانسلمن و تروی هانت. با توجه به بررسی‌های چنین منابعی، خوانندگان نمی‌توانند از ارسال یک بررسی دیگر از مجموعه Ubiquiti UniFi بهره ببرند. در عوض، امیدوارم موارد استفاده خاصی را در نظر بگیرم و بفهمم که چگونه خط تولید Ubiquiti می‌تواند به موارد موجود در این سری مقالات بپردازد.

USG Pro 4 مبتنی بر SoC ش،ه OCTEON II Cavium با پردازنده برنامه MIPS64 است. با این حال، آ،ین دروازه‌ها/روترها/سوئیچ‌های Ubiquiti در خط UniFi اکنون توزیع لینو، مبتنی بر Debian سفارشی را اجرا می‌کنند. UniFi Dream Ma،e از Annapurna Labs AL314 استفاده می کند و توزیعی را برای پلتفرم AArch64 اجرا می کند. سیستم عامل UniFi خود به ،وان یک ظرف با استفاده از پادمن اجرا می شود.

هنگامی که در ابتدا در سال 2017 کلید Cloud را راه‌اندازی کردم، هیچ ا،امی برای استفاده از حساب ابری وجود نداشت. متأسفانه، چند سال پیش، تجربه کاربری اپلیکیشن موبایل ش،ه UniFi بدون شناسه ui.com بسیار طاقت‌فرسا شد. من تسلیم شدم و در نهایت نصب خود را با یک شناسه ابری فقط برای این منظور مرتبط کردم. از آنجایی که من قبلاً ش،ه خود را از طریق این شناسه مدیریت می کردم، تصمیم ساده ای بود که با Ubiquiti برای استقرار در هند برگردم.

پس از اینکه بررسی mFi را منتشر کردم، بخش روابط عمومی Ubiquiti با پیشنهادی برای بررسی خط تولید UniFi خود به من مراجعه کرد. در همان زمان در سال 2017، من این فرصت را داشتم که ستون فقرات Cat 6 سیمی را برای تمام اتاق‌های خانه‌ام در کالیفرنیا بچینم. من پیشنهاد تعیین یک سیستم UniFi را برای آزمایش انجام دادم. دروازه USG Pro 4 وظایف مسیریابی را با کلید ابری UniFi (نسل اول) انجام می دهد که وظایف کنترل کننده را انجام می دهد. نقاط دسترسی با قابلیت های مختلف در اطراف خانه تعبیه شده بود تا از نقاط مرده بی سیم جلوگیری شود. تعدادی سوئیچ در مرکز رسانه و مکان های مختلف آزمایشگاه قرار داده شد. من به تنهایی سیستم را با سوئیچ های PoE اضافی و APهای درون دیواری تقویت کردم.

اولین کار من با Ubiquiti خط تولید mFi آنها بود (که متاسفانه از آن زمان به بعد EOL-ed شده است). مجموعه پریزهای برق متصل به ش،ه آنها با نظارت بر انرژی و توان، و همچنین کنترل رله از راه دور، انعطاف پذیرتر از هر چیز دیگری در بازار بود (و همچنان می باشد) – و این حتی بدون در نظر گرفتن قیمت پایین بود. من تعدادی از واحدهای آنها را برای استفاده در خانه / آزمایشگاه آزمایش AnandTech ،یداری کرده بودم و پس از چند ماه استفاده یک بررسی کوتاه نوشتم (آن واحدها هنوز در حال استقرار هستند).

گزینه اصلی برای سرور VPN در UniFi Dream Ma،e دارای سیستم عامل UbiOS / UniFi کاملاً متفاوت است.

این سیستم با ش،ه بی‌سیم مهمان معمولی، و مجموعه‌ای از VLAN‌های مختلف (خدمت به دستگاه‌های IoT در خانه، تج،ات آزمایشگاه خانگی، و دیگری برای دستگاه‌هایی مانند دسک‌تاپ معمولی خانواده، تلفن‌ها و غیره) پیکربندی شد. در مجموع، این یک هزینه بیش از حد برای تاسیسات مس، بود. گفتنی است، استقرار در طول پنج سال استفاده پر استرس خود را حفظ کرده است (و هنوز هم قوی است). تنها مشکلی که داشتم این بود که چند سال پیش کنتر، CloudKey در ش،ه غیر قابل دسترس شد. معلوم شد که قطع برق منجر به ،اب شدن پایگاه داده شده است – چیزی جز چند دستور SSH (با تشکر از جامعه مفید) نمی تواند حل شود. از آن زمان، من برای جلوگیری از تکرار چنین سناریوهایی، در نهایت روی یک UPS برای قفسه نگهدارنده تج،ات UniFi سرمایه گذاری کردم.

کلید تحقق ا،امات فوق یک تونل VPN امن بین ش،ه خانگی من در کالیفرنیا و ش،ه والدینم در هند بود. قبل از سفر، ترتیبی دادم که یک ماشین رویای Ubiquiti به خانه جدید تحویل داده شود. Ubiquiti UniFi Dream Ma،e یک راه حل همه کاره / کیت شروع UniFi است. این یک سوئیچ 4 پورت، یک ا،س پوینت 4×4 802.11ac، یک دروازه امنیتی و یک کنتر، یکپارچه را یکپارچه می کند. راه حل مبتنی بر آزمایشگاه Annapurna AL314 با یک پورت WAN ارائه می شود و راه حل قابل قبولی برای ا،ر ش،ه های خانگی در محدوده 1000 فوت مربع تا 1200 فوت مربع است.