Cómo configurar y usar un servidor VPN unifi

Configurar un servidor VPN en su propia red le permite conectarse a su red cuando trabaja de forma remota y acceder a recursos locales como un NAS. Si tiene una puerta de enlace en la nube Unifi, puede crear fácilmente un servidor VPN en su red.

Otra ventaja de usar un servidor VPN es que no solo puede acceder a los recursos locales, sino que también le permite enrutar todo su tráfico de Internet a través de su propia conexión ISP. Esto es especialmente útil cuando se trabaja en un WiFi público, por ejemplo.

En este artículo, voy a explicar cómo configurar UNIFI VPN en la última versión de Network Unifi (8.x) y analizaremos algunos problemas comunes.

Servidor VPN unifi

Antes de ver cómo configurar y usar el servidor VPN, primero echemos un vistazo a los requisitos y diferentes opciones que tenemos.

La opción del servidor VPN está disponible en todas las puertas de enlace de la nube Unifi y las puertas de enlace normales. Deberá asegurarse de ejecutar UNIFI OS 3.x y unifi Network 7.4 o más nuevo. Tenga en cuenta que este artículo se basa en Unifi OS 4.x y unifi Network 8.x.

Al crear un servidor VPN, puede elegir entre tres tipos de VPN diferentes:

  • Guardaespaldas
  • OpenVPN
  • L2TP

WireGuard es la última tecnología cuando se trata de conexiones VPN. Ofrece un rendimiento más alto que los otros tipos de VPN y es realmente fácil de usar. Después de configurar el servidor VPN, simplemente puede crear un nuevo cliente, compartir el código de configuración del archivo (o QR) y el cliente puede conectarse. El único inconveniente es que no todos los dispositivos admiten WireGuard, sino que los clientes principales sí.

Consejo

Asegúrate de pagarque le permite conectarse fácilmente a su red con un solo clic.

OpenVPN es ampliamente compatible, pero ofrece un rendimiento más bajo que WireGuard. Esto significa que su conexión será más lenta. Otro inconveniente de OpenVPN es que utiliza más recursos de CPU y memoria.

L2TP es realmente un tipo VPN heredado que está perdiendo soporte. Si tiene la opción de usar WireGuard o OpenVPN, entonces debería usarlo en su lugar.

Todos los tipos de VPN se pueden usar cuando la puerta de enlace Unifi se coloca detrás de otro enrutador (doble NAT). Sin embargo, es mejor y más fácil si la puerta de enlace tiene una dirección IP pública. De lo contrario, deberá reenviar los puertos correctos en el enrutador de su ISP.

Configurar un servidor deguard unifi

Configurar el servidor WireGuard en la red Unifi es bastante sencilla. Si su puerta de enlace unifi se coloca detrás de otro enrutador, deberá reenviar el puerto UDP 51820 a la dirección IP de su puerta de enlace unifi.

  1. En la aplicación de red unifi, abraAjustesy haga clic enVPN
  2. Abra la pestañaServidor VPN
  3. Asegurar queTipo de VPN Guardaespaldasse selecciona
  4. Dar tuServidor VPN un nombre(Este nombre se mostrará en el cliente VPN)
  5. ElDirección del servidordebe coincidir con la dirección IP en su conexión WAN.
  6. Puedes usar unDirección alternativaPara el cliente si tiene una dirección IP pública asignada dinámicamente. De esta manera puedes usarpara actualizar automáticamente el registro DNS.

Cuando establece la configuración avanzada en manual, puede definir el rango IP (dirección de host) y la cantidad de direcciones IP utilizables que desea usar para los clientes VPN. Dejarlo en auto está en la mayoría de los casos bien.

Agregar clientes de WireGuard

Antes de que los clientes puedan conectarse al servidor WireGuard, necesitaremos crear un nuevo cliente en el servidor VPN. Deberá crear un archivo de configuración del cliente para cada cliente que desea conectar.

Para agregar un cliente, abra el servidor VPN que acabamos de crear:

  1. Hacer clic enAgregar cliente
  2. Ingrese un nombrepara el cliente
  3. DescargarelArchivo de configuración
  4. Hacer clic enAgregar

También puede escanear el código QR si desea usarlo en un dispositivo móvil. Pequeño consejo aquí, puede hacer clic en el código QR para ampliarlo, lo que hace que sea más fácil escanear. Es bueno saber que puede descargar el archivo de configuración o escanear el código QR después de haber agregado el cliente.

Conectando a un cliente

Todos los clientes de WireGuard tienen en común que puede cargar el archivo de configuración para agregar el túnel VPN. Si quieres probarlo, puedesDescargar e instalarEl cliente de WireGuard. Hay una versión disponible para casi todos los sistemas operativos, incluida una aplicación para dispositivos móviles.

Abra el cliente de WireGuard y haga clic en Importar túneles desde el archivo. Seleccione su archivo de configuración para agregar su conexión VPN. Después de haber agregado la configuración, puede hacer clic en activar para crear las conexiones VPN.

Configurar el servidor UNIFI OpenVPN

Crear un servidor OpenVPN en UNIFI es bastante similar al servidor WireGuard. Hay una pequeña diferencia cuando se trata de agregar clientes y OpenVPN tiene la ventaja de que podría usar un servidor RADIUS para la autenticación de los clientes.

Si su puerta de enlace unifi está detrás de otro enrutador, asegúrese de reenviar el puerto del servidor, que es UDP 1194 de forma predeterminada.

  1. En la aplicación de red unifi, abraAjustesy haga clic enVPN
  2. Abra la pestañaServidor VPN
  3. Asegurar queTipo de VPN OpenVPNse selecciona
  4. Dar tuServidor VPN un nombre(Este nombre se mostrará en el cliente VPN)
  5. ElDirección del servidordebe coincidir con la dirección IP en su conexión WAN.
  6. Puedes usar unDirección alternativaPara el cliente si tiene una dirección IP pública asignada dinámicamente. De esta manera puedes usarpara actualizar automáticamente el registro de DNS

En la configuración avanzada, puede especificar el rango IP para los clientes VPN y seleccionar un perfil RADIUS que desea usar para la autenticación. Este último es opcional, también podemos crear clientes directamente en el servidor OpenVPN.

Agregar clientes OpenVPN

Después de haber agregado el servidor OpenVPN, se generará un archivo de configuración. Además del archivo de configuración, también necesitamos crear un nuevo usuario. Generar el archivo de configuración puede tomar un par de minutos.

En la configuración del servidor OpenVPN, haga clic enCrear un nuevo usuario. Ingrese un nombre de usuario y contraseña y haga clic enCrear usuario.Para conectar un cliente,descargarEl cliente OpenVPN, importe el archivo de configuración y se autentica con el nombre de usuario y la contraseña.

Configurar el servidor L2TP

Como ya mencioné al comienzo del artículo, el L2TP es un protocolo VPN heredado que está perdiendo apoyo. Por lo tanto, es mejor usar WireGuard o OpenVPN.

Si tiene un módem o enrutador antes de su puerta de enlace unifi, asegúrese de que el módem/enrutador esté configurado en el modo puente. De esta manera, todo el tráfico se reenviará directamente a su red Unifi. Si eso no es posible, entonces necesitaránúmeros de puerto a su consola de red unifi:

  • Puerto UDP 500
  • Puerto UDP 4500

Los primeros pasos de configuración del servidor VPN UNIFI L2TP son bastante similares a los otros tipos:

  1. En la aplicación de red unifi, vaya aAjustes>VPN
  2. Seleccione L2TPComo tipo VPN
  3. Ingrese un nombrepara el servidor
  4. Compruebe si la IP WANLa dirección es correcta
  5. Habilitar el avanzadoajustes

En la configuración avanzada, podemos cambiar la subred para el cliente conectado si es necesario. Pero lo más importante es habilitar el servidor DNS y habilitarRequiere una autenticación fuerte. Se necesita una autenticación fuerte para el protocolo MS-CHAP V2 que utiliza Windows 10 y 11.

Conectando clientes L2TP

Para usar la conexión L2TP VPN en Windows, no necesita instalar ningún cliente. Podemos usar el cliente VPN incorporado. Los pasos a continuación son los mismos en Windows 10 y 11.

  1. Inicio abierto, tipoVPN,y seleccionarConfiguración de VPN
  2. Hacer clicAgregar VPN
  3. SeleccionarWindows (incorporado)Como proveedor de VPN
  4. Ingrese un nombre de conexión, puede ser cualquier cosa que te guste
  5. Ingrese eldirección IP públicade tu consola unifi
  1. Tipo VPN> Seleccionar L2TP/IPSECcon llave previa al intercambio
  2. Ingrese la tecla previa al Shoqueque establecemos anteriormente en la consola unifi
  3. Llenar elnombre de usuario y contraseñaque creamos.
  1. Guardar la configuración
  2. A continuación, necesitamos cambiar el adaptador de red VPN, para habilitar MS Cap V2.
    Presione la tecla Windows + Ry escribirNCPA.CPL<enter>
  3. Ahora verá su adaptador de red VPN.
    Hacer clic con el botón derechoen su adaptador y seleccionePropiedades
  4. En elPestaña de seguridad:
    seleccionarPermitir estos protocolosyHabilitar Microsoft Chap versión 2
  1. Hacer clicDe acuerdoPara guardar la configuración.
  2. Ahora puedeshacer clic en ConectarPara probar la conexión VPN. Debe conectarse inmediatamente a su servidor VPN unifi.

Como puede ver en la captura de pantalla a continuación, hemos conectado la conexión VPN perezosa y obtuvieron una dirección IP en el rango configurada en la puerta de enlace de la nube Unifi:

Ver clientes VPN conectados

Puede ver cuántos clientes están conectados a través de VPN en la página de dispositivos del cliente en la red UNIFI. Si abre la página, verá a todos los clientes de forma predeterminada. Pero si hace clic en el filtro VPN en la parte superior, solo se muestran los clientes VPN.

Si no ve la pestaña del filtro VPN, entonces no hay clientes conectados a través de la VPN. Otro lugar donde puede verificar que está en elAjustes>VPN>Servidor VPN. Aquí verá por servidor VPN cuántos clientes también están conectados.

Restringir el cliente VPN a VLAN específica

Uno de los problemas comúnmente pasado por alto con el servidor VPN unifi es que un cliente VPN conectado puede tener acceso a todas las VLAN. Cuando tenga múltiples VLAN configuradas en su red, debe tener unaentre las vlans. Pero el problema con la regla Bloque Inter-Vlan que normalmente creamos, es que no funciona en el tráfico VPN.

Para resolver esto, deberá crear una regla avanzada de firewall y dos grupos de puertos. Los grupos de puertos son necesarios para seleccionar el tráfico en la regla del firewall.

  1. En una red unifi, abraAjustes>Perfiles>Grupos de IP
  2. Crear dos grupos IP:
    • Clientes de VPN(Dirección/subred ipv4> 192.168.3.0/24) o cuál es el rango
    • RFC1918(Dirección/subred IPv4> 192.168.0.0/16, 172.0.0/12, 10.0.0.0/8)
  3. Ir aSeguridad>Reglas de tráfico y firewall
  4. Hacer clic enCrear entrada
  5. Cree la siguiente regla:
  • Tipo de regla:Avanzado
  • Tipo:Lan
  • Descripción: Bloquear VPN-Vlans
  • Acción:Gota
  • Tipo de fuente:Grupo de puerto/IP
  • Grupo de dirección:Clientes de VPN
  • Tipo de destino:Grupo de puerto/IP
  • Grupo de dirección:RFC1918

Hacer clic enAgregar reglaCuando termine. Los clientes conectados a través de la VPN ya no pueden acceder a ningún dispositivo en las otras VLAN. Puede ajustar el método anterior a sus necesidades, por ejemplo, solo bloquee el acceso a las otras VLAN, pero permita el valor predeterminado para que los clientes puedan acceder a los recursos de red locales.

Concluir

Configurar servidores VPN unifi a veces puede ser un poco desafiante. Especialmente cuando su puerta de enlace unifi está detrás de otro módem o enrutador. Pero una vez conectado, puede acceder de forma segura a su red doméstica o navegar por Internet de forma segura enrutando su tráfico de Internet a través de la VPN.

Es importante tener en cuenta que las reglas de tráfico no se aplican al tráfico VPN. No solo el Inter-Vlan no funcionará, sino también reglas de contenido, como bloquear sitios web específicos.

Espero que haya encontrado este artículo útil, si tiene alguna pregunta, simplemente deje un comentario a continuación.

Related Posts