UniFi - USG VPN:如何实现失效对等体检测


概述


本文介绍了有关如何实现失效对等体检测的步骤,该方法可以帮助解决不会自行重启的失效 VPN 隧道问题。

注意事项&要求: 本文介绍了使用 config.gateway.json 文件的高级配置,仅对有一定技术基础的高级用户开放。在开始之前,请通过阅读此文章创建 config.gateway.json 
 对于 5.7.8 以上版本的 UniFi 控制器,自动对 VPN 进行失效对等体检测。但是有些用户依然可能需要按照以下步骤进行手动 IPsec VPN。

目录


  1. 介绍
  2. 如何实施失效对等体检测
  3. 相关文章

介绍


回到顶部

失效对等检测(DPD)可以用来解决无法自行重启的失效 VPN 隧道。当 UniFi 安全网关(USG 或 USG-PRO-4)将对端设备的状态更改为 dead 时,该设备将删除其对端设备的阶段 1 的安全关联(SA)和所有阶段 2 的安全关联 (SA)。DPD 将尝试重新创建 VPN 隧道,而不是尝试恢复已失效的 VPN 隧道。


如何实施失效对等体检测


回到顶部

首先你需要创建一个 config.gateway.json 文件。您可以通过阅读此文章来创建 config.gateway.json 。如果您怀疑您的对端设备已失效,则可以通过 SSH 进入 USG 并运行命令 show vpn ipsec sa。当显示为  “down”,那么您的对端设备已失效。(

要实现失效对等体检测,请执行以下步骤:

1.首先通过 SSH 访问 USG。 

2.运行以下命令:

configure
set vpn ipsec ike-group <ike group> dead-peer-detection action restart
set vpn ipsec ike-group <ike group> dead-peer-detection interval 30
set vpn ipsec ike-group <ike group> dead-peer-detection timeout 120
commit;save;exit
mca-ctrl -t dump-cfg
用户提示: 要查找  <ike group> 的名称,请在键入命令时使用 tab 或 键 set vpn ipsec ike-group ?。或者,键入命令 show vpn ipsec ike-group

以下为示例文件。请仔细检查名称是否正确!

{
    "vpn": {
        "ipsec": {
            "ike-group": {
                "IKE0": {
                    "dead-peer-detection": {
                        "action": "restart",
                        "interval": "30",
                        "timeout": "120"
                    }
                }
            }
        }
    }
}

3.新建的 VPN 将以正确的格式出现。将输出复制并粘贴到 UniFi 控制器中先前创建的 config.gateway.json 文件中。

对于使用 Cloud Key 的用户,请在 /srv/unifi/data/sites/(siteID)/config.gateway.json 中创建文件。如果是在 Windows 或 Linux 上运行,可以参考以下文章

4.在 UniFi控制器设备> USG>配置>管理设备>强制同步中向 USG 运行“强制同步”来对其进行测试,一般需要 30 秒到 3 分钟,如果它的配置时间超过 3 分钟,则 config.gateway.json 中可能存在格式化错误,也可能遇到前面提到的配置循环。(为了确保没有错误,您可以通过 JSON 验证程序(如 JSON Formatter)先运行文本  )。


相关文章


回到顶部

UniFi - USG 高级应用