Настройка VPN в UniFi
UniFi поддерживает несколько типов VPN: WireGuard, OpenVPN, L2TP, IPsec Site-to-Site и Teleport. Эта статья описывает настройку каждого типа для удалённого доступа и связи между площадками.
Типы VPN в UniFi
| Тип | Назначение | Преимущества | Клиенты |
|---|---|---|---|
| Teleport | Удалённый доступ | Самый простой, Zero-config | UniFi Network App |
| WireGuard | Удалённый доступ | Быстрый, современный протокол | WireGuard App |
| OpenVPN | Удалённый доступ | Широкая совместимость | OpenVPN клиенты |
| L2TP/IPsec | Удалённый доступ | Встроен в Windows/macOS/iOS | Встроенные клиенты ОС |
| Site-to-Site IPsec | Связь площадок | Стандарт для site-to-site | Не требуется |
| Site-to-Site WireGuard | Связь площадок | Быстрый, простая настройка | Не требуется |
Teleport VPN
Teleport — самый простой способ удалённого доступа к сети UniFi. Не требует открытия портов или настройки DNS.
Как работает Teleport
- UniFi Console регистрируется в облаке Ubiquiti
- Пользователь подключается через UniFi Network App
- Соединение устанавливается через STUN/TURN
- Шифрование end-to-end
Включение Teleport
- Перейдите в Settings → Teleport & VPN
- Включите Teleport
- Настройте доступ для пользователей
Подключение пользователя
- Установите UniFi Network App на смартфон
- Войдите под своим Ubiquiti аккаунтом
- Выберите сеть и нажмите Teleport
- Соединение установится автоматически
Идеально для начинающих: Teleport — лучший выбор для быстрого удалённого доступа. Не требует технических знаний, работает через NAT без проброса портов.
WireGuard VPN
WireGuard — современный VPN протокол с высокой производительностью и простой настройкой.
Преимущества WireGuard
- Минимальный код (~4000 строк vs ~100000 в OpenVPN)
- Быстрое установление соединения
- Высокая производительность
- Современная криптография (ChaCha20, Curve25519)
Настройка WireGuard Server
- Перейдите в Settings → Teleport & VPN → VPN Server
- Нажмите Create New
- Выберите тип WireGuard
- Настройте параметры:
| Server Address | Внешний IP или DDNS имя |
| Port | 51820 (по умолчанию) |
| Network | 10.255.255.0/24 (VPN подсеть) |
| Allow Internet Access | Включить для full-tunnel |
Создание клиента WireGuard
- В настройках WireGuard сервера нажмите Create Client
- Введите имя клиента
- Скачайте конфигурацию или отсканируйте QR-код
- Импортируйте в WireGuard App
Проброс порта
Для работы WireGuard необходимо пробросить UDP порт:
- Протокол: UDP
- Порт: 51820 (или выбранный)
- Направление: Входящий
OpenVPN
OpenVPN — проверенный временем протокол с широкой совместимостью.
Настройка OpenVPN Server
- Перейдите в Settings → Teleport & VPN → VPN Server
- Нажмите Create New
- Выберите тип OpenVPN
- Настройте параметры:
| Server Address | Внешний IP или DDNS имя |
| Port | 1194 (по умолчанию) |
| Protocol | UDP (рекомендуется) или TCP |
| Network | 172.16.0.0/24 (VPN подсеть) |
Создание профиля клиента
- Создайте пользователя в Settings → Admins & Users
- Включите VPN доступ для пользователя
- Скачайте .ovpn файл
- Импортируйте в OpenVPN клиент
L2TP/IPsec
L2TP/IPsec поддерживается встроенными клиентами Windows, macOS, iOS и Android.
Настройка L2TP Server
- Перейдите в Settings → Teleport & VPN → VPN Server
- Нажмите Create New
- Выберите тип L2TP
- Настройте Pre-shared Key (PSK)
- Задайте VPN подсеть
Подключение из Windows
- Откройте Настройки → Сеть и Интернет → VPN
- Добавьте VPN подключение
- Тип: L2TP/IPsec с предварительным ключом
- Введите сервер, PSK, логин и пароль
NAT-T требуется: L2TP требует проброса портов UDP 500, 4500 и протокола ESP (IP 50). За двойным NAT может не работать. Предпочтительнее WireGuard или Teleport.
Site-to-Site VPN
Для связи двух офисов или площадок используйте Site-to-Site VPN.
Site-to-Site IPsec
- Перейдите в Settings → Teleport & VPN → Site-to-Site VPN
- Нажмите Create Site-to-Site VPN
- Введите параметры удалённой площадки:
| Remote Gateway | Внешний IP удалённого роутера |
| Remote Subnets | Подсети на удалённой площадке |
| Local Subnets | Локальные подсети для туннеля |
| Pre-shared Key | Общий секретный ключ |
| IKE Version | IKEv2 (рекомендуется) |
Site-to-Site между UniFi
Если обе площадки используют UniFi Console:
- Используйте Site Magic для автоматической настройки
- Или настройте WireGuard Site-to-Site вручную
Site Magic
Site Magic автоматически настраивает VPN между площадками UniFi:
- Все Console должны быть привязаны к одному Ubiquiti аккаунту
- Включите Site Magic в настройках каждой площадки
- Выберите подсети для sharing
- Туннели создадутся автоматически
Производительность VPN
| Устройство | WireGuard | OpenVPN | IPsec |
|---|---|---|---|
| Dream Router | ~300 Mbps | ~50 Mbps | ~100 Mbps |
| Dream Machine | ~500 Mbps | ~100 Mbps | ~200 Mbps |
| Dream Machine Pro | ~1 Gbps | ~200 Mbps | ~500 Mbps |
| UDM-SE | ~1.5 Gbps | ~250 Mbps | ~800 Mbps |
| Dream Wall | ~2 Gbps | ~300 Mbps | ~1 Gbps |
| EFG | ~5 Gbps | ~500 Mbps | ~3 Gbps |
WireGuard — лучший выбор: WireGuard обеспечивает наилучшую производительность на всех устройствах. Используйте его, если нет специфических требований к совместимости.
Диагностика проблем
VPN не подключается
- Проверьте проброс портов на внешнем роутере (если есть)
- Убедитесь, что внешний IP доступен
- Проверьте Firewall правила
- Для L2TP — убедитесь в поддержке NAT-T
Низкая скорость VPN
- Переключитесь на WireGuard
- Проверьте загрузку CPU на Console
- Уменьшите MTU при проблемах с фрагментацией
Нет доступа к ресурсам через VPN
- Проверьте маршруты — добавлены ли нужные подсети
- Проверьте Firewall Rules — нет ли блокировки
- Убедитесь, что DNS корректно настроен
