Cómo configurar UniFi VPN en UDM Pro

Cuando esté fuera de casa, es posible que necesite tener acceso a su red doméstica, por ejemplo, para obtener archivos de su NAS, o cuando estás en un WiFi público, probablemente quieras usar una conexión VPN segura antes de acceder a tu cuenta bancaria. Con UniFi VPN podemos arreglar todo esto.

Con la red UniFi podemos configurar fácilmente un servidor VPN de acceso remoto en nuestro UDM Pro o USG.

La VPN remota no solo le ofrece acceso a su red doméstica, sino que también le permite navegar por Internet de manera segura.

Consejo

Asegúrese de consultar también este artículo de UniFi Teleport, que le permite crear una conexión VPN desde su dispositivo móvil con un solo clic.

En este artículo, explicaré cómo configurar UniFi VPN en la última versión de UniFi Network (7.x) y veremos algunos problemas comunes.

Configurar UniFi VPN

Para configurar la VPN UniFi necesitarás tener un modelo UDM o un USG. Además, asegúrese de ejecutar el firmware más reciente en su consola.

Si tiene un módem o enrutador antes de su UDM o USG, asegúrese de que el módem/enrutador esté configurado en modo Puente. De esta manera, todo el tráfico se reenviará directamente a su red Unifi. Si eso no es posible, deberá reenviar los siguientes números de puerto a su consola Unifi Network:

– Puerto UDP 500
– Puerto UDP 4500

  1. Abra la configuración de VPN

    En la aplicación de red UniFi, vaya a Ajustes > vpn

    Unifi VPN

  2. Habilitar servidor VPN

    Habilite el servidor VPN y anote o cambie el Clave previamente compartida
    Asegúrese de que la dirección del servidor esté configurada en su dirección IP pública

    udm pro vpn

  3. Crear un nuevo usuario de VPN

    El siguiente paso es crear un nuevo usuario de VPN. Haga clic en Crear un nuevo usuario e ingrese un nombre de usuario y contraseña.

    Crear usuario VPN

  4. Configuración avanzada

    Establezca la configuración avanzada en Manual. Aquí puede cambiar la subred si lo necesita. Pero lo más importante es configurar su servidor DNS interno y habilitar Requerir autenticación fuerte.

    Se necesita autenticación fuerte para el protocolo MS-Chap v2 que usan Windows 10 y 11.

    configuración unifi vpn

Las reglas del cortafuegos se crean automáticamente para la VPN de acceso remoto, por lo que no es necesario que las veamos.

Conexión a UniFi VPN con Windows

Para usar la conexión VPN en Windows no necesita instalar ningún cliente. Podemos usar el cliente VPN incorporado. Los pasos a continuación son los mismos en Windows 10 y 11.

  1. Inicio abierto y tipo VPN y seleccione Configuración de VPN
  2. Hacer clic Agregar VPN
  3. Seleccione Ventanas (incorporadas) como proveedor de VPN
  4. Introduzca un nombre de conexiónpuede ser lo que quieras
  5. Introducir el dirección IP pública de tu Consola UniFi
  1. Tipo de VPN > Seleccionar L2TP/IPSec con clave precompartida
  2. Introduce la clave precompartida que hemos configurado anteriormente en la Consola UniFi
  3. Rellene el nombre de usuario y contraseña que creamos.
  1. Guardar la configuración
  2. A continuación, debemos cambiar el adaptador de red VPN para habilitar MS Chap v2.
    Presione la tecla de Windows + R y tipo ncpa.cpl
  3. Ahora verá su adaptador de red VPN.
    Botón derecho del ratón en su adaptador y seleccione Propiedades
  4. Sobre el Pestaña de seguridad:
    Seleccione Permitir estos protocolos y habilitar Microsoft CHAP versión 2
  1. Hacer clic OK para guardar la configuración.
  2. Tu puedes ahora haga clic en Conectar para probar la conexión VPN. Debería conectarse inmediatamente a su servidor UniFi VPN.

Como puede ver en la captura de pantalla a continuación, hemos conectado la conexión Lazy VPN y obtuvimos una dirección IP en el rango configurado en el UDM:

Solucionar problemas de conexión VPN UniFi

Configurar VPN de acceso remoto a veces puede ser un poco desafiante. Cuando su UDM o USG está ubicado detrás de un módem/enrutador, las conexiones VPN L2TP a veces no funcionan tan fácilmente como deberían.

Además de posibles problemas con el módem/enrutador, el cliente también puede causar problemas con la configuración de una conexión VPN remota. Por ejemplo, a principios de 2022, una actualización de Windows 10 y 11 (KB5009543, KB5009566) provoca el siguiente error de conexión:

The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer

Se arregló con un nueva actualizaciónpero como puede ver, también puede ser el cliente el problema.

Entonces, para ayudarlo a depurar problemas de conexión, puede monitorear el registro de VPN en su UDM/USG. Esto realmente lo ayudará a encontrar la causa del problema de conexión:

Cómo abrir el inicio de sesión de VPN en UDM/USG

Para ver el registro de VPN, deberá tener acceso SSH a su UDM o USG. Asegúrese de que el acceso SSH esté habilitado en UniFi OS y que conozca la contraseña:

Abra la Terminal de Windows o cualquier otra CLI que le guste usar y escriba:

# Replace the IP Address with the address of your USG/UDM
ssh [email protected]

# Enter the SSH Password

A continuación, abriremos el registro de VPN L2TP en la consola. Esto transmitirá en vivo el contenido del registro a la consola:

sudo swanctl --log

Es normal que no veas ningún resultado al principio. Simplemente deje la consola abierta e intente conectar su Cliente VPN.

Sin salida de registro de VPN

Cuando intenta conectar el cliente pero no ve ningún resultado en la consola, entonces el Cliente VPN no puede llegar a la consola. Asegúrese de usar la dirección IP pública correcta, el reenvío de puertos esté configurado correctamente y vuelva a verificar la configuración de VPN en la consola UniFi.

Clave precompartida incorrecta

Si la clave precompartida es incorrecta, por ejemplo, verá lo siguiente en el registro:

02[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
02[NET] sending packet: from 80.90.100.110[500] to 192.168.1.22[60815] (372 bytes)
04[NET] received packet: from 192.168.1.22[60816] to 80.90.100.110[4500] (76 bytes)
04[ENC] invalid ID_V1 payload length, decryption failed?
04[ENC] could not decrypt payloads
04[IKE] message parsing failed

Nombre de usuario o contraseña incorrectos

Cuando el nombre de usuario o la contraseña son incorrectos, obtendrá un error de conexión remota denegada en el cliente. En el registro de VPN podemos identificarlo por las siguientes líneas:

16[IKE] received DELETE for ESP CHILD_SA with SPI c707898e
16[IKE] closing CHILD_SA lns-l2tp-server{7} with SPIs c577f0d2_i (771 bytes) c707898e_o (494 bytes) and TS 87.214.43.90/32[udp/1701] === 192.168.1.22/32[udp/1701]
16[CHD] updown: ok
09[NET] received packet: from 192.168.1.22[54205] to 87.214.43.90[4500] (92 bytes)
09[ENC] parsed INFORMATIONAL_V1 request 2150840229 [ HASH D ]
09[IKE] received DELETE for IKE_SA lns-l2tp-server[7]

Terminando

Configurar VPN de acceso remoto a veces puede ser un poco desafiante. Especialmente cuando su USG o UDM está detrás de otro módem o enrutador.

Pero una vez conectado, puede acceder de forma segura a su red doméstica o navegar por Internet de forma segura enrutando su tráfico de Internet a través de la VPN.

Espero que este artículo le haya resultado útil, si tiene alguna pregunta, simplemente deje un comentario a continuación.

Otros artículos relacionados

¿Qué es un servidor DHCP?  Todo lo que necesitas saber

¿Qué es un servidor DHCP? Todo lo que necesitas saber

Cada red tiene uno, un servidor DHCP, pero ¿qué es? En resumen, el servidor DHCP asigna una dirección de red ...
Leer Más
Cómo configurar UniFi VPN en UDM Pro

Cómo configurar UniFi VPN en UDM Pro

Cuando esté fuera de casa, es posible que necesite tener acceso a su red doméstica, por ejemplo, para obtener archivos ...
Leer Más

Deja un comentario