Bon, j'ai changé d'abo internet. Du coup, j'ai un grand problème, je dois utiliser la box fournisseur (Merci Sunrise...) mais en contrepartie j'ai 6-7 Gb/s ce qui est sympa.

Bref, avec mon ancien abo, j'avais un vpn en place entre chez moi et chez mes parents, afin de pouvoir lancer des backups entre NAS facilement sans rien ouvrir sur internet. Aujourd'hui avec le double NAT des deux côtés, la solution IPSEC sur les UDM ne marche plus (pas sans s'embeter).

On va donc passer au plan B: OpenVPN. Mais sur l'UDM Pro directement!

Prérequis

Il vous faudra donc:

  • 2 UDMP ou USG.
  • Un nom de domaine
  • Eventuellement un dns dynamique si votre IP n'est pas fixe
  • 10 minutes (oui c'est rapide)

Mise en place

Première étape: Générer une clé openvpn: on se connecte en SSH a l'UDMP et on entre:

openvpn --genkey --secret /tmp/ovpn
cat /tmp/ovpn

Pour l'USG les commandes varient un peu:

generate vpn openvpn-key /tmp/ovpn
sudo cat /tmp/ovpn

La on copie la clé qui se trouve entre les (là ou il y a les ...) :

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
...
...
-----END OpenVPN Static key V1-----

Et on supprime tout les retours a la ligne et les espaces inutiles. Une fois fait, on garde cette clé sous le coude on va bientôt en avoir besoin.

On ouvre l'interface de l'UDMP, on va dans l'onglet Network et on clique sur Create new network. La fenêtre suivante s'ouvre:

On donne donc un nom a notre network, on sélectionne Site-to-Site VPN et OpenVPN. Les réglages a mettre sont les suivants:

  • Remote subnets: le range d'adresse IP de votre réseau lointain
  • Remote Host: votre nom de domaine qui pointe sur le réseau lointain
  • Remote address: Une adresse ip qui défini le point d'accès distant: vous pouvez choisir ce que vous voulez, tant que c'est hors des IP que vous utilisez déjà, j'ai mis dans le range 10.x.x.x car je ne l'utilise pas.
  • Port: 1321 (port par défaut)
  • Local address: même idée que pour le Remote address, mais pour la machine sur laquelle vous êtes. Pareil j'ai pris le range 10.x.x.x histoire de...
  • Shared Secret Key: votre clé OpenVPN faite a l'étape précédente.

Et voilà! Répétez ces étapes sur le second UDMP ou USG en inversant les IP de Local Address et Remote Address et vous êtes tout bon!

(source: https://help.ui.com/hc/en-us/articles/360002426234-UniFi-USG-VPN-How-to-Configure-Site-to-Site-VPN#7)