Met de laatste 5.5.19 Controller software van Unifi kun je nu heel eenvoudig een VPN server opzetten met een eigen user management. Je maakt hierbij dan gebruik van de Radius Server die op je USG draait. In deze blog leg ik uit hoe je dit opzet en hoe je dit met je iPhone dan kunt gebruiken.
Enable eerst je Radius Server:
Voeg vervolgens je gebruikers toe die je toegang wilt verlenen:
Controleer je Radius Profiel
Nu gaan we tenslotte de L2TP VPN Server opzetten. Ga hiervoor naar de ‘Networks’ tab en voeg een nieuw netwerk toe. Vul hier de volgende gegevens in:
Wacht totdat je Unifi Security Gateway klaar is met ‘provisioning’. Dit kun je eenvoudig bij de Devices zien.
Tenslotte moet je op je iPhone nog VPN instellen. Ga hiervoor naar ‘Instellingen’ en kies VPN. Voeg hier een VPN-configuratie toe en kies als type ‘L2TP’. Vul vervolgens je instelde waardes van je Unifi Controller in.
In eerste instantie kon ik alleen maar via mijn interne Wifi netwerk een VPN verbinding opzetten en niet via de 4G verbinding. Na een reboot van de USG was dat probleem opgelost.
Je kunt in het Dashboard van je Unifi Controller software mooi zien of er een VPN verbinding actief is. Verder kun je wat meer details hierover opvragen.
De Unifi Controller software wordt steeds beter en krijgt steeds meer mogelijkheden. Ik ben nog steeds erg blij dat ik naar Unifi apparatuur ben geswitcht. Professioneel spul met een vriendelijke prijs.
Goede uitleg, werkte in 1 x bij mij 🙂
Bedankt!
bij windows werkt het niet weet jij hoe dit zou komen ?
Je moet heel precies je properties van je VPN connectie instellen in Windows. Zie vooral ook het Forum van Unifi waar veel tips staan. De volgende link geeft informatie hoe je dit moet doen.
Ik krijg het hiermee niet werkend helaas. Wat wel opvalt is dat het aangemaakte netwerk niet zichtbaar is onder settings -> network. Maak ik het nog eens opnieuw aan is het netwerk al in gebruik geeft het aan.. Enig idee wat dit kan zijn?
Dat is vreemd inderdaad. Bij mij staat hij wel gewoon in de lijst hier. Heb je na het drukken van de [Save] button wel gewacht tot ‘provisioning’ klaar is? Heb je misschien last van een caching issue met je browser?
Het werkt in Unifi Dream Machine ongeveer hetzelfde, kan verbinden, maar ik zie de VPN nergens apart actief en zie bij ‘Remote User VPN’ overzicht geen verbindingen actief, terwijl ik wel verbonden ben..
Dat lijkt een bekende bug van de Unifi Controller software. Ik zie soms ook niet de VPN actief hier terwijl er wel een VPN verbinding is.
Erg jammer, gebruik tot die tijd nog maar de VPN van mijn NAS.
Zie wel in de logs het volgende:
INFO system – Interface changed. 7 found: [{“name”:”l2tp0″,”ip”:”10.255.255.0″}, {“name”:”honeypot0″ …..
Wat ik ook raar vind trouwens, de 10.255… ik heb als gateway ip ingevuld ‘192.168.7.1/24′ dan zou die toch in de 192.168.7.x range de ip’s moeten geven of heb ik dat fout? 😛
Of moet ik hiervoor eerst een DHCP server opzetten?
In Gateway/Subnet stel je IP-range in welke je uitgedeeld krijgt door de USG met een VPN connectie. Bij mij komt dat bijvoorbeeld overeen als ik kijk welk IP-adres mijn iPhone heeft gekregen.
Met een VPN connectie ben je onderdeel van het netwerk thuis en kan je jouw lokale IP-adressen pingen. Werkt dat wel?
Lokale IP bedoel je het ip wat ik van de provider heb gekregen? Wat ik had gedaan is al op sites van ‘whatsmyip’ gecheckt of ik indd dat IP address had en dat klopte indd als ik verbonden was met de VPN.
In mijn telefoon geeft die wel nog gewoon een vreemd 109.xxx. adress bij status weer.
Correctie, de telefoon geeft bij status het IP 10.162.250.98. dat is dus totaal iets anders dan dat ik in de VPN bij Gateway IP / Subnet heb ingevuld.
Ik bedoel het IP-adres dat aan je device (b.v. SmartPhone) is toebedeeld als je een VPN connectie maakt met je USG thuis. Hier (b.v. je SmartPhone) kun je ook testen of je bijvoorbeeld je lokale apparaten thuis kunt pingen die met je USG verbonden zijn.
Het werkt toch, heb even via de PC een verbinding gemaakt met de VPN, en deze kreeg meteen 192.168.7.1 als IP. Dat klopt dus en kan het ook pingen.
Toen via de telefoon gedaan en het rijtje afgegaan. en bij ping 192.168.7.3 kreeg ik reply. dat zal dan de telefoon moeten zijn.
Echter kan(of weet ik niet hoe) ik makkelijker terug kan zien welk IP de telefoon krijgt? in de status van de telefoon zelf heb ik een 10.190.xxxxx address, zie dat bij welke VPN ik ook verbindt, dit address in de telefoon niet veranderd. Blijft het echte adress laten zien wat ik ook heb zonder VPN verbinding.
Op mijn iPhone zie ik het IP-adres door op het (i) te drukken van de VPN verbinding als ik verbonden ben.
Helaas, Android, niks op te vinden..
Bedankt voor de hulp iig! Alles(behalve client connected list) lijkt te werken 🙂
Hoi Henri,
Sinds kort ben ik ook in het bezig van een USG en heb ik een vpn opgezet. Nu valt mij op dat ik in het dashboard nergens zie dat er een vpn actief is als ik deze start op bijvoorbeeld mijn mobiel. Zie jij dit nog wel of hebben ze dit om zeep geholpen met een update van de unifi software dat jij weet?
Dat is inderdaad een bug van de Unifi Controller software. Soms laat het wel zien en soms niet. Is nogal random. Kijk eens na een reboot van de Controller Software of hij het dan ook niet laat zien.
Ga ik proberen. Thanks voor je reactie!!
Waar vind ik mijn “Server”
Bij U staat er eye-vision.homeip.net.
Ik kan dat nergens terug vinden.
Ik neem aan dat je het over het 3 na laatste screenshot hebt. Dat is bij de IOS instellingen (iPhone). Ga naar Instellingen > VPN. Kies vervolgens onderaan ‘Voeg VPN-configuratie toe…’.
Idd IOS, ik heb het tabblad VPN gevonden en alles ingesteld maar waar vind ik mijn “server”.
Waar bij U staat “eye-vision.homeip.net”.
Als ik hier ‘Voeg VPN-configuratie toe…’ kies dan ik bij mij gewoon de server staan. Zie ook bijgevoegd screenshot.
Dat vind ik, maar wat is mijn server.
Het IP adres van je internet connectie op je USG (ik heb zelf een Dynamic DNS hiervoor aangemaakt).
Het is gelukt.
Bedankt voor de uitleg.
Goedemiddag,
ik heb deze handleiding gevolgd en de vpn verbinding werkt.
Alleen de VPN verbinding moet wel beveiligd zijn tegen indringers. Klant wilt dat zijn verkeer gewoon versleuteld is. is dat nu ook het geval of moet je dan hele andere stappen uitvoeren?
Aangezien je L2TP gebruikt is je verbinding/verkeer automatisch beveiligd. Zie ook deze link met overzicht van welke beveiliging bij welke protocollen wordt gebruikt.
Ten eerste dank voor je duidelijke uitleg.
Dit zijn makkelijk te nemen stappen en ik kan na het zien van een twintigtal filmpjes wel zeggen dat jou stappen het makkelijkste is om te
volgen. Maar…
Ik krijg het nog steeds niet aan de gang en ik zou echt niet weten wat er fout gaat.
Ik heb ook geen idee waar het fout gaat, wanneer ik inlog via SSH kom ik ook niet verder dan dat mijn inlog credentials fout zijn..
Het enige verschil is dat ik met een Samsung telefoon bezig ben.
Ik heb alle stappen ondernomen maar wat ik ook probeer er ontstaat geen connectie.
Vermoedelijke zit het in mijn server. Ik gebruik niet mijn extern IP maar mijn site gegevens. Dit werkt niet maar wanneer ik het omdraai werkt het ook niet.
Alvast dank voor je hulp
De inlog gegevens voor SSH zijn dezelfde als die je voor inloggen in je Unifi Controller gebruikt. Op mijn Debian server waarop ik Unifi Controller draai kun je de logging vinden in ‘/var/log/unifi’.
Hoe het met Samsung (Android) ingesteld moet worden kan ik niet zeggen. Ik heb alleen een iPhone. Wellicht dat een van de lezers van mijn blog je verder kan helpen hiermee.
Mee eens, maar op de een of andere vage reden kan ik er niet in komen.
Maar ik denk echt dat mijn probleem bij de server zit…
Ik denk dat ik wel een vermoeden heb waar het probleem mogelijk ligt. Ik heb namelijk mijn Ziggo router in Bridge mode staan. En mijn USG is mijn router. Nu heb ik de poorten denk aan 1812 en 1813 niet open staan, zou dit het probleem kunnen zijn?
Ik heb mijn Ziggo modem ook in bridge mode staan en USG doet dienst als Router. Ik heb geen port-forwards ingesteld in mijn Unifi Controller voor poort 1812 en 1813.
Ik heb het opgegeven. De settings gewoon weer naar normaal, want ik krijg het niet aan de gang. Op diverse fora is te lezen: “misschien is het dit en misschien is het dat”…Ik denk dat ik mijn netwerk eens grondig aanpak…van nul opnieuw opgaan bouwen.
OK. Je hebt er niks aan, maar hier werkt het gewoon met de stappen zoals in het artikel gegeven. Verder hebben andere mensen het ook zo aan de praat gekregen als ik de reacties lees. Wellicht toch ergens een detail wat je mist.
Succes verder Theo!
Bedankt voor deze uitleg. Ik blijft tegen het probleem aanlopen dat ik wel vanaf mijn interne netwerk een VPN verbinding kan opzetten, maar niet via mobiel. Herstart van de USG mocht niet baten. Ik heb een Fritzbox router voor de USG hangen met een DMZ naar de USG. Maar toch blijkt de USG niet zichtbaar vanaf buiten. Alvast bedankt voor je reactie.
Ik heb geen idee Willem. Ik gebruik zelf een Ziggo modem in Bridge Modem die aan de USG hangt. Wellicht dat DMZ je probleem veroorzaakt en dat je daar nog poort(en) open moet zetten voor de VPN verbinding. Als ik wat google dan zie ik:
Both PPTP and L2TP need the PPTP & L2TP pass-through options in the firewall/router’s management interface to be enabled (if applicable). Routers without these options may not support PPTP or L2TP traffic
Bedankt voor je reactie. Deze heeft me op het goede spoor gebracht. Het werkt nu. In de Fritzbox was de VPN service geactiveerd waardoor de poort 500 en 4500 bezet waren. Ik heb de service uitgezet en voila, ik kan via mobiel verbinding maken met de USG VPN.