WireGuard instellen
Een VPN is essentieel om op afstand toch bij je bedrijf te komen! De fileserver, lokale apparaten, remote onderhoud aan systemen of thuiswerken, het is in bijna geen enkele omgeving meer weg te denken. Daarom leggen wij in deze handleiding uit hoe je in de Unifi controller een WireGuard VPN opzet.
VPN Server instellen
Ga in je controller naar de settings, ‘VPN’ en dan naar ‘VPN Server’.
Zodra je in de instellingen zit kom je gelijk bij het instellen van een VPN server. Deze zorgt er voor dat een client toegang heeft om verbinding te maken met dit netwerk.
In het scherm heb je een aantal gegevens die vooraf ingevuld zijn en kan wijzigen. Normaal is het niet nodig om hier wijzigingen in aan te brengen en kan je de standaard configuratie laten staan.
Mocht je willen dat de VPN clients in een ander subnet terecht komen kan je de IP pool aanpassen. Ook kan je aangeven over welke WAN verbinding de VPN tot stand moet komen.
Het ‘alternate address’ kan worden gebruikt als de gateway achter een NAT of dynamisch IP zit zodat de clients altijd kunnen verbinden.
Zijn alle instellingen goed, of heb je niks veranderd kan je klikken op ‘Add’.
Client toevoegen
Zodra je de VPN server hebt aangemaakt kan je clients toe gaan voegen. WireGuard werkt doormiddel van configuratie bestanden die je in de client upload. Het config bestand kan de VPN opbouwen en daar zal doormiddel van een ‘Public Key’ zichzelf tegen de VPN server autoriseren.
Het configuratiebestand kan worden aangepast om zo meer of minder toegang te geven tot bepaalde VLANs. Hier hoef je niks mee te doen, maar in sommige gevallen kan het noodzakelijk of handig zijn om hier wijzigingen in aan te brengen.
Belangrijk: Als je een client aanmaakt zal je het configuratiebestand moeten downloaden voordat je de client opslaat! Unifi zal hier ook een melding van geven als je dit nog niet gedaan hebt.
Client configureren
Dan heb je het configuratiebestand gedownload en de client opgeslagen en kan je het bestand in gaan laden op het apparaat van de client. Dit kan een computer, laptop, tablet of telefoon zijn, zolang WireGuard geïnstalleerd kan worden is het mogelijk dit bestand in te laden en de VPN op te zetten.
Open de WireGuard Client en klik op ‘Add Tunnel’, upload dan het configuratiebestand.
Nu staat de VPN tunnel klaar en kan hij gebruikt worden om de verbinding op te zetten! Door op ‘Activate’ te klikken wordt de verbinding actief.
Configuratie aanpassen (optioneel)
Nu de tunnel is geïmporteerd kunnen wij het configuratie bestand gaan bewerken. Dit is niet perse nodig, maar in sommige gevallen kan het noodzakelijk zijn. Klik op ‘Edit’ om te bewerken.
De bovenste gegevens worden uitgedeeld door de Unifi controller en dicteren in welk subnet de clients komen. Onder de ‘Peer’ gegevens staan de subnets (Allowed IPs) waar de client bij mag en het publieke IP van de gateway.
Standaard mag WireGuard bij alle subnets komen, maar dit moet wel in het configuratiebestand staan. Standaard staat hier 0.0.0.0 en kan je vanuit de client niet op andere subnets. Om dit te wijzigen voeg je een COMMA toe en daarna de IPs waar de client bij mag komen.
Gebruikers kunnen dit ook zelf aanpassen, en als ze weten welke subnets er zijn kunnen zij dit zelf invoeren. Dit kan geblokkeerd worden in de Firewall en laten wij verderop zien.
Hieronder een voorbeeld van de subnets die toegevoegd zijn aan de configuratie.
Als je dit opslaat kan een client verbinden met de VPN en op alle subnets op het netwerk. Let altijd op dat het juiste publieke IP bij Endpoint ingevuld is.
Firewall instellen
Standaard kan de VPN client nog niet bij de subnets omdat de Firewall dit tegenhoud. Er moeten dus een paar regels aangemaakt worden zodat er verkeer van en naar het subnet van de VPN mag.
Ga in de instellingen naar ‘Security’ en dan naar de Firewall. Scroll naar beneden onder de Zones en klik op ‘Create New Policy’.
De volgende stappen zijn gebaseerd op de nieuwe “Zone Based” Firewall en verschilt in uiterlijk met de oude Firewall.
Wij moeten nu de zone selecteren waar de regel voor geldt. In dit geval is de zone VPN.
Bij “Source Zone” zet je de zone op VPN en het type op “Server”. Als je Server hebt geselecteerd kan je de VPN server kiezen die je hebt aangemaakt.
Onder “Action” selecteer je “Allow” en zet je ook een vinkje bij “Auto Allow Return Traffic”. Dit zorgt er voor dat er gelijk een regel wordt aangemaakt dat het verkeer ook weer terug mag.
Nu gaan wij naar de “Destination Zone”. Deze zet je op de Zone Internal, omdat het om de LAN gaat.
Het Type zet je op “Network” en daarna selecteer je het VLAN waar de VPN toegang toe mag hebben.
De overige instellingen kunnen normaal op hun standaard waarden blijven staan.
Nu voeg je de policy toe door op “Add Policy” te klikken.
Nu is de VPN klaar en kan de verbinding bij de juiste VLANs.