Auch wenn es schon einige Artikel gibt, die die Einrichtung einer Azure VPN Verbindung zur Ubiquiti USG behandeln habe ich mich entschlossen dieses Thema auch einmal aufzugreifen. Denn ich betreibe meine USG hinter einer FRITZ!Box 6591 Cable an einem Kabelanschluss von Vodafone. Diese FRITZ!Box kann nicht als einfaches Modem (Bridge-Modus) eingesetzt werden, wie der AVM Wissensdatenbank zu entnehmen ist. Somit wird die öffentliche IP Adresse nicht zur USG durchgereicht. Trotzdem ist es möglich eine VPN Verbindung zu Azure aufzubauen.
Übersicht über die Ressourcen
In dem Beispielen dieses Artikels werden die folgenden Werte verwendet.
- Resource Group: rg-infrastructure
- VNet Name: vn-infrastructure
- Address Space: 10.0.0.0/16
- Subnets:
- Primary: 10.0.0.0/24
- GatewaySubnet: 10.0.1.0/24
- Gateway Name: gw-azure
- Region : (Europe) West Europe
- Gateway Type: VPN
- VPN Type: Route-based
- SKU: Basic
- Generation: Generation 1
- Public IP: pip-gw
- Local Network Gateway Name: gw-onprem
- Local Subnet: 192.168.1.0/24
- Connection Name: Azure-S2S
Erstellen eines Azure VPN Gateways
Da das Erstellen des Azure VPN Gateways am meisten Zeit benötigt, stelle ich dieses als erstes bereit.

Das bereitstellen des Azure VPN Gateways dauert ca. 45 Minuten.
Erstellen des Azure Local Network Gateway
Diese Zeit nutze ich um jetzt das Local Network Gateway zu erstellen. Dieses repräsentiert den lokalen Standort zu dem die Site to Site VPN Verbindung hergestellt werden soll. Somit muss in dem Feld IP Adresse die öffentliche IP des Anschlusses eingetragen werden. Auch die Adressräume des lokalen Netzwerkes werden entsprechend definiert.

Konfigurieren der Azure VPN Verbindung
Nachdem beide Ressourcen erfolgreich erstellt wurden, konfiguriere ich die Azure VPN Verbindung wie nachfolgend dargestellt.


Exposed Host konfigurieren
Auf der FRITZ!Box muss der Exposed Host für die USG konfiguriert werden. Um die notwendigen Einstellungen vornehmen zu können, aktiviere ich als erstes die Erweiterte Ansicht der FritzBox. Anschließend kann die Einstellung in dem Bereich Internet unter dem Punkt Freigaben gemacht werden.

Erstellen der Site 2 Site VPN Connection auf der USG
Die weiteren Einstellungen erfolgen nun auf der USG. Nachdem man sich im Portal angemeldet hat, müssen die Einstellungen geöffnet werden. Diese befinden sich in der unteren linken Ecke des Portals. Falls mehrere Sites existieren, muss die passende natürlich in der oberen rechten Ecke ausgewählt werden.
Auf meiner USG zu Hause habe ich die Preview für das neue Menü aktiviert, daher kann ich über eine Suche nach VPN direkt eine neue VPN Verbindung erstellen.

In dem nun folgenden Wizard wähle ich nun anschließend UniFi to UniFi VPN aus.

Nun geht es an die Konfiguration der VPN Verbindung. Da sich die USG hinter der Fritzbox befindet, muss Ich an dieser Stelle nicht die öffentliche IP des Anschlusses, sondern die IP des exposed Hosts eintragen.

Die erweiterten Optionen ändere ich auf folgende Werte.

Nun ist die Verbindung auf der USG eingerichtet.
Kontrolle der VPN Verbindung
UniFi Controller
Es empfiehlt sich auf der Übersichtsseite des UniFi Controllers eine benutzerdefinierte Übersicht hinzuzufügen um auch dort über den aktuellen Status der VPN Verbindung informiert zu sein. Dazu füge ich eine benutzerdefinierte Ansicht über das + Symbol, zu finden neben der Standard Übersicht WLAN Metriken, hinzu.

Hier wähle ich nun die Übersicht für die VPN Verbindungen aus und füge diese der benutzerdefinierten Ansicht hinzu. Auch viele weitere nützliche Informationen lassen sich so übersichtlich darstellen.

Somit kann ich an dieser Stelle direkt sehen wie der Status meiner VPN Verbindungen ist. Je nach Status leuchtet die Lampe entsprechend grün, gelb oder rot.
Azure Portal
Im Azure Portal kann sich der Status der VPN-Verbindung auf der Übersichtsseite der Verbindung angeschaut werden.

Der Status sollte hier nach kurzer Zeit auf Connected stehen.
Troubleshooting
Für den Fall das die VPN Verbindung nicht erfolgreich hergestellt werden kann, ist die Knowledge Base des Herstellers sehr gut. Der Artikel UniFi – Verifying and Troubleshooting IPsec VPN on USG beschreibt detailliert wie die Fehlersuche durchzuführen ist.