Möchte mich hier nicht mit fremden Federn schmücken.
Es gibt dazu einen Beitrag im offiziellen englischen Unifi Forum welcher mehr oder weniger verständlich ist. Mich hat es schon ein wenig Nerven gekostet.
Da es dort aber nur für den USG3 beschrieben wurde, werde ich es hier auch für den USG 4 Pro möglich machen.
Schritt 1:
Erstelle eine txt Datei auf deinem Computer und nenne sie nordvpnauth.txt.
In dieser Datei müssen 2 Zeilen hinzugefügt werden:
- NordVPN-Benutzername in der ersten Zeile und
- das Passwort in der zweiten Zeile:
username
P@$w0rdSchritt 2:
Gehe zur NordVPN reccomended Server Utility List und suche Dir einen Server aus.
Nun klickst du "show available protocols" und lädst Dir vorzugsweise die Config "Open VPN UDP" herunter. Falls keine UDP Config vorhanden bitte auf TCP ausweichen.
Schritt 3:
Öffne die heruntergeladene Datei *.nordvpn.com.udp*.ovpn in einem Texteditor.
Verändere folgende Zeile:
auth-user-passin
auth-user-pass /config/user-data/openvpn/nordvpnauth.txtUnd füge folgende Zeile hinzu:
route-nopullSpeichere nun die Datei ab als nordvpn.ovpn
Schritt 4:
- Logge dich in deinem Unifi Controller ein.
- Erstelle ein neues corporate Network mit einer VLAN ID. (z.B. wie in meinem Beispiel verwendet 255)
- Stelle sicher, dass der DHCP Name Server auf manuell steht und füge folgende DNS Server hinzu:
- DNS Server 1: 103.86.96.100
- DNS Server 2: 103.86.99.100
Schritt 5:
SSH-Verbindung zum USG aufbauen (ich verwende PuTTY oder ssh im Windows oder Mac Terminal)
- IP Adresse: LAN Adresse des USG !!!
- Benutzername und Passwort sollten bekannt sein. Ansonsten findet ihr Sie auf der "Site Page" von eurem Controller.
Nachdem ihr nun verbunden seid sind nacheinander die folgenden Befehle auszuführen:
sudo -i
mkdir -p /config/user-data/openvpn
chmod 775 /config/user-data/openvpnSchritt 6:
Verbindet euch wieder mit dem USG via SFTP (Port 22) (Tools: Windows: FileZilla / Mac: ForkLift)
- IP Adresse: LAN Adresse des USG !!!
- Benutzername und Passwort sollten bekannt sein. Ansonsten findet ihr Sie auf der "Site Page" von eurem Controller.
Kopiert nun die beiden Dateien nordvpnauth.txt und nordvpn.ovpn in das Verzeichnis /config/user-data/openvpn
Schritt 7:
Achtung:
USG 3 Besitzer - LAN1 = eth1
USG 4 Pro Besitzer - LAN1 = eth0
Kopiert folgenden Code in einen Texteditor und passt ihn an eure Umgebung an:
Bei mir wie folgt:
Das vorher erstellte VLAN 255: 10.255.45.0/24
Ihr müsst also überall nur entweder eth0 oder eth1 ändern je nach USG, die IP Adresse eures VLAN an 2 Stellen ändern und in Zeile 25 nach "vif" eure VLAN ID anpassen. In meinem Fall hier 255.
{
"firewall":{
"modify":{
"PBR_VPN":{
"rule":{
"20":{
"action":"modify",
"description":"traffic from VLan yy to VPN Tunnel",
"modify":{
"table":"20"
},
"source":{
"address":"10.255.45.0/24"
}
}
}
}
},
"source-validation":"disable"
},
"interfaces":{
"ethernet":{
"eth0":{
"vif":{
"255":{
"firewall":{
"in":{
"modify":"PBR_VPN"
}
}
}
}
}
},
"openvpn":{
"vtun0":{
"config-file":"/config/user-data/openvpn/nordvpn.ovpn",
"description":"OpenVPN Tunnel"
}
}
},
"protocols":{
"static":{
"table":{
"20":{
"interface-route":{
"0.0.0.0/0":{
"next-hop-interface":{
"vtun0":"''"
}
}
}
}
}
}
},
"service":{
"nat":{
"rule":{
"5020":{
"description":"OpenVPN Clients",
"log":"disable",
"outbound-interface":"vtun0",
"source":{
"address":"10.255.45.0/24"
},
"type":"masquerade"
}
}
}
}
}Speichert nun die Datei als config.gateway.json ab.
Kopiert nun die Datei in eure "Site" auf dem Unifi Controller. Dieser Pfad variiert je nach Controller Hardware. HIER könnt ihr nachschauen, wo ihr euren Site Ordner findet.
In meinem Fall (Cloud Key Gen2) /srv/unifi/data/sites/default.
Schritt 8:
Nun die Provisionierung des USG im Controller erzwingen
Wartet nun 2 - 3 Minuten. Wenn ihr nun ein Client in dem erstellten VLAN habt und die Seite von nordvpn.com öffnet, seht ihr weiter oben ob ihr geschützt oder ungeschützt seid.
Viel Spass ! 
