<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=7086586&amp;fmt=gif">
Skip to content
Kostenlose Beratung anfordern

Wie man VPN Tunnel von Ubiquiti zu Zscaler konfiguriert

  • Problem: Viele IoT/OT-Geräte, Server und Legacy-Systeme unterstützen keine Agenten (z. B. Zscaler Client Connector).
  • Lösung: IPSec-Tunnels von UniFi Gateways zu Zscaler (ZIA), um HTTP/HTTPS-Traffic zentral zu inspizieren und zu filtern – ohne Agent auf dem Endgerät.
  • Mehrwert: Einheitliche SSE-Sicherheitskontrollen (Web-Filter, Threat-Protection, DLP, CASB), konsistentes Egress-IP-Handling, einfacher Rollout und hohe Verfügbarkeit über zwei Zscaler-Rechenzentren.

    Zscaler VPN via Ubiquiti Architecture

Architektur in 60 Sekunden

  • UniFi-Gateway (Hier HA-Cluster) baut redundante IPSec-Tunnel zu den zwei nächstgelegenen Zscaler-DCs auf (Primär/Backup).
  • Policy-Based Routing (PBR) auf der Ubiquiti leitet definierten Traffic (z. B. IoT-VLANs → Web) in den Tunnel (also als transparenter Proxy), interne Ziele (RFC1918) und Zscaler Agent-Traffic wird gebypasst.
  • Zscaler (ZIA) inspiziert/verarbeitet den Traffic gemäss der  Policies.
  • Je nach Resilienz-und Performance-Ansprüchen lassen sich beliebig viele Tunnel über beliebige ISPs an beliebigen Zscaler Datacentern mit beliebigen Prioritäten aufbauen.

Voraussetzungen (Checkliste)

1. IPSec von Ubiquiti zu Zscaler

  1. Nächstes Zscaler-DC bestimmen und VPN Host Name notieren (z. B. zrh1-… oder fra4-…). Die Übersicht/Tabelle ist im SOP abgebildet, Seite 2.
  2. Static IP registrieren: ZIA Admin Portal → Administration → Static IPs & GRE Tunnels → Add Static IP (UniFi-WAN-IP eintragen). Seite 2.
  3. VPN Credential anlegen: ZIA Admin Portal → Administration → VPN Credentials → Add VPN Credentials → Static IP auswählen, Pre-Shared Key setzen, speichern. Seite 2–3, inkl. Maske.
  4. Location zuordnen: Administration → Location Management → Credential der gewünschten Location hinzufügen. Seite 3.
  5. Policies konfigurieren (SSL-Inspection für IoT und OT muss in den meisten fällen ausgeschaltet werden, für Server kann das Zscaler Root-CA auf den Servern ausgerollt werden)

2. UniFi-Seite konfigurieren (Tunnel 1 – Primär-DC)

  1. UniFi Network → Settings → VPN → Site-to-Site VPN → Create New.
  2. VPN Type: IPSec, VPN Method: Route-Based.
  3. Remote IP/Hostname: den Zscaler VPN Host Name aus Schritt 1 (z. B. zrh1-2-vpn.zscaler.net).
  4. IKE/ESP (siehe Screenshot):
  5. Key Exchange: IKEv2
  6. AES-256 / SHA1, DH-Gruppe 14, PFS aktiv, SA-Lifetime IKE 28800s / ESP 3600s
  7. Tunnel IP: /31 gemäß UniFi-Maske (Standardvorgabe im Screenshot).
  8. Remote Networks: so setzen, dass das Failover-Paar mit Tunnel 2 übereinstimmt (siehe nächster Schritt). 
  9. Route Distance (Metrik): kleinerer Wert = bevorzugt (z. B. 30 für Primär). 

3. UniFi-Seite konfigurieren (Tunnel 2 – Backup-DC)

  1. Wiederholt Schritt 2 mit zweitem DC-Hostname (z. B. fra4-vpn.zscaler.net).
  2. Remote Networks identisch zum ersten Tunnel – dadurch erkennt UniFi das Failover-Paar.
  3. Route Distance höher als beim Primär-Tunnel (z. B. 60).

4. UniFi-Seite konfigurieren (Tunnel 2 – Backup-DC)

 

  1. Bypass RFC1918 (10/8, 172.16/12, 192.168/16) → nicht in den Tunnel.
  2. Bypass Zscaler-Backends/ZCC-Infrastruktur (z. B. config.zscaler.com Aggregierte-Ranges). 
  3. ANY → Tunnel für die vordefinierten Quell-VLANs/Netze (IoT/OT/Server).
  4. Danach prüfen, ob beide Tunnels „Online“ sind
Wichtig:
 
  • UniFi kann PBR-Regeln (noch) nicht umsortieren. Legt sie in der richtigen Reihenfolge spezifisch → allgemein an und baut Platzhalter Regeln für verschiedene Use Cases, die ggf. später nachgeführt werden sollen.
  • Für Ausschlüsse müssen Ausnahme- und ANY-Regel die selbe Source haben
  • In der Ausnahme Kill Switch nicht aktivieren (weil sonst der Failover zu den anderen Tunneln nicht mehr funktioniert)

Verifikation & Betrieb

  • Egress-IP in ZIA prüfen (Log/Insights) – ist sie eurer Static IP/Location zugeordnet?
  • SSE-Policies testen (URL-Filter, DLP, Upload-Kontrollen, SSL-Inspection).
  • Monitoring: Tunnel-Status, Latenz zu den DCs, MTU/MSS-Clamp (bei Fragmentierung).
  • Schlüsselhygiene: PSK regelmäßig rotieren, Admin-Zugriffe auditieren.

Best Practices aus Projekten

  • VLAN-basiert onboarden: dedizierte IoT/OT-VLANs per PBR in den Tunnel – minimiert Blast-Radius.
  • „Nur Web“ sauber trennen: Interne Dienste (z. B. OT-HMIs) nicht ins Internet tunneln; RFC1918-Bypass hilft.
  • Zwei regionale DCs wählen (z. B. Zürich + Frankfurt) → Failover mit klarer Priorität (Route Distance).
  • Change-Fenster einplanen: Bei SSL-Inspection oder DLP kann es App-Seiteneffekte geben; mit Pilotgruppe starten.
  • Dokumentation pflegen: DC-Listen, PBR-Ausnahmen (z. B. ZCC/Update-CDNs), verantwortliche VLANs, Notfall-Rollback.

Fazit

Mit IPSec UniFi → Zscaler lassen sich nicht agent-fähige IoT/OT-Assets und Server einfach, skalierbar und kosteneffizient an moderne SSE-Kontrollen anbinden – ohne Eingriffe am Endgerät. Die Kombination aus zwei DC-Tunneln, sauberem PBR und konsequenter Policy-Prüfung liefert schnell messbaren Sicherheitsgewinn – genau dort, wo Agenten nicht hinpassen.

 
, , ,

You might like

Ubiquiti Logo
UniFi Network Application 9.5.21
Mit der Version 9.5.21 setzt Ubiquiti die schrittweise Weiterentwicklung seiner Netzwerkplattform fort. Das Update konzentriert sich auf Stabilität, Transparenz und Sicherheitsmechanismen – weniger auf neue Funktionen, mehr auf strukturelle Reife. Besonders relevant ist diese Version...