这是可能的，但首先您需要静态 IP 地址。你可以要求你的 ISP 给你静态地址（当然是收费的）。

对我来说最不确定的事情是我是否可以通过隧道使用 UDM 的 UniFi 控制器......

建立隧道后，它们对设备基本上是透明的。排除延迟问题，您的控制器无法区分您是否使用 VPN 隧道。

由于这个问题仍然收到意见和评论，我只是想快速更新一下。虽然我显然同意 Ron 的观点，即这是一个不可取的设置，但我们需要实施一些快速但临时的措施来处理本地 ISP 问题和家庭办公室情况的一些挑战。

解决方案 1：手动配置

当然，IPSec 本身确实支持动态地址。问题只是 UDM 用户界面只允许静态 IP 作为地址。但是，在 UDM 文件系统上手动配置 IPSec 连接确实有效。

# UDM
# /run/strongswan/ipsec.d/tunnels/3c5d_095e_4516_2e4a.ipsec.s2s.config

conn 3c5d_095e_4516_2e4a

  auto=route
  authby=secret
  type=tunnel

  left=%any
  leftid=dynamic2.example.com
  right=dynamic1.example.com
  rightid=dynamic1.example.com

  leftsubnet=192.168.24.0/24
  rightsubnet=192.168.26.0/24

  ## phase 1 (IKE) ##
  keyexchange=ikev1
  aggressive=no
  ike=aes128-sha1-modp2048!
  reauth=yes
  ikelifetime=28800s

  ## phase 2 (ESP) ##
  esp=aes128-sha1!
  rekey=yes
  keylife=3600s
  keyingtries=%forever

但是，此配置文件会在 UDM 重新启动和固件更新时被删除或覆盖并丢失，这就是我们放弃此解决方案的原因。

解决方案 2：添加 ER-X

因为 Ubiquiti 边缘路由器都支持动态地址，所以我们刚刚将 USG 替换为 ER-X-SFP，并且还在 ISP 路由器和 UDM 之间添加了 ER-X-SFP。这样，ER-X 路由器可以处理 IPSec 连接，其余的（包括 unifi 控制器）可以在 UDM 上完成。

这根本不需要修改配置文件；IPSec 连接可以像往常一样通过边缘路由器的用户界面进行配置。https://help.ui.com/hc/en-us/articles/115012831287

评论

我个人认为静态地址的人为要求是 UDM 的一个缺点，但由于这不是一个常见的用例，我猜 UDM 并不是为此而设计的。（通常，当需要非流线型配置时，我会选择 pfSense 设备。）

然而，真正进展顺利的是，通过 IPSec VPN 在 UDM 上暴露了 unifi 控制器，使得在所有站点上添加越来越多的 unifi 接入点变得容易。

也许这可以帮助您实现目标。没有用 udm pro 解释该部分，但很确定这将是相似的。

https://community.ui.com/questions/Unifi-site-to-site-vpn-with-dynamic-IPs-behind-a-double-nat/fafcc2ba-22fb-4166-a019-c73c99d804f3