Dacă ai mai multe locații — birou, depozit, casă, un site remote — și vrei ca toate să fie pe aceeași rețea, parcă ar fi într-un singur loc, UniFi face treaba asta absurd de simplu. Serios, e unul din acele lucruri care în mod tradițional necesita ore de configurare pe CLI, tuneluri IPsec manuale, debugging de rute și multă frustrare. Cu UniFi, sunt câteva click-uri. Interfața e super intuitivă — nu trebuie să fii network engineer ca să configurezi un tunel VPN care chiar funcționează.

București — Auckland: 17.000 km, un singur click

Ca să vă dau un exemplu concret de cât de bine funcționează: am configurat o legătură site-to-site între București, România și Auckland, Noua Zeelandă. Da, ați citit bine — aproape 17.000 de kilometri distanță, literalmente de o parte și de alta a planetei.

Am un UniFi Gateway în București și unul în Auckland. Am intrat în dashboard, am creat tunelul site-to-site, și it works like a charm. Device-urile din Auckland văd rețeaua din București ca și cum ar fi în camera de alături. Accesez NAS-ul, camerele, serviciile interne — totul transparent, ca pe LAN.

Ce m-a impresionat cel mai mult? Stabilitatea. Tunelul e up non-stop, se reconectează singur după orice întrerupere de internet, și latency-ul e consistent (~280ms, ceea ce e excelent pentru distanța asta). Nu am intervenit manual de când l-am configurat. Zero maintenance.

De ce site-to-site VPN?

Ideea e simplă: ai două sau mai multe rețele fizice, în locații diferite, și vrei ca device-urile din fiecare locație să se vadă între ele ca și cum ar fi pe același LAN. Câteva scenarii reale:

• Birou + depozit — accesezi camerele de supraveghere și NAS-ul din depozit direct din biroul principal
• Birou + home office — angajații de acasă accesează resursele interne fără VPN client pe fiecare device
• Mai multe filiale — o singură rețea logică, managementul centralizat, politici uniforme
• Locații pe continente diferite — exact cum am făcut noi cu București-Auckland: acces complet la rețeaua remote, de oriunde din lume

Cum funcționează pe UniFi

Ai nevoie de un UniFi Gateway (UDM, UDM Pro, UDR, UCG Ultra — oricare din ele) în fiecare locație. Ambele trebuie să fie adoptate într-un UniFi Site. Apoi:

1. Deschizi UniFi Network pe unul din gateway-uri
2. Settings → VPN → Site-to-Site VPN
3. Create Site-to-Site VPN — alegi locația remote
4. Done. Literalmente. UniFi negociază tunelul automat între cele două gateway-uri.

Nu trebuie să configurezi manual:

• Chei pre-shared sau certificate
• Phase 1 / Phase 2 parameters
• Rute statice
• Firewall rules pentru tunelul VPN
• NAT traversal

UniFi face totul automat. Alege protocolul potrivit (WireGuard sau IPsec, în funcție de firmware), negociază parametrii, setează rutele și deschide firewall-ul. Tunelul e up în secunde. Interfața e atât de intuitivă încât cineva fără experiență de rețea poate configura un tunel funcțional în mai puțin de 2 minute.

Ce mi-a plăcut cel mai mult

Super intuitiv

Asta e probabil cel mai mare avantaj al UniFi față de orice altă soluție. Nu trebuie să înveți sintaxă de CLI, nu trebuie să citești RFC-uri despre IKEv2. Deschizi interfața web, vezi site-urile tale, dai click pe "Create Site-to-Site VPN" și gata. Toată complexitatea e abstrasă în spatele unui UI curat și logic. Dacă știi să folosești un browser, poți configura un VPN site-to-site.

Auto-failover

Dacă link-ul principal pică (de exemplu, fibra din locația A), tunelul se restabilește automat când conexiunea revine. Nu trebuie să faci nimic manual. Am testat asta în producție — switch de ISP, reboot de router, chiar și schimbare de IP public — tunelul revine singur. Pe legătura București-Auckland, am avut câteva scurte întreruperi de ISP pe ambele capete, și de fiecare dată tunelul a revenit fără intervenție.

Vizibilitate completă

Din dashboard-ul UniFi vezi instant starea tunelului: latency, uptime, trafic. Nu mai trebuie să dai SSH pe router și să faci ipsec statusall ca pe vremuri. Totul e vizual, clar, în timp real.

Subnets multiple

Poți ruta mai multe VLAN-uri prin același tunel. De exemplu, VLAN-ul de management din locația A comunică cu VLAN-ul de management din locația B, iar VLAN-ul de camere din A comunică cu NVR-ul din B. Totul prin același tunel, fără configurație suplimentară.

Funcționează prin NAT

Chiar dacă unul din site-uri e în spatele unui ISP cu CGNAT (IP privat), tunelul tot funcționează. UniFi folosește un relay server pentru handshake-ul inițial, apoi stabilește conexiunea directă dacă e posibil. E genul de detaliu care pe alte platforme necesita ore de debugging.

Exemplu real #1: București — Auckland, Noua Zeelandă

Cel mai spectaculos setup al nostru. Două gateway-uri UniFi, la aproape 17.000 km distanță:

• București — UniFi Gateway, dual-WAN (Digi 10G IP dinamic + Orange 2.5G IP fix), multiple VLAN-uri
• Auckland — UniFi Gateway, fibră Vocus/Two Degrees, IP fix

Timp de configurare: sub 2 minute. Tunelul s-a ridicat instant. Latency: ~280ms (fizica nu o poți păcăli — lumina prin fibră optică are nevoie de timp să traverseze jumătate de glob). Dar pentru file sharing, acces la servicii, management remote — funcționează impecabil. It just works.

Exemplu real #2: birou + locație remote în România

Un alt setup mai "clasic" — birou principal cu UDM Pro și o locație remote cu UCG Ultra:

• Birou — UDM Pro, dual-WAN (Digi 10G IP dinamic + Orange 2.5G IP fix), 5 VLAN-uri
• Remote — UCG Ultra, 4G LTE (IP dinamic, CGNAT), 2 VLAN-uri

Throughput prin tunel: ~50 Mbps (limitat de link-ul 4G, nu de VPN). Latency: ~25ms. Stabil de luni de zile, zero intervenție.

Când NU e suficient UniFi

Să fiu corect — UniFi site-to-site nu e perfect pentru toate scenariile:

• Enterprise cu zeci de site-uri — dacă ai 50+ locații, vei vrea probabil SD-WAN dedicat (Cisco Meraki, Fortinet, etc.)
• Cerințe avansate de routing — BGP, OSPF, policy-based routing — UniFi nu oferă asta
• Compliance strict — anumite industrii cer certificări specifice pe echipamentele de rețea

Dar pentru 2-10 locații, în mediu SMB sau chiar mid-enterprise? UniFi e greu de bătut ca raport simplitate/funcționalitate/preț.

Concluzie

UniFi a democratizat networking-ul enterprise. Ce înainte necesita un inginer de rețea dedicat și echipamente de mii de euro, acum se face cu câteva click-uri și un gateway de 100-200 EUR per locație. Am demonstrat-o cu o legătură București-Auckland — dacă funcționează impecabil la 17.000 km distanță, va funcționa sigur și pentru tine.

Site-to-site VPN pe UniFi e exemplul perfect de technologie complexă făcută accesibilă. Intuitiv, stabil, și just works.

Dacă ai nevoie de ajutor cu un setup multi-site sau vrei o evaluare a infrastructurii tale de rețea, contactează-ne.