Пропускаем клиентов VPN Route UDM Pro через другой VPN.

Пропускаем клиентов VPN Route UDM Pro через другой VPN., wifiman

bardissimo

Guest

04.02.2025 05:52:00

Привет. У меня есть UDM Pro с настроенным VPN-сервером и VPN-клиентом. Я могу маршрутизировать обычных клиентов UDM Pro из локальной сети через UDM VPN-клиент с помощью PBR, но в PBR нет опций для VPN-клиентов UDM. Так вот, я хочу, чтобы когда я подключаюсь к UDM через OpenVPN, мой интернет-трафик маршрутизировался через WireGuard-клиента, настроенного на UDM, или к нему применялись правила PRB.

bardissimo Guest	#2 05.02.2025 05:07:00 Да, вы правы.

wdipz

Guest

06.02.2025 01:53:00

Это симптом, а основная проблема в том, что UniFi рассматривают VPN-сети как нелокальные. На самом деле, они не дают нам нормального объяснения. Думаю, они просто упустили этот момент. Итак, помимо проблем с PBR для VPN, есть и другие недостатки: IDS/IPS не работает на этих подсетях, есть обходной путь через SSH (работает до следующего обновления ПО / перезагрузки) (ipsets UBIOS4trafficroute_net4_XX & UBIOS4local_network – добавление VPN-подсети активирует PBR). Teleport-клиенты — это особенный случай: они используют WireGuard-туннель с IPv6 ULA на бэкенде — для этого нужно определить правила. Для не кастомного решения нужно использовать что-то из Tailscale или переносить VPN на сторонние сервисы, как enginepacket сообщил, UniFi пока это не поддерживает. Для моего варианта использования я перенес VPN-клиентов на сторонний маршрутизатор, чтобы получить постоянное решение.

volumex Guest	#4 05.02.2025 07:00:00 Думаю, потенциально это возможно, если можно настроить ipsec-соединение между сайтами, но да, к сожалению, Ubiquiti не позволяет применять PBR к пользователям локальной VPN.

packetengines Guest	#5 05.02.2025 06:59:00 Пользуетесь ли вы устройствами Apple TV для стриминга и каким VPN-провайдером пользуетесь?

bardissimo Guest	#6 05.02.2025 06:41:00 Да, или применить правила PRB к ее трафику.

bardissimo Guest	#7 05.02.2025 06:40:00 Проблема в том, что я не могу применить никаких правил PRB для клиента телепорта, да и он не отображается в "устройствах" для PRB. Я строю домашнюю сеть.

scarletioshub

Guest

05.02.2025 06:34:00

Чтобы направить трафик OpenVPN через WireGuard-клиента на UDM Pro, вероятно, потребуется вручную настроить параметры маршрутизации. Поскольку PBR напрямую не применяется к VPN-клиентам, возможно, придётся изменить конфигурацию брандмауэра или маршрутизации, чтобы трафик от OpenVPN-клиента направлялся через WireGuard-туннель. Один из вариантов — добавить конкретные маршруты для OpenVPN-клиентов в настройках маршрутизации или брандмауэра UDM, чтобы направлять их трафик через интерфейс WireGuard. Это потребует некоторых пользовательских настроек, так как UDM Pro не поддерживает PBR для VPN-клиентов "из коробки".

packetengines Guest	#9 05.02.2025 05:49:00 Ну, ты хочешь дать ей доступ к подключению к твоему Wireguard VPN-провайдеру?

naokibizen

Guest

#10

05.02.2025 05:40:00

@bardissimo, попробуй комплект UNIFI Teleport и Unifi Identity, если у тебя UDM Pro. Не знаю, строишь ли ты офисную сеть или домашнюю, но можешь добавить некоторые правила доступа для каждого пользователя UNIFI Teleport (есть приложение Wifiman для смартфона, macOS и т.д.).

packetengines Guest	#11 04.02.2025 20:30:00 В связи с чем вы используете и OpenVPN, и Wireguard? Вы используете Wireguard для подключения к VPN-провайдеру?

packetengines Guest	#12 04.02.2025 12:13:00 Это то, что ты пытаешься сделать? [Удалённый OpenVPN-клиент] <---> [OpenVPN-сервер (UDM-P) Wireguard-клиент] <---> [Удалённый Wireguard-сервер] Ubiquiti это не поддерживает.

bardissimo Guest	#13 05.02.2025 05:09:00 Например, я хочу подключить роутер моей мамы, который Asus (и поддерживает только ovpn), к моей сети Unifi и обрабатывать трафик с помощью моих правил PRB.

Читают тему (гостей: 1)