Настроил USG Pro за роутером Verizon FIOS.

Настроил USG Pro за роутером Verizon FIOS., wifiman

gable74

Guest

24.01.2025 04:29:00

У меня пожилая мама, и мне приходится следить за разными вещами в её сети из дома. У неё дома USG Pro, а у меня UXG Pro с постоянно включённым Site to Site VPN. Сейчас Verizon заставила её обновила приставку для ТВ, и теперь там требуется использовать их конкретный роутер. До этого я просто использовал MoCa адаптер, который работал отлично. К сожалению, с новым оборудованием он не будет работать. Мне нужно сохранить S2S VPN, поэтому я хочу поставить USG Pro за новым роутером Verizon. Можно ли это сделать и при этом сохранить мою S2S VPN? Если да, то не мог бы кто-нибудь объяснить, как это настроить, пожалуйста?

bv1717

Guest

28.05.2025 19:26:00

Просто интересно, не решило бы использование VLAN в DMZ для предоставления доступа к роутеру Fios в интернет? У меня похожая конфигурация, но в итоге мне пришлось оставлять роутер UniFi занимающимся NAT, а применение DMZ просто не работало с CR1000B.

gable74

Guest

06.02.2025 20:48:00

Просто чтобы помочь тем, кто столкнется с подобной ситуацией. USG за роутером FIOS (ISP) (NAT) — вручную установите статический WAN IP — в моем случае 192.168.10.200.

FIOS (ISP) Router (NAT) — откройте DMZ для статического WAN IP USG — в моем случае 192.168.10.200.

Пройдите по шагам обычной настройки IPsec Site to Site VPN на обоих роутерах UNIFI, указывая удаленные подсети и удаленные/локальные WAN.

На роутере, который не находится за NAT ISP, удаленный IP — это FIOS WAN, но в настройках "Ручной" нужно вручную указать "Remote Authentication ID" как статический IP роутера, который находится за NAT — в моем случае 192.168.10.200.

Надеюсь, это понятно.

gable74

Guest

06.02.2025 20:30:00

Всё выяснил. Пришлось вручную указать "Remote Authentication ID" в настройках IPSEC Site to Site. Раз USG стоит за роутером FIOS, пришлось использовать WAN IP роутера FIOS в качестве удаленного IP, но вручную указать "Remote Authentication ID" как статический IP USG. Обычно эти два IP совпадают, если один не стоит за NAT. Спасибо всем за помощь!

RobbieH

Guest

06.02.2025 20:20:00

https://store.ui.com/us/en/products/uxg-pro

Расширенная лицензия для сетевых возможностей:

* Бесплатный SD-WAN
* *WireGuard, L2TP и OpenVPN сервер
* OpenVPN клиент
* OpenVPN и IPsec VPN от сайта к сайту
* Одноразовая телепортация* и VPN корпоративной идентичности**
* Маршрутизация WAN и VPN на основе политик
* DHCP-ретранслятор
* Настраиваемый DHCP-сервер
* IGMP-прокси
* Поддержка IPv6 ISP

gable74 Guest	#6 06.02.2025 20:15:00 Моя UXG тоже не имеет этого.

RobbieH Guest	#7 06.02.2025 19:27:00 Как и говорилось выше, линейка USG не поддерживает Teleport.

gable74

Guest

06.02.2025 19:24:00

В общем, почему-то на моем USG или UXG нет Teleport. В итоге я поставил USG за роутер FIOS и открыл для него DMZ. Вот что я не предусмотрел: теперь USG по сути имеет LAN-IP, а не WAN-IP, так что я не могу настроить обычный S2S VPN, даже если бы захотел. Мне придется использовать что-то вроде Teleport, WireGuard или OpenVPN. К сожалению, на USG есть только варианты для L2TP VPN. Либо мне придется взять другой UXG, либо понять, как реализовать один из этих других вариантов на моем USG.

naokibizen

Guest

06.02.2025 03:54:00

@gable74, вот мои рекомендации:

(1) Постоянное подключение VPN (S2S VPN) не нужно, если ты не строишь бизнес-сеть. Гораздо проще использовать приложение Unifi Teleport на любом устройстве — смартфоне и на Mac по требованию.
(2) Настраивать VLAN для домашней сети не стоит — чем проще, тем лучше.

naokibizen Guest	#10 06.02.2025 03:44:00 @gable74, ну USG Pro уже слишком старый, чтобы там был Teleport... 😭 зато у твоего UXG Pro (Gateway Pro) он должен быть — попробуй проверить! ☺️ Unifi Teleport (VPN) очень прост в использовании и стабилен.

gable74 Guest	#11 05.02.2025 14:49:00 У меня нет опции Teleport ни в USG Pro, ни в UXG Pro.

naokibizen

Guest

#12

05.02.2025 05:33:00

@gable74, настоятельно рекомендую использовать Unifi Teleport (VPN), если у тебя UNIFI USG Pro. Установи приложение Unifi под названием Wifiman. Ты как будто по волшебству увидишь, как устройства, находящиеся за файрволом (Verizon FIOS роутер), подключаются к USG Pro. https://help.ui.com/hc/en-us/articles/5246403561495-UniFi-Gateway-Teleport-VPN

packetengines

Guest

#13

05.02.2025 05:11:00

Можно поместить USG-Pro в DMZ Verizon FIOS Router, если FIOS Router это позволяет. Альтернативно, используйте Tailscale, который работает с Double NAT и также настройте его, чтобы он всегда был включен.

Редактирование: Ubiquiti не рекомендует использовать S-2-S VPN через DMZ.

gable74

Guest

#14

05.02.2025 03:52:00

В качестве альтернативы, если бы был простой способ создать VLAN на USG и полностью выдать интернет одному устройству/IP-адресу в этом VLAN (роутер провайдера), то размещение этого роутера провайдера за USG должно было бы работать. Или я что-то упускаю? Как можно открыть все порты или создать правило брандмауэра, чтобы это сделать?

gable74

Guest

#15

04.02.2025 20:55:00

Мне нужен site-to-site, потому что это дом моей пожилой мамы, и мне нужно постоянно поддерживать контакт с ее компьютером и оборудованием видеонаблюдения. Обычный VPN тоже подошел бы, наверное, но я предпочитаю постоянное соединение. Скорость VPN не важна. Вот более четкое представление о том, что я хочу сделать. Буду благодарен за любые советы о том, какие порты нужно перенаправлять с роутера провайдера (или с чего-то еще), чтобы site-to-site заработал с USG в конфигурации ниже. Можно ли создать еще одну сеть/VLAN на роутере провайдера и открыть все порты на IP-адрес USG Pro? Думал поставить обычный коммутатор на входящий WAN, чтобы одновременно питать оба роутера, но не думаю, что мой провайдер предоставит второй IP.

packetengines Guest	#16 28.01.2025 08:04:00 @gable74 Зачем вообще нужен VPN S2S? Какой конкретно тип VPN S2S вы хотели использовать? Можно использовать VPN, который поддерживает CGNAT, Double NAT и NAT Traversal, тогда не придётся перенаправлять порты на роутере FIOS.

gable74 Guest	#17 25.01.2025 04:47:00 Спасибо, ребята. Сейчас USG LANы — 192.168.5.0 /24 и 192.168.6.0 /24. Роутер FIOS из коробки — 192.168.1.0 /24, так что конфликтующих подсетей не будет. Попробую это на следующей неделе. Отпишусь.

tgl123

Guest

#18

25.01.2025 02:12:00

На самом деле, это может быть не так уж и сложно определить: если вы раньше проделали какие-то дырки в брандмауэре USG для VPN, то должны быть в состоянии прочитать важные номера портов из этих настроек. Важно понимать, что здесь вы настраиваете систему "двойной NAT". (Некоторые скажут, что двойной NAT — это зло, но это не так уж и плохо.) Это означает, что локальное IP-пространство устройств за USG должно отличаться от IP-пространства устройств, подключенных напрямую к коробке FiOS. Например, если коробка FiOS настроена с локальными адресами 192.168.1.0/24, то за USG следует использовать другую подсеть, скажем, 192.168.2.0/24. Если вам повезет, они уже разные, но если нет, вам придется изменить адреса одной из групп устройств или другой. Дайте USG "WAN-адрес", который является вручную назначенным адресом в локальной сети коробки FiOS, убедитесь, что он не является частью DHCP-диапазона, который коробка FiOS выдает. Затем у вас должна быть связь с интернетом из-за USG, и как только вы пробросите нужные порты в коробку FiOS, ваш S2S тоже должен работать. Ну, по крайней мере, так теория. Сообщите нам, как продвигается.

Stillabeginner Guest	#19 25.01.2025 00:46:00 В зависимости от VPN-сервиса, вот список портов для наиболее распространенных VPN-сервисов. https://www.privateproxyguide.com/list-of-vpn-port-numbers/ https://itigic.com/which-ports-to-open-for-vpn-pptp-l2tp-ipsec-openvpn-and-wireguard/

tgl123 Guest	#20 25.01.2025 00:27:00 Я думаю, тебе должно повезти, если настроить переадресацию портов на роутере FiOS на USG, но я точно не знаю, какие именно порты нужно перенаправить.

Читают тему (гостей: 1)