Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Unifi Site Magic: Перераспределение статических маршрутов, wifiman
 
#1
16.10.2023 16:34:00
Итак, недавно мы заказали несколько консолей Unifi в надежде заменить наши Meraki MX450 и Z3 для удалённого подключения site-to-site. Мы ищем максимально простое решение для Site-to-site VPN, так как у нас много удалённых площадок (~60-100), которые нужно связать с нашим дата-центром. Планируем использовать UDM Pro в дата-центре как VPN-концентратор, UDR для небольших площадок с одним провайдером на удалённой стороне и UDM Pro для удалённых площадок с резервированием провайдеров при необходимости.

Новый Site Magic работает отлично и легко развёртывается, единственная проблема — сети в нашем дата-центре находятся за фаерволом Checkpoint, и их нужно маршрутизировать. Я настроил статические маршруты между Checkpoint и UDM Pro, чтобы они знали, где находятся сети друг друга. Проблема в том, что удалённые UDR не знают, как до них добраться, в их таблицах маршрутизации нет записей для сетей дата-центра.

Было бы здорово, если бы в UDM Pro в дата-центре можно было распространить статические маршруты или включить OSPF на LAN стороне UDM Pro для взаимодействия с Checkpoint FW. Настройка статического маршрута через страницу маршрутизации на удалённом UDR на самом деле ничего не даёт — при проверке таблицы маршрутизации UDR через debug-консоль записи не появляется. А указание в качестве шлюза 192.168.0.0 (gateway Wireguard туннеля) не принимается.

Я нашёл временное решение, не сохраняющееся после перезагрузки: либо добавить статический маршрут на удалённом UDR командой ip route add с gateway 192.168.0.0, либо зайти в консоль FRR и изменить конфигурацию OSPF на redistribure kernel routes. Но оба способа сбрасываются после перезагрузки устройства, даже если делать "copy running-config startup-config" в консоли FRR.

Есть ли у кого-нибудь идеи? Или как вообще правильно подать заявку на добавление функции, чтобы в Site Magic VPN можно было автоматически внедрять статические маршруты?

Спасибо!
 
 
 
#2
17.06.2025 18:13:00
Частично разобрался, используя пример от @labsecms. Но тебе ещё нужно добавить статические маршруты на Hub (в моём случае это EFG) с этими подсетями и указать, куда направлять следующий хоп.  

Потом между core и EFG у тебя будет мост /30 между двумя устройствами. Также понадобится настроить статический маршрут с стороны core для каждой создаваемой спок-сети.
 
 
 
#3
17.06.2025 12:48:00
@smgt-network Буду очень признателен за сообщение с вашим решением, если сможете.
 
 
 
#4
14.04.2025 21:56:00
@smgt-network, не мог бы ты еще отправить мне личное сообщение? Спасибо!
 
 
 
#5
11.01.2025 10:29:00
@labsecms Спасибо, это работает для меня. Пока переключился на Hub & Spoke. У меня всего 3 сайта, и я бы предпочёл Mesh вместо Hub & Spoke, но похоже, что нельзя настроить Hub & Spoke так, чтобы он работал как Mesh (например, настроить все 3 сайта как хабы без споков). Ubiquity должно добавить такую же функцию объявления маршрутов в топологию Mesh и сделать интерфейсы Site Magic VPN доступными для выбора в качестве следующих хопов для статических маршрутов.
 
 
 
#6
08.01.2025 19:21:00
Частично решено! Всем привет, с новым приложением Network (9.0.108) мы можем частично справиться с этой ситуацией при помощи встроенного решения. С помощью описанного ниже способа вы можете анонсировать статический маршрут, расположенный на Hub, всем spoke.

Топология:  
Hub:  
Локальная подсеть: 192.168.20.128/25 (IP интерфейса: 192.168.20.129)  
192.168.22.0/27 (IP интерфейса: 192.168.22.30)  
---> Статический маршрут для доступа к подсети: 1.2.3.0/25 — шлюз: 192.168.22.1

Spoke-01  
Локальная подсеть: 192.168.201.0/24 (IP интерфейса: 192.168.201.1)

Spoke-02  
Локальная подсеть: 192.168.241.0/24 (IP интерфейса: 192.168.241.1)

Как действовать:  
1. В настройках Magic WAN выберите «Hub & Spoke».  
2. Выберите ваш hub и участника Spoke.  
3. В разделе Hub Networks и WANs выберите сети, которые нужно анонсировать spoke.  
4. В разделе Routes добавьте статический маршрут, сконфигурированный на вашем HUB (1.2.3.0/25).  
5. Я предпочитаю отключить опцию «Enable Subnet Overlap with SNAT».  
6. В разделе Spoke / Networks выберите сеть spoke, которую нужно анонсировать hub.

Теперь Spoke-01 и Spoke-02 получат маршрут и смогут добраться до подсети 1.2.3.0/25.

Ссылка по теме UniFi: https://help.ui.com/hc/en-us/articles/16750417515159-UniFi-Gateway-Setting-Up-SD-WAN-with-UniFi-Site-Magic
 
 
 
#7
29.12.2024 01:41:00
@smgt-network Не мог бы ты написать мне в личку? Спасибо.
 
 
 
#8
08.12.2024 15:23:00
Это была бы отличная функция. @smgt-network, не могли бы вы поделиться со мной своим решением?
 
 
 
#9
25.11.2024 11:35:00
Я оцениваю продукт site-magic положительно. Тем не менее! После общения с поддержкой я узнал, что перераспределение статических маршрутов невозможно. Это меня немного огорчило. У нас на работе около 30 UDM и более 300 подключённых устройств... И из-за такой мелочи мне, скорее всего, придётся менять их все. Это просто вопрос объединения OSPF и Wireguard в один интересный продукт. К сожалению, из-за этого все настройки OSPF становятся недоступны. В этом случае получается, что нужно просто поставить галочку в одной коробке! Я не понимаю. Однако это открывает возможность использовать BGP… В заключение. У меня есть действительно рабочий способ заставить это работать! Не хочу слишком рекламировать, потому что мне кажется, что ubiquiti специально блокирует это. Но я готов поделиться методом в личке!
 
 
 
#10
15.11.2024 20:51:00
Здравствуйте, у нас такая же проблема. Всё бы решилось, если бы появилась возможность перераспределять статические маршруты с помощью Site Magic (что возможно в ручной настройке ospf). Есть новости по реализации? Или можете подтвердить, что это в планах?
 
 
 
#11
07.09.2024 17:10:00
У меня тоже такая проблема.
 
 
 
#12
01.09.2024 23:17:00
Здравствуйте, у меня точно такая же или очень похожая проблема. Наша компания имеет главный офис и 8 филиалов. В главном офисе наши серверы находятся за фаерволом Checkpoint. Во всех офисах стоит UDM-SE с интернет-подключением по фиксированному IP (WAN1) и интернетом через 5G (WAN2). Сейчас мы подключили Site Magic во все офисы. Всё работает отлично, даже когда срабатывает резервное переключение.

Чтобы пользователи в филиалах могли получить доступ к нашим серверам, мы настроили на каждом объекте статические маршруты с локальным Wireguard IP-адресом. Пока что это работает хорошо.

Проблема в том, что как только начинается резервное переключение на одном из объектов (WAN2), все локальные Wireguard IP-адреса меняются. Это значит, что все статические маршруты ломаются и пользователи теряют доступ к серверам. IP-телефония тоже перестаёт работать.

Можете представить, что при этом происходит. @UI-Glenn, есть ли надежда на решение этой проблемы?

Большое спасибо!
 
 
 
#13
27.08.2024 10:46:00
Я тоже с этим боролся и очень хотел бы, чтобы это добавили. 👍
 
 
 
#14
14.08.2024 10:38:00
Мне это тоже нужно... чтобы удалить устройство Meraki.
 
 
 
#15
02.08.2024 02:16:00
Запишите меня в список, это последняя проблема, которую нужно решить, прежде чем бросать Meraki.
 
 
 
#16
25.04.2024 07:40:00
Мне это тоже нужно было. Я ломал голову, почему статический маршрут не работает, и случайно наткнулся на вашу тему.
 
 
 
#17
28.11.2023 09:54:00
Кто, черт побери, использует UniFi в дата-центре? Возьмите нормальный роутер/фаервол.
 
 
 
#18
17.11.2023 20:05:00
У меня такая же ситуация, и мне нужно добавить то же самое.
 
 
 
Страницы: 1
Читают тему (гостей: 1)