Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Маршрутизируйте устройства VPN-сервера через VPN-клиент., wifiman
 
#1
26.10.2023 01:27:00
Всем привет! Использую UDM Base с последней прошивкой и пытаюсь направить входящий трафик WireGuard-сервера обратно через коммерческий VPN-клиент с протоколом OpenVPN, оба хоста — на UDM. Не могу это заставить работать — пробовал настраивать через конкретное устройство, IP устройства (в VLAN сервера VPN) и даже через весь подсет VLAN в качестве цели. Неужели я что-то простое упускаю?
 
 
 
#2
28.01.2025 19:23:00
Я в мире UniFi всего несколько месяцев. Помимо первоначальных проблем с Pro 7 Max, я очень доволен. Жаль, что такой функции нет. Даже роутер за 30 долларов от GLI.net её поддерживает. @UI-Team
 
 
 
#3
10.07.2025 01:39:00
Верно. Я ещё узнал, что настроить Site to Site VPN можно не на любом интерфейсе, а только на WAN-интерфейсе, что немного странно.
 
 
 
#4
10.07.2025 00:06:00
Так что это невозможно? Прошло уже 2 года, а ошибки до сих пор не исправили. Типично для Ubiquiti.
 
 
 
#5
25.06.2025 16:49:00
Да, понятно, что существует куча обходных путей для этой проблемы, но на самом деле это должно быть нормальным функционалом, который UI корректно внедряет в свои файрволы. И в этом плане они всё ещё уступают другим брендам.
 
 
 
#6
25.06.2025 11:57:00
Столкнулся с похожей проблемой (входящий трафик wireguard сервера в site-to-site VPN). Решил её, используя sshuttle на клиентах и другой девайс, который может подключаться к site-to-site VPN в роли мостового узла для перенаправления трафика. Работает на MacOS и Linux.
 
 
 
#7
08.06.2025 10:10:00
Привет, мой конфиг всё ещё работает, но не сохраняется после обновления или перезагрузки — каждый раз приходится вручную заново добавлять маршрут. Есть ли способ автоматизировать это или сделать маршрут постоянным? Или хотя бы чтобы приходило уведомление, что маршрут исчез? Большое спасибо!
 
 
 
#8
24.05.2025 08:49:00
Это действительно раздражает, что до сих пор не работает.
 
 
 
#9
28.03.2025 11:20:00
Привет! Только что попробовал твою конфигурацию — и она работает!! Я не добавлял запись в rt_tables, использовал уже существующую для моего WireGuard VPN (используется как выход) с номером 211.wgclt1. Я просто добавил правило маршрутизации от подсети OpenVPN (клиент входящий) к WireGuard VPN (выходящий) вот так, и всё работает:

ip rule add from 192.168.11.0/24 to 172.xx.xx.xx lookup 211.wgclt1

Поэтому я не совсем понимаю, зачем нужна эта строка, не мог бы ты чуть подробнее объяснить?

ip route add default dev wgclt5 table teleport

— Само по себе это позволит трафику выходить через одного из «VPN-пиров».

Большое спасибо!
 
 
 
#10
27.03.2025 16:37:00
Если честно, меня прямо поражает, что Unifi должен объединять всё, чтобы не пришлось управлять отдельными устройствами, а базовых функций до сих пор не хватает — и из-за этого люди вынуждены использовать Raspberry Pi для настройки, ха-ха. В общем, у меня в сборке RPI нет, так что особо не с чем сравнивать, просто вспомнился этот комментарий.
 
 
 
#11
27.03.2025 13:44:00
Привет, мне тоже нужны подробности. Те, кто использовал RPI для хостинга VPN-сервера, подключали ли вы дополнительную сетевую карту? Или используете виртуальный интерфейс с маркированным VLAN? У меня валяется RPI4, так что я, возможно, начну с ним экспериментировать. Большое спасибо!
 
 
 
#12
15.03.2025 14:58:00
@wdipz, не мог бы ты объяснить мне это поподробнее?
 
 
 
#13
03.03.2025 17:11:00
Почему бы не использовать встроенные ipsets из UniFi? UBIOS4trafficroute_net4_1 (последнее число надо проверить) UBIOS4local_network. Когда подсеть входит в оба ipset’а, PBR работает (проверял с серверами WireGuard и OpenVPN).

— по поводу отсутствующих VPN-функций. Думаю, это не в их списке приоритетов, и здесь нужно больше «голосов». Чем больше тикетов в поддержку, больше настойчивости — возможно, это поднимут в приоритет. Сколько из вас вообще открывают тикеты по таким вещам? Думаю, совсем мало :-) Открывайте тикеты, давите на UI, а не пишите здесь посты! :-)
 
 
 
#14
26.02.2025 18:42:00
Я каждые 3-6 месяцев проверяю состояние своей «машины за несколько сотен долларов, которая не может нормально выполнять простые задачи с VPN». Большинство или все эти задачи можно решить через CLI по SSH с помощью сторонних, неподдерживаемых (а часто и заброшенных) инструментов. Но вот в чем вся проблема. «Премиальное» устройство, как позиционирует себя UDM Pro, вообще не должно требовать ничего, кроме GUI/WebUI, чтобы запустить ВСЁ, повторяю, эти простые вещи.

Вещи вроде: РАБОТАЮЩЕЙ функции разделённой настройки VPN с доменами (с этим можно справиться через сторонние инструменты по SSH, но реализация в WebUI уже сломана и известна как сломанная... несколько лет, 2-3 года!) Возможности настроить несколько VPN, которые подключаются к коммерческим VPN-сервисам. Суть в том, что ты переключаешь VPN на своём устройстве, при этом сохраняешь локальное подключение (или связь с собственной сетью, когда находишься вне дома), а весь внешний трафик идёт через коммерческий VPN. Это должно быть крайне просто встроить в веб-интерфейс. Повторюсь, сейчас можно сделать через SSH и сторонние утилиты...

Честно, этот список можно было бы сделать гораздо длиннее. Но это всё, что я хочу и хочу уже больше 3 лет от своего UDM Pro. Я не хочу каждый раз заходить на GitHub, читать комментарии 2021 года на мёртвых проектах, а потом ковыряться в CLI, чтобы заставить всё работать. Да, я могу и заставлял это работать так, как хочу. Но почему, чёрт возьми, это всё ещё нужно спустя столько лет?

Честно говоря, я в целом доволен продукцией Ubiquity: их точками доступа (у меня две уже около 5 лет — ни одного сбоя и отличное соединение) и камерами (у меня 3, включая дверной звонок — прекрасные продукты). Даже коммутаторы и хабы выполняют свою работу как надо, ни к чему придраться. Однозначно 10 из 10 за эти продукты.

Но вот UDM Pro, «сердце» сети... ну, ребята, Ubiquity, ради всего святого и хорошего, добавьте эти БАЗОВЫЕ функции! Вы кое-что добавили, улучшили работу файрвола — это здорово. Сделайте последний шаг. Действительно важный последний шаг — чтобы split-vpn наконец заработал. (И чтобы мобильное приложение было равноценным WebUI — крошечный побочный момент).
 
 
 
#15
23.02.2025 16:38:00
Я сам этого не понимаю, почему столько пользователей хотят эту функцию уже так долго. Везде в злом Интернете об этом пишут.
 
 
 
#16
19.02.2025 12:25:00
Давно уже слежу за этим... Как вообще возможно, что не было ни реакции, ни обратной связи?.. Бух @UNI-FI
 
 
 
#17
28.01.2025 14:45:00
Не стоит прямо уж на это надеяться. Хотя Ubiquiti обычно действительно прислушивается к пожеланиям пользователей, они часто делают это очень медленно, так что это, скорее всего, случится, но кто знает когда. Мы же все уже лет шесть говорим, что хотим нормальное управление правилами файрвола, и только сейчас они это добавили. В общем, классно видеть такие изменения, не поймите неправильно, я лишь наполовину жалуюсь, просто не ожидаю, что всё это произойдет быстро.
 
 
 
#18
28.01.2025 11:12:00
Мне очень интересно, когда же @UNI-FI наконец-то активирует эту функцию.
 
 
 
#19
18.01.2025 18:40:00
Я тоже выбрал очень похожее решение, чтобы настроить маршрутизацию клиентов VPN-сервера через VPN-клиент UDM. В моём случае пришлось ещё указать приоритет правила (выше `from all lookup main`), чтобы клиенты могли получить доступ к локальной сети.
 
 
 
#20
17.01.2025 20:14:00
Я сделал следующее как временное решение через командную строку с доступом по SSH. Надо ещё разобраться с постоянными настройками, но пока всё работает отлично. Это подойдёт для кастомных сетей Wireguard/OpenVPN, с которыми в GUI нельзя сделать PBR.

Моя сеть teleport — 192.168.2.0/24, ещё у меня есть pihole, расположенный на другой vlan по адресу 192.168.199.2.

---

Дальше создаём таблицу маршрутизации для политики маршрутизации (PBR). Можно добавить сколько угодно таблиц, главное, чтобы номера не пересекались.

echo ‘1 teleport’ >> /etc/iproute2/rt_tables  
# (Нужно поменять номер и имя таблицы для каждой новой)

ip rule add from 192.168.2.0/24 lookup teleport  
ip route add default dev wgclt5 table teleport

---

Этого достаточно, чтобы трафик с вашей сети выходил через одного из «VPN пиров».

Чтобы понять, какой wgclt к какому пиру Wireguard в GUI привязан, используйте команду «wg show» — она показывает все интерфейсы Wireguard. Находите endpoint и сопоставляете с нужным.

---

Если хотите использовать DNS отличный от того, что задан в Wireguard на стороне VPN пира, сделайте так:

ip route add 192.168.199.2 dev br199 table teleport  
# (br199 — интерфейс для моего VLAN с pihole)

iptables -t nat -I PREROUTING -s 192.168.2.0/24 -p udp --dport 53 -j DNAT --to-destination 192.168.199.2
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)