Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Решение проблемы отправки WAN IP на Radius сервер через S2S VPN (для UDM/UDR)., wifiman
 
#1
14.03.2025 15:24:00
Настрой Source NAT для перевода WAN IP-адреса шлюза в LAN IP-адрес, используемый для VPN S2S. Интерфейс — VPN-туннель. Переведенный IP-адрес — LAN IP шлюза, подключенного к VPN-туннелю, который ожидает Radius-сервер. Исходная сеть — сеть, в которой находится IP-адрес шлюза. Соответствуя противоположно, значит, это NAT будет применяться к любому IP-адресу, пытающемуся подключиться к назначению. Это должно работать для устройств с двумя WAN или динамическим WAN IP. Объект можно создать со всеми локальными сетями, чтобы исключить, например, гостевую сеть, чтобы активировать этот NAT. Но это не сработает, так как ответ все равно будет возвращаться на шлюз (192.168.1.1). Назначение — просто Radius-серверы на другой стороне туннеля и порты 1812 и 1813. Я протестировал это как с IPSec, так и с Site Magic.

Я уже несколько лет вожусь с этой проблемой, и моё "временное решение" всегда заключалось в покупке ещё одного AP, потому что эта проблема касалась только встроенного Wi-Fi. Это немного нивелировало смысл приобретения UDR в качестве универсального шлюза, но для моей работы нужны были быстрые решения для временных удаленных площадок.

Я думаю, что эта проблема решается тем, что поскольку Wi-Fi находится в шлюзе, а шлюз имеет много IP-адресов, UniFi Gateway выбирает, какой IP-адрес ему кажется нужным для запроса Radius. Поскольку технически он выходит из WAN-порта шлюза, шлюз выбирает WAN IP. Теперь я думаю, что этот запрос проходит через VPN-туннель, так как я не разрешаю порт Radius через мой целевой шлюз и не имею правил, указывающих эти порты на мои Radius-серверы. Проблема заключается в ответе Radius-сервера, так как он будет возвращаться на WAN IP через интернет, а не через VPN-туннель. Таким образом, перевода источника до того, как он пройдет через VPN-туннель, вы получите ответ обратно через VPN-туннель.

К сожалению, я не могу отвечать на заблокированных оригинальных постах сообщества, которые я нашел, пытаясь найти решение, чтобы помочь другим найти эту информацию в будущем.

UDR отправляет RADIUS через WAN вместо Site to Site VPN Interface | Ubiquiti Community
RADIUS server over S2S VPN | Ubiquiti Community
RADIUS Server Access Across Site-to-Site VPN | Ubiquiti Community
UDM/UDM Pro: WPA2 Enterprise authentication to NPS via Manual Site-to-Site IPSec | Ubiquiti Community
 
 
 
Страницы: 1
Читают тему (гостей: 1)