Wireguard VPN для удаленных пользователей, подключающихся к UCG max, необходимо назначать адрес в локальной сети.

RSS

Wireguard VPN для удаленных пользователей, подключающихся к UCG max, необходимо назначать адрес в локальной сети., wifiman

RobCSS

Guest

01.03.2025 16:09:00

У меня, пожалуй, довольно необычная задача, которая сейчас работает с моим роутером Draytek Vigor 2962, но я хотел бы перейти на оборудование Unifi. У меня есть клиентский роутер по адресу 192.168.1.1, и он принимает только определённые адреса из диапазона 192.168.1.xxx через VPN-туннель к серверам клиентов. Это отлично работает, когда я нахожусь в здании. Я настроил Wireguard VPN-сервер на Unifi Cloud Gateway, но не могу назначить себе адрес из диапазона 192.168.1.xxx при удалённом подключении через WireGuard. Поскольку я не могу назначить IP-адрес из диапазона 192.168.1.xxx, я не могу удалённо работать и подключаться через клиентский роутер в офисе по адресу 192.168.1.1, так как он требует, чтобы трафик исходил с адреса 192.168.1.xxx, а не с IP-адреса, назначенного Wireguard. Можно ли это сделать? Как это можно сделать? Спасибо заранее!

RobCSS

Guest

05.03.2025 17:04:00

Я проконсультировался с поддержкой UI, и они сказали... нельзя назначать одинаковый диапазон IP-адресов для WireGuard VPN-сервера и диапазон IP-адресов локальной сети (LAN) UniFi роутера. Само сетевое приложение не позволит тебе установить одинаковый диапазон IP-адресов. Я также не смог обойти это с помощью NAT или SNAT. Я использую последнюю версию Network App 9.0.114. Надеюсь, найдется какой-нибудь обходной путь, кроме запуска собственного WireGuard-сервера внутри моей LAN и перенаправления портов для обработки рукопожатия.

iggy.j

Guest

03.03.2025 19:40:00

Возможно, потребуется обновить ваше сетевое приложение. Настройка должна быть в "Настройки" > "Маршрутизация" > "NAT". Вам нужно создать NAT-маскирование с интерфейсом "Default" (или как вы назвали свой основной LAN, которому назначен адрес 192.168.1.0/24) или SNAT с этим интерфейсом и IP-адресом по вашему выбору. Можно даже создать правило NAT, которое будет точно соответствовать IP-адресу целевой системы и IP-адресу конкретного Wireguard-клиента, чтобы не затрагивать и не переводить весь остальной трафик. Подробности о доступных настройках смотрите в документации: https://help.ui.com/hc/en-us/articles/16437942532759-DNAT-SNAT-and-Masquerading-in-UniFi.

RobCSS

Guest

02.03.2025 21:54:00

Я относительно нов в мире UniFi, но насколько я понимаю сейчас, графический интерфейс UniFi Cloud Gateway Max не предоставляет встроенной опции для создания настолько детализированных правил NAT. Стандартный интерфейс позволяет настроить WireGuard VPN со своим собственным подсетью и обрабатывать базовые правила брандмауэра и NAT для интернет-трафика, но он не поддерживает создание пользовательских внутренних SNAT правил для переписывания адресов источника, предназначенных для LAN? Надеюсь, я ошибаюсь, пожалуйста, дайте знать, как это сделать, если вы знаете способ, чтобы это работало.

iggy.j Guest	#5 02.03.2025 18:44:00 При настройке Wireguard-сервера с UniFi Network можно использовать это адресное пространство и назначить IP-адрес клиенту, а для основной LAN использовать другой диапазон IP-адресов. Или можно назначить подсеть 192.168.1.0/24 основной LAN, а затем создать пользовательскую запись NAT, чтобы переписать исходный IP-адрес в произвольном диапазоне, используемом для Wireguard-сети, на собственный IP-адрес шлюза в диапазоне 192.168.1.0/24. Для целевой сети будет казаться, что трафик исходит не от Wireguard-сети, а от самого шлюза.

Читают тему (гостей: 1)