Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
WireGuard и блокировка доступа к шлюзу, wifiman
 
#1
17.01.2024 22:40:00
Эта проблема, кажется, уже вдоль и поперёк обсуждалась на всех возможных площадках — здесь, на Reddit и так далее. Вполне понятно, что это никак не реализуемо. Есть ли у Ubiquiti какой-то план по внедрению этого? Я пробовал все возможные комбинации LAN in/out/local. Создавал правила трафика, чтобы ограничить доступ VPN-диапазона IP к портам 22/443/80 на всех сетях. Мне удалось остановить маршрутизацию внутри VLAN, но я также хочу запретить доступ к шлюзу. Что бы я ни делал, я всегда могу пинговать и получить доступ к любому шлюзу в любой подсети, включая просмотр страницы входа. Кроме как поднять свой собственный VPN-сервер для лучшего управления, собирается ли Ubiquiti что-то с этим делать? Из всех постов ни одного ответа от представителей Ubiquiti нет, если такие есть — пожалуйста, дайте ссылку, я точно не нашёл. Мне просто нужно подтверждение, сделано ли это намеренно или нет, потому что это сводит с ума. Я держался в надежде, что это исправят и это всего лишь баг, но если это сделано специально, значит я просто зря потратил время. Спасибо.
 
 
 
#2
05.02.2024 23:41:00
Спасибо за это, но мне нужен VPN, который работает как с роутерами Ubiquiti, так и без них.
 
 
 
#3
05.02.2024 23:39:00
Не знаю, насколько ты любишь приключения, но Tailscale для UDM уже доступен на GitHub здесь.
 
 
 
#4
04.02.2024 12:49:00
Сервер Teleport/WireGuard поддерживается на UXG. У Teleport есть некоторые ограничения — требуется UniFi OS Console для запуска Network Application и использование Default site. Сервер WireGuard отлично работает даже при самостоятельном хостинге на любом сайте (сейчас я использую его на нашем UXG-Pro). Клиент WireGuard тоже поддерживается. По-моему, единственное, что пока «отсутствует» — это Site-to-Site (кроме Site Magic).
 
 
 
#5
04.02.2024 10:44:00
@mikesg Я пытался пойти по пути UXG-Lite, но наткнулся на проблему «Teleport/Wireguard в данный момент не поддерживается». Нашёл решение с Tailscale/Wireguard на Apple TV, которое оказалось более функциональным и теперь установлено на ER-X. Думаю серьёзно заняться кастомными бинарниками для UXG-Lite, если железо не подведёт.
 
 
 
#6
04.02.2024 05:56:00
Я уверен, что всё будет нормально, но мне уже всё равно. Вот эта штука — лёгкость использования против необходимости настраивать сервер WireGuard на виртуальной машине — как-то не в пользу простоты, думаю. Так что особо не жалуюсь.
 
 
 
#7
03.02.2024 15:57:00
У меня скоро в эксплуатацию войдёт один UXG Lite, но у них только интернет 100/50 Мбит/с, что, скорее всего, недостаточно быстро для тестирования. У нескольких клиентов стоят UXG Pro с подключением 1000/1000 Мбит/с у того же провайдера, но это может случиться не раньше лета. Хотя это было бы отличной средой для проверки некоторых вещей. Один из таких клиентов и является целью моего вопроса здесь.
 
 
 
#8
03.02.2024 11:59:00
@mikesg Ты уже проводил нагрузочное тестирование Wireguard на UXG-Lite? Сколько одновременных сессий Wireguard он выдерживает?
 
 
 
#9
02.02.2024 08:07:00
Я в курсе, что это можно сделать на другом оборудовании. Я просто хочу обратить внимание интерфейса UniFi OS консолей на это. Сейчас я так делаю с USG, но с помощью json напрямую добавляю L2TP VPN-клиентов в VLAN.
 
 
 
#10
02.02.2024 07:32:00
@mikesg Я только что подключил свой MBP через точку доступа на iPhone к VPN Tailscale/Wireguard на ER-X. Интернет работал, но доступ к Default Gateway ER-X, который тебе нужен, не был возможен. Это не те роутеры, которые ты тестируешь, но на ER-X это сделать можно, скорее всего и на ER-4 тоже. Я ещё тестирую USG-3P, позже отпишусь.
 
 
 
#11
02.02.2024 06:51:00
Обнаружил это сегодня ночью. Пытаюсь настроить Wireguard VPN-клиент так, чтобы он мог заходить только в определённые подсети в многопользовательской сети, но никак не получается заблокировать доступ к IP-шлюзу любой подсети. В итоге VPN-клиент всё равно попадает на страницу входа в консоль UniFi на UDM SE, на котором я это тестирую. В конечном итоге сеть, где мне нужно это сделать, будет на базе UXG, но интересно, почему мои правила фаервола частично игнорируются. @UI-Glenn
 
 
 
#12
02.02.2024 00:02:00
Если вы перенесёте VPN-сервер с UDM, у вас будет решение?
 
 
 
#13
01.02.2024 15:02:00
У меня складывается впечатление, что это просто ограничение из-за того, что на UDM размещён VPN-сервер. Думаю, VPN-сервер в этом случае просто пересылает IP-трафик на хост-устройство, то есть на сам UDM. А так как трафик исходит изнутри устройства, то, по моему мнению, нет никакой возможности запретить ему видеть самого себя.
 
 
 
Страницы: 1
Читают тему (гостей: 1)